ABOUT
DETAIL
改正個人情報保護法について。
現行法では対象外だった、5,000人分以下の個人情報を取り扱う小規模な事業者も、改正法が適用されます。またビッグデータや海外拠点・ベンダーを使ったビジネス形態も考慮されています。
個人情報保護管理体制を改めて見直しておきましょう。
まず、個人情報保護法の改正前は、個人情報とは以下の通りでした。
「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などにより特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう」とされていました。 (改正前個人情報保護法第2条第1項。)
改正個人情報保護法では、個人情報の範囲自体は変わらないものの、情報の性質上、特定の個人を識別することができるものを新たに「個人識別符号」として定義されました。 (改正個人情報保護法第2条第2項。)
「個人識別符号」とは、基本的に以下2つのどちらかに該当するものです。
① 特定の個人の身体の一部の特徴を電子計算機のために変換した符号
② 役務の利用や書類において対象者ごとに割り振られる符号
具体的には、政令で定められることなっていますが、例えば以下の通りです。
①の身体の一部の特徴として、DNAを構成する塩基の配列、顔の骨格、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋など
②として旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証など
クレジットカードや口座番号については、様々な契約形態や運用実態があり、およそいかなる場合においても特定の個人を識別することができるとは限らないことなどから個人識別符号に該当しません。
ただし、このような番号も、氏名や住所などと容易に照合できて特定の個人を識別することができる場合には、個人情報に該当することになるので、個人情報の組み合わせなどを全体的に評価する必要があります。
要配慮個人情報
改正個人情報保護法では、個人情報のうち、本人の人種、信条、病歴など本人に対する不当な差別または偏見が生じる可能性のある個人情報を「要配慮個人情報」と規定している。
人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実など
要配慮個人情報については、改正個人情報保護法において一段厳しい規律が課されており、その取得の場合に原則として本人の同意を取得することや、オプトアウトによる第三者提供が禁止されています。
匿名加工情報の導入
情報通信技術の進展により、膨大なパーソナルデータが収集・分析するビッグデータの利活用の促進を図るため、改正個人情報保護法では「匿名加工情報」の概念が導入されました。
匿名加工情報とは、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものです。
作成のもととなる個人情報と個別に関連づけられている項目やID等の識別子を削除します。例えば以下のような方法があります。
→ 氏名、住所、生年月日などを削除する方法
分析対象のデータの平均から大きくかい離するデータ群をまとめる(トップコーディング)。
→ 早朝・深夜の入退室ログについて、「午前6時以前」、「午前1時以降」のようにくくる方法
詳細な項目を一定のまとまりや区分に置き換える。
→ 生年月日を年代に置き換え、グルーピングする方法
一定の誤差(ノイズ)を付加する。
→ 一定の金額や数量誤差を対象の情報に加える方法
通常程度の手法によって復元できてしまうレベルの加工情報は改正法で定める匿名加工情報には当たらず、依然として個人情報のままということになるので、前記のどれか一つが実施されていれば直ちに匿名加工情報になるわけではない点に注意が必要です。
適正な個人情報の流通を確保
改正個人情報保護法では、頻発する情報漏えいと、名簿屋対策を目的として、個人データの第三者提供にかかる確認記録作成などが義務化されました。
また、個人情報データベースなどを不正な利益を図る目的で第三者への提供、または盗用する行為が処罰の対象となりました。
記録の対象となる提供は、原則として以下2点です。
本人同意に基づく第三者提供
オプトアウト手続による第三者提供
以下の場合は記録の対象外となります。
法令に基づく場合、人の生命、身体または財産の保護のために必要がある場合で、本人の同意を得ることが困難であるとき
委託を伴う提供や共同利用
本人による提供の場合 (例えば、SNS上で、投稿者のプロフィール、投稿内容等を取得する場合)
本人に代わって提供する場合 (例えば、事業者が、顧客から電話で契約内容の照会を受けたため、社内の担当者の氏名、連絡先等を当該顧客に案内する場合)
本人と一体と評価できる関係にある者に提供する場合 (例えば、金融機関の営業員が、家族と共に来店した顧客に対して、保有金融商品の損益状況を説明する場合)
不特定多数の者が取得し得る公開情報を提供する場合 (例えば、ホームページ等で公表されている情報、報道機関により報道されている情報などを提供する場合)
提供する側の義務として、「個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他個人情報保護委員会規則で定める事項に関する記録」を作成しなければならず、
受領者側も第三者から個人データの提供を受けるに際し、提供元の氏名等や取得経緯等の確認記録義務が追加されました。
個人情報の取扱いのグローバル化
改正個人情報保護法では、企業が海外で活動している実態に鑑み、外国にある第三者に対する個人データの提供に関する規定が設けられました。(改正個人情報保護法第24条。)
原則として本人の同意を得なければ外国にある第三者に個人データを提供することができませんが、以下2点に該当する場合には、当該第三者への提供が可能とされています。
-
当該第三者が個人情報保護委員会によって、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として」定められている国に所在する場合
-
当該第三者が、個人情報保護委員会規則に定める基準に適合する体制を整備している場合、および、改正個人情報保護法第23条1項各号に該当する場合
-
「外国にある第三者」の「第三者」とは、個人データを提供する個人情報取扱事業者と当該個人データによって識別される本人以外の者であり、外国政府などもこれに含まれるものとされている。
-
法人の場合には、個人データを提供する者と別の法人格を有するかどうかで第三者への該当性が判断されることになる。
例えば、日本企業が外国で設立された別個の法人格を有する子会社に対して個人データを提供する場合には、「外国にある第三者」への提供に該当することになるが、別個の法人格を有さない単なる外国所在の支店に提供する場合には、「外国にある第三者」への提供に該当しません。
-
外国の法令に準拠して設立され外国に住所を有する外国法人であっても、当該外国法人が「個人情報取扱事業者」である場合には、「外国にある第三者」には該当しなないものとされている。
個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第4章第1節の規定の趣旨に沿った措置の実施が確保されていること。
個人データの提供を受ける者が、アジア太平洋経済協力(APEC)の越境プライバシールール(CBPR)システムの認証(個人情報の取扱いに係る国際的な枠組みに基づく認定)を受けていること。
「適切かつ合理的な方法」は、個々の事例ごとに判断すべきだが、外国にある第三者が、日本の個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずることを担保することができる方法である必要があるものとされている。
外国第三者ガイドラインでは、例として、外国にある事業者に個人データの取扱いを委託する場合には、提供元および提供先間の契約などが挙げられており、同一企業グループ内で個人データを移転する場合には、提供元および提供先に共通して適用される内規やポリシーなどが挙げられている。
その他
改正個人情報保護法では、外国にある個人情報取扱事業者のうち、国内にある者に対する物品または役務の提供に関連してその者を本人とする個人情報を取得した者が、外国においてその個人情報または当該個人情報を用いて作成した匿名加工情報を取り扱う場合に、一定の改正個人情報保護法上の義務が課されるものとされています。
例えば、外国のインターネット通信販売業者が、日本の消費者からその個人情報を取得し、商品を販売・配送する場合や、外国のメールサービス提供事業者が、アカウント設定等のために日本の消費者からその個人情報を取得し、メールサービスを提供する場合などが該当するものとされています。
海外から国内にある者に対するサービスの提供などを行っている場合には、上記のような域外適用があり対応が必要になるため、留意する必要があります。
参考リンク
「「個人情報の保護に関する法律についてのガイドライン」および「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A」(以下「Q&A」)1-22)。
改正個人情報保護法の概要と中小企業の実務への影響 http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/01kaiseikojinjoho.pdf
個人情報保護委員会 http://www.ppc.go.jp/