今回の記事、ざっくり言うと・・・

  • 10年ぶりに個人情報が改正され、平成29年9月までに全面施行される
  • 本改正では、個人情報の明確化、要配慮個人情報の新設、小規模取扱事業者への適用拡大など改正の影響は重大かつ広範囲に及ぶ

 

限定正社員に関する質問と答弁昨年から今年までのマイナンバー騒動(?)のため、すっかりスルーしてしまいましたが、昨年個人情報保護法が改正され、今年1月から一部が施行されています。今回の改正は、平成17年に全面施行され た同法の10年ぶりの改正で、内容も多岐にわたるため、全面施行前のうちに、改正内容を概観しておき たいと思います。

平成28年1月1日施行(施行済)

  • 個人情報の保護に関する独立した機関として、個人情報保護委員会を新設(特定個人情報保護委員会を 改組。内閣府の外局。)。

公布の日(平成27年9月9日)から2年以内の政令で定める日施行

改正内容の大部分はここに含まれます。

個人情報の定義の明確化

  1. 特定の個人の身体的特徴を変換したもの(例:顔認識データ)等を個人情報として明確化。
  2. 人種、信条、病歴等が含まれる個人情報については、要配慮個人情報として本人の同意をとって取得することを原則義務化し、本人の同意を得ない第三者提供の特例(オプトアウト手続) を禁止。
  3. 5,000人分以下の個人情報を取り扱う事業者に対しても個人情報保護法を適用。

1.の改正により、これまでグレーゾーンであった情報について、個人情報に当たるかどうかが明確化 され、次のようになります。すなわち、個人情報とは、生存する個人に関する情報であって、

  1. 氏名、生年月日、住所等により特定の個人を識別することができるもの(他の情報と容易に照合でき、それにより特定の個人を識別することができるものを含む)(例:データベース化されていない書面・写真・音声等に記録されているもの)
  2. 個人識別符号(以下の1.または2.)が含まれるもの
    1. 特定の個人の身体の一部の特徴を電子計算機のために変換した符号(顔認識データ、指紋認識データ等)
    2. 対象者ごとに異なるものとなるように役務の利用、商品の購入又は書類に付される符号(旅券番号、免許証番号等)

と定義され直すことになりました。

なお、国会審議の過程で、携帯電話番号、クレジットカード番号については、一概に個人識別符号に該当するとは言えないとされており、詳細については、今後改正される政令で定められます。

また、2.の改正により、新たに「要配慮個人情報」という概念が新設されることになりました。

個人情報等の有用性を確保

  1. 当初の利用目的から新たな利用目的への変更の要件を緩和。
  2. 特定の個人を識別することができないように個人情報を加工したものを「匿名加工情報」とし、その加工方法及び事業者による公表等その取扱いに関する規律を新設。

1.により、変更前の利用目的に関連すると合理的に認められる範囲内であれば、利用目的を変更することができることになります。ただし、利用目的を変更した場合は、変更された目的を本人へ通知、又は公表する必要があります。

適性な個人情報の流通を確保

  1. 事業者は、オプトアウト手続によって個人データを第三者に提供しようとする場合、データの項目等を個人情報保護委員会へ届出、同委員会は、その内容を公表する(オプトアウト手続の厳格化)
  2. 個人データを提供した事業者は、受領者の氏名等の記録を一定期間保存。また、個人データを第三者から受領した事業者は、提供者の氏名やデータの取得経緯等を確認し、一定期間その記録を保存。
  3. 個人情報データベース等を取り扱う事務に従事する者又は従事していた者等が、不正な利益を図る目的で提供し、又は盗用する行為を処罰する規定を新設。

これらの改正は、一昨年発生した大手企業における多量の個人情報流出事件や名簿業者対策を受けたものです。

その他の改正事項

  1. 現行の主務大臣の有する権限を「個人情報保護委員会」に集約し、立入検査の権限等を追加。
  2. 国境を越えた法の適用と外国執行当局への情報提供 日本に居住する本人から個人情報を直接取得した外国の事業者についても個人情報保護法を原則適用。また、個人情報保護委員会による外国執行当局への情報提供が可能に。
  3. 外国事業者への第三者提供 個人情報保護委員会規則に則った体制整備をした場合、個人情報保護委員会が認めた国の場合、又は本人の同意により、個人データを外国の第三者へ提供することが可能であることを明確化。
  4. 「認定個人情報保護団体」は、個人情報保護指針を作成する際には、消費者の意見等を聴くよう努めるとともに個人情報保護委員会へ届出。同委員会は、その内容を公表。同指針を遵守させるための対象事業者への指導・勧告等を義務化。
  5. 本人の開示、訂正、利用停止等の求めは、裁判上も行使できる請求権であることを明確化。

ちなみに、4.の「認定個人情報保護団体」とは、事業者の個人情報の適切な取扱いの確保を目的として、国の認定を受けた民間団体をいいます。

参考リンク

広報資料(個人情報保護委員会HP)

MORI社会保険労務士・行政書士事務所(千葉県千葉市)では、日々生じる従業員に関する問題やちょっとした労働法に関する疑問、他社事例について、気軽に電話やメールで相談できる「労務相談」業務の依頼を受託しています。もちろん個人情報保護に関するご相談、給与計算(年末調整)、労働・社会保険、就業規則、各種許認可業務等も対応します。

toiawase