顧問弁護士なら湊総合法律事務所|顧問弁護士.企業法務オンライン|東京弁護士会所属

湊総合法律事務所は、各分野において専門性の高い弁護士がチームを組み、クライアント様の利益の最大化を目指します。

  • 事務所案内
  • 顧問弁護士
  • セカンドオピニオン
  • セミナー・講演
  • 弁護士紹介
  • アクセス

個人情報保護法改正

1 はじめに

 個人情報の保護に関する法律(以下「個人情報保護法」といいます。)は、平成15年に成立し、同17年に施行された法律です。しかし、施行から現在に至るまでの約10年間に、個人情報に該当するかどうかの判断が困難ないわゆる「グレーゾーン」が拡大したり、パーソナルデータ(個人情報に限定されない個人の行動・状態に関するデータ)を含むビッグデータの適正な利活用ができるようにすることが求められたり、あるいは事業活動が世界規模で展開されるようになり、国外においても多くのデータが流通するようになったりするなど、消費者や事業者を取り巻く環境は大きく変化して参りました。

 そこで、こうした変化に対応し、消費者の個人情報保護の十全化を図りつつ、事業者によるパーソナルデータの円滑な利活用を促進させるため、平成27年に個人情報保護法が改正・交付され、いよいよ本年5月30日に全面施行されることとなりました。そして、これに伴い、すでに「個人情報の保護に関する法律施行令」、「個人情報の保護に関する法律施行規則」及び「個人情報の保護に関する法律についてのガイドライン」も制定・公布され、同日より全面施行されることとななっています。

 改正個人情報保護法施行直前となった現在、中小企業はどのような対応をしておけばよいでしょうか。その概要と対応ポイントを解説していきましょう。

2 1件でも個人情報を保有・活用していれば個人情報取扱事業者になる

 「個人情報取扱事業者」(法2条3項)とは、個人情報データベース等(紙媒体、電子媒体を問わず、特定の個人情報を検索できるように体系的に構成したもの)を事業活動に利用している者のことをいい、これに該当すると個人情報保護法に定める各種義務が課せられることになります。

改正前の個人情報保護法では、事業活動で取り扱っている個人情報が5000人分以下の事業者は、個人情報取扱事業者に該当せず、義務の対象から除外されていました。しかし、インターネットが急速に発達するなどにより、事業活動で取り扱う個人情報が少なくても個人の権利を侵害する可能性が高まってきたことから、改正後は、5000人分以下の個人情報を取り扱う事業者についても個人情報保護法の義務の対象されることとなりました。 したがって、顧客や従業員の個人情報を、紙媒体、電子媒体を問わず、名簿化して事業に活用している事業者は、すべて個人情報保護法のルールに従って個人情報の取扱わねばならないことになりますので、十分注意が必要です(以下、「個人情報取扱事業者」を単に「事業者」といいます。)。なお、従業員数が100人以下の事業者で、取り扱う個人情報の数が5000人分超の事業者及び委託に基づいて個人データを取り扱う事業者以外の事業者は、「中小規模事業者」として、緩和された安全管理措置を講ずることが認められておりますのでご確認下さい。


3 「個人情報」の定義の明確化

 近時、技術の進展により、指紋認証や顔認証の際に用いられるデータのように、特定の個人の身体の一部の特徴をで電子計算機のために変換した符号や、旅券番号、運転免許証番号のように、対象者ごとに異なるものとなるように役務の利用、商品の購入又は書類に付される符号が活用されるようになってきましたが、これらが個人情報であるか否か、「グレーゾーン」とされてきました。改正法第2条1項2項ではこれを「個人識別符号」として、それ単体でも個人を特定できる個人情報であると明らかにしました。

 また、従前は、個人情報の取り扱いに関しては、一律に同じ取り扱いの仕方をしていましたが、情報の内容や性質によっては、差別や偏見を惹起させることもあり得ます。そこで、国際的にも配慮されている人種、信条、病歴、犯罪の経歴などを含む個人情報を「要配慮個人情報」とし、後述のように、その取扱いについては、本人が関与できるような特別の規律を設けることとなりました。

 具体的に何が「個人識別符号」及び「要配慮個人情報」に該当するかは、政令で規定されておりますので、これらに該当する個人情報を扱う事業者はご注意下さい。

【個人識別符合】

「個人の身体的特徴に関する符合」

イ DNAを構成する塩基の配列
ロ 顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌
ハ 虹彩の表面の起伏により形成される線状の模様
ニ 発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化
ホ 歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様
ヘ 手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静脈の形状
ト 指紋又は掌紋

「個人に割り当てられる符合」

・旅券の番号
・基礎年金番号
・運転免許証の番号
・住民票コード
・個人番号
・国民健康保険。高齢者医療保険、介護保険の被保険者証の文字、番号、記号等

【要配慮個人情報】
(1) 人種
(2) 信条
(3) 社会的身分
(4) 病歴
(5) 犯罪の経歴
(6) 犯罪により害を被った事実
(7) 身体障害、知的障害、精神障害(発達障害を含む。)等の心身の機能の障害があること
(8) 本人に対して医師等により行われた疾病の予防及び早期発見のための健康診断等の結果
(9) 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと
(10) 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと(犯罪の経歴は除く。)
(11) 本人を少年法に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと



4 個人情報を取得・利用の際のルールの改正

(1)要配慮個人情報の取得には本人の同意が必要

 改正法は、要配慮個人情報を取得するに当たっては、要保護性が高いことから、原則として本人の同意を得なければならないこととされました(改正法第17条2項)。

 したがって事業者が、要配慮個人情報を取得する際には、後日のトラブルを防止するためにも、予め書面による同意その他これに類する方法によるなど確実を期するようにすべきでしょう。

(2)利用目的の変更制限を緩和した

 事業者は、個人情報を取り扱うに当たっては、その利用目的をできる限り特定しなければならないものとされ、これまでは利用目的を変更する場合には、変更前の利用目的と「相当の」関連性を有すると合理的に認められる範囲を超えてはならないものとされて来ました(現行法第15条1項2項)。
 しかし、インターネット技術の発達により、様々なデータの蓄積、分析が可能になり、取得時の利用目的と関連性を有する一定の範囲の目的変更を認めることで、新たな価値創造が可能になるという要請が生じてきました。
 そこで、改正法は、「相当の」という文言を削除し、利用目的の変更は、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えてはならないものとして、利用目的の変更制限を緩和することとしました(改正法第15条2項)。


5 個人情報を第三者に提供する際のルールの改正

(1)要配慮個人情報はオプトアウトの対象外とした

 現行法では、第三者に個人データを提供する際には、オプトアウト(本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止する)規定に定める要件を満たしていれば許容されてきました。しかし、要配慮個人情報についてまでオプトアウトを認めることは適切ではないので、改正法では、要配慮個人情報についてはオプトアウトの対象外としました(改正法第23条2項)。

したがって、事業者が要配慮個人情報のデータを第三者提供しようとする場合には、当該本人の同意が必要ということになりますので、ご注意下さい。

(2)オプトアウトの場合には個人情報保護委員会への届出を要件とした

 現行法におけるオプトアウト規定は、当該本人が、自己の個人データが第三者提供されていることを認識することが必ずしも容易ではなく、第三者提供のオプトアウト規定が十分に機能できないのが現実でした。

 そこで、改正法は、事業者がオプトアウト規定による第三者提供をしようとする場合には、事前にデータの項目等を個人情報保護委員会に届け出ることを事業者に義務づけ、個人情報保護委員会はその内容を公表することとし、個人はこの公表された内容を確認することにより、自己の個人データが第三者提供されることを認識して、オプトアウトすることができるようにしました(改正法第23条3項)。

 なお、この個人情報保護委員会への届出は、平成29年3月1日より受け付けを開始しますので、事業者が、オプトアウト規定による第三者提供をしようというときは、届出を行うようにして下さい。

(3)トレーサビリティ制度を導入した

 平成26年7月に発覚した大規模個人情報漏えい事件を受けて、改正法は、不正手段によって入手されまたは流出した個人情報が事業者に取得されて転々流通することの防止等を図るため、個人データの流通過程を事後的に検証可能とする制度としてトレーサビリティ制度を導入しました。

 すなわち、事業者が個人データを第三者に提供したときは、提供年月日、第三者の氏名または名称等に関する記録を作成しなければならず、一定期間保存しなければならないものとしました(改正法第25条)。

 また、事業者が個人データを第三者から提供を受ける場合には、当該第三者による当該個人データの取得の経緯の他、当該第三者の氏名または名称及び住所ならびに法人にあっては代表者の氏名を確認しなければならず、当該確認を行ったときは、当該個人データの提供を受けた年月日、当該確認に係わる事項等に関する記録を作成し、一定期間保存しなければならないこととしました(改正法26条)。

 事業者は、自社が保有する個人データを提供する場合、他から個人データを取得する場合双方において厳格な義務が課せられることになり、違反の場合には罰則(改正法第84条)も規定されておりますから、規則が定める確認や記録の方法等について十分に理解して対応頂きたいと思います。

(4)外国にある第三者への個人データ提供を制限した

 改正前個人情報保護法では、個人データが国内で移転する場合と国外に移転する場合を問わず、一律に第三者提供に関する法23条で規定していました。

しかし、企業活動がますます国際化し、個人情報が国境を越えて移転することが日常化してきた現在において、国内で移転する場合とは異なる規律が必要であるとの指摘がなされてきました。

 そこで、改正法では、事業者が外国にある第三者に個人データを提供する場合には、次の①~③のいずれかに該当する場合に認めることとしましたので、事業者はよくご確認下さい(改正法第24条)。

① 外国の第三者へ提供することについて本人の同意を得ている場合
② 第三者が日本の個人情報保護制度と同等の水準であると認められる国にある場合
③ 第三者が個人情報保護法に相当する措置を継続的に行うために必要な体制を整備している場合


6 匿名加工情報に関するルール

 匿名加工情報というのは、一定の措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元できないようにした情報のことです。

 IT技術の飛躍的な進歩によりビッグデータの利活用が要請されており、匿名加工情報を適性に運用することにより、新事業や新サービスの創出や、国民生活の利便性の向上が図られることになります。そこで、改正法では、匿名加工情報は、一定の条件の下、本人の同意を得なくても自由に利活用することができることとしました。

 すなわち、事業者が匿名加工情報を作成する場合には、適正な加工をすること、削除した情報や加工の方法に関する情報の漏えいを防止するための安全管理措置を講ずること、匿名加工情報に含まれる情報の項目の公表すること、加工前の個人情報における本人の特定をすることが禁止されること、苦情があった場合に処理すべきこと(努力義務)等のルールが定められています(改正法第36条)。また、事業者が匿名加工情報を第三者に提供する場合には、匿名加工情報に含まれる情報の項目と提供の方法を公表すべきこと、提供先に対して匿名加工情報であることを明示すべきこと等が求められています(改正法第36条、37条)。さらに、事業者が匿名加工情報を第三者から受領した場合には、加工前の個人情報における本人の特定をすることが禁止されること、加工方法の取得が禁止されること、苦情があった場合に処理すべきこと(努力義務)等のルールが定められています(改正法第38条、39条)。事業者は、それぞれの場面において条件をクリアしているかどうか十分ご注意下さい。


7 本人からの開示請求権等が規定された

 改正法では、事業者は、その個人情報が保有個人データである場合には、第三者の利益を害する等の一定の場合を除き、原則として本人からの開示請求に応じなければならないものとされました(改正法第28条)。また、事業者の保有個人データの内容に誤りがある場合には、本人からの請求に応じて訂正・削除を、事業者が法第16条、第17条、第23条1項、第24条の義務に違反している場合には、本人からの請求に応じて保有個人データの利用の停止・消去等をしなければならないものとされました。事業者の方は、本人からの請求に対しては適切に対応するようにして下さい。


8 国による監督等が強化された

 改正法では、国は、事業者が法律上の義務に違反していると疑われる場合には、事業者に対して、必要に応じて報告を求めたり、立入検査を行ったりすることができ、また、その実態に応じて、必要な指導、助言を行うほか、勧告、命令を行うことができることとされました(改正法第40条~42条)。

 また、個人情報データベース等を取り扱う事務に従事する者又は従事していた者等が、不正な利益を図る目的で個人情報データベース等を提供し、又は盗用した場合には、1年以下の懲役又は50万円以下の罰金が科されることとなりました(改正法第83条)。

 このように監督や罰則も強化されていますから、事業者の皆さまは十分にご注意下さい。