個人情報保護法の改正点①

平成29年5月30日に、個人情報保護法が改正されました。多くの個人情報を取り扱うEC・IT事業者にとって、非常に重要な問題ですので、改正個人情報保護法(以下「改正法」と呼びます。)の内容を、今回から2回にわたり書いていきたいと思います。改正点は多岐にわたりますが、EC・IT事業者さんに関わってきそうなポイントに絞って解説していきます。

1 個人情報取扱事業者の5,000人要件の廃止

改正前の個人情報保護法では、個人情報保護法の対象となる「個人情報取扱事業者」を、5,000人分以上の個人データを保有している事業者に限定していました。ですので、この数に満たない個人情報しか扱わない規模の小さい事業者は対象外となっていました。
 しかし、今回の改正で、この5,000人要件が廃止され、5,000人未満の個人データを扱う中小規模の事業者も、個人情報保護法の義務を負うことになり、法令に則った対策が必要になりますので、ご注意ください

 

2 要配慮個人情報の新設

改正法では、個人情報の中でも、特に慎重に取り扱うべきものとして、「要配慮個人情報」という概念が取り入れられました。特に配慮すべき情報であるため、通常の個人情報とは別に、特別な扱いをしています。

2.1 要配慮個人情報とはどのような情報か?

以下のような情報が、要配慮個人情報となります(改正法2条3項、施行規則5条)

  1. ・本人の人種、信条、社会的身分の情報
  2. ・病歴
  3. ・犯罪の経歴
  4. ・犯罪により被害を受けた事実
  5. ・心身の機能障害があること
  6. ・健康診断等の結果
  7. ・健康診断の結果等に基づく指導等
  8. ・刑事事件に関する手続が行われたこと
  9. ・少年の保護事件に関する手続が行われたこと

2.2 通常の個人情報と扱いが異なる点

要配慮個人情報は、以下の点で、通常の個人情報とは異なる扱いがなされます。

2.2.1 情報取得の際に本人の同意が必要(改正法17条2項柱書)

通常、個人情報の取得には、本人の同意は必要とされていませんが、要配慮個人情報は、その情報自体がとてもセンシティブなものなので、取得する際に、原則として、本人の同意が必要とされています。

2.2.2 オプトアウトの方法による第三者提供の禁止(改正法23条2項)

また、一定の手続を行うことで、事前に本人の同意を得ないで、個人データをほかの事業者に提供できる方法として、オプトアウトという制度があります(なお、この制度も今回の改正の対象になっていますので、次回解説致します。)が、要配慮個人情報は、オプトアウトの制度の対象外とされています。

 

3 匿名加工情報の新設

改正法では、「匿名加工情報」という概念を設けて、このような情報を第三者に提供する場合には、本人の同意を不要としています。これは、ビッグデータの活用を主眼として、新設されたもので、今後の運用が注目されます。

3.1 定義

「匿名加工情報」とは、個人情報を一定の方式に則って加工し、特定の個人を識別することができず、当該個人情報を復元することができないようにしたものです(改正法2条9項)。このようにして加工された匿名加工情報は、特定の個人を識別できないため、個人情報にはあたらなくなります。

3.2 個人情報を匿名加工情報として加工する方法

匿名加工情報を加工する際には、特定の個人を識別すること、及びその作成に用いる個人情報を復元することができないようにしなければなりません(改正法36条1項)。その具体的な方法については、施行規則19条により以下のように定められています。

  1. ・特定の個人を識別できる記述等の削除
  2. ・個人識別符号(マイナンバー・運転免許証番号など)の削除
  3. ・情報を相互に連結する符号(ユーザーID等)の削除
  4. ・特異な記述(その情報があることで本人が特定できてしまうようなもの)等の削除
  5. ・個人情報データベース等の性質を踏まえたその他の措置を行うこと

法律上は、このように、抽象的な定めしかないので、具体的にどの程度まで「匿名化」すればよいかは、なかなかわかりづらいところですが、個人情報保護委員会が出している「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」に、具体的な例を含めて記載がありますので、ご参照いただければと思います。

3.3 匿名加工情報の作成後の義務

匿名加工情報を作成した後、事業者が負う義務には、以下のようなものがあります。
ただし、義務を負うのは、匿名加工情報を複数作成し、データベース化して保有する場合に限定されています(改正法36条1項)。

  • 削除した記述や加工方法等の情報等の漏洩を防ぐ為の安全管理義務(改正法36条2項)
  • 匿名加工情報の公表義務(改正法36条3項、施行規則21条1項)
  • 匿名加工情報を作成した場合には、その匿名加工情報に含まれる個人に関する情報の項目を、遅滞なく、インターネットなどの方法により、公表しなければなりません。

  • 識別禁止義務(改正法36条5項)
  • 匿名加工情報を取り扱うにあたっては、その匿名加工情報を作成する際に用いられた個人情報にかかる本人を識別する目的で、他の情報と照合することが禁止されています。

  • 匿名加工情報の安全管理措置、苦情の処理等の必要な措置を講じ、かつ、当該措置の内容を公表する努力義務(改正法36条6項)

3.4 匿名加工情報を第三者に提供する際の注意点

匿名加工情報を第三者に渡す場合には、個人データの第三者提供のような本人の同意は必要とされていませんが、以下の義務がありますので、ご注意ください(改正法36条4項)。

3.4.1 匿名加工情報の提供をする際の公表義務

第三者に匿名加工情報を提供する場合には、以下の情報を、インターネットの利用その他適切な方法で公表しなければなりません。

  • ・提供する匿名加工情報の項目
  • ・匿名加工情報を第三者へ提供する方法(ハードコピーで郵送するなど)

3.4.2 提供先への匿名加工情報である旨の明示義務

第三者提供を行う場合には、提供先に対して、その情報が匿名加工情報である旨を明示しなければなりません。明示の方法については、電子メールを送信する方法又は書面を交付する方法、その他適切な方法により行うものとされています(施行規則22条2項)。

 

4 まとめ

今回の個人情報保護法の改正により、さまざまな点が変わりましたので、改正に応じた対策が必要になります。他にも改正点はありますので、次回も引き続き、個人情報保護法の改正について書きたいと思います。

  • このエントリーをはてなブックマークに追加

関連記事

運営者情報

お気軽にお問い合わせ下さい

ページ上部へ戻る