先の国会では安全保障関連法案が注目されていたことは記憶されていると思います。しかしその裏では、様々な重要法案が審議され、成立しています。
今回取り上げる個人情報保護法の改正案もその一つです。今回の法改正は、個人情報保護法が全面施行されてから10年ぶりという節目になります。
今回の法改正では、ビッグデータを背景にした個人データの活用に注目されていますが、本来の目的である「保護」の面でも、様々な変更が行われています。また、大企業ばかりでなく、中小企業や店舗経営者を含む、すべての事業者に影響があります。
現時点では法改正の段階なので、具体的な内容についてはまだ不透明な部分も多いのですが、個人情報保護法の改正案で企業が留意すべき点を確認し、施行までの期間でどう対応すべきか検討します。

個人情報保護法の改正案のポイント

今回成立した個人情報保護法の改正案のポイントを以下のようにまとめました。
個人情報保護法の改正案のポイント

ポイント1:個人情報保護委員会の新設
現行法では個人情報保護法の所管は消費者庁であり、各省庁の主務大臣が所管する業界の事業者に対して監督を行なっています。改正案によって法律の所管は「個人情報保護委員会」に移るとともに、主務大臣の権限も当該委員会に一元化されます。「個人情報保護委員会」は行政から独立した、内閣総理大臣直属のプライバシー保護の専門機関であり、マイナンバー制度で設立された「特定個人情報保護委員会」を改組するものです。「個人情報保護委員会」は、個人情報保護に係る規則等の策定のほか、認定個人情報保護団体(企業の自主規制団体)の認定、苦情処理のあっせん、企業に対する報告の要請、等を行います。
また、海外のプライバシー保護を所管する公的な専門機関と連携して、個人情報の流通や保護に関する国際的な窓口となります。

ポイント2:匿名加工情報の枠組を新設
今回の改正案で最も注目されているのが、個人データを活用するための情報カテゴリーとして、「匿名加工情報」を新設したことです。改正案では「匿名加工情報」について、以下のように定義付けています。

「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」

なお、「匿名加工情報」を加工するにあたっての基準や取り扱いは、個人情報保護委員会で定めることになっております。

ポイント3:個人情報の定義を明確化
現行法の施行から10年が過ぎ、その間の技術の進化や社会環境の変化から、個人情報とするかどうかが不明確な情報が産まれてきました。改正案ではこうした「グレーゾーン」の解消を目指しております。
現行法で定義されている個人情報は、以下の通りです。

「氏名、生年月日その他の記述等により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」

改正案では上記に加えて、以下の定義が追加されています。

「個人識別符号が含まれるもの」

ここで表れた「個人識別符号」は以下を指すものです。

  • 特定の個人の身体の一部の特徴を電子計算機で使用するために変換した符号
  • 個人に提供されるサービスや商品購入の際に割り当てられた符号

前者の例は生体認証情報、後者の例は免許証番号やパスポート番号などが挙げられます。携帯電話番号等は議論の最中にあり、現時点では「個人識別符号」に含まれるかどうかは判定できません。こちらについても「個人情報保護委員会」で今後議論されます。
個人情報のうち、いわゆる機微情報については「要配慮個人情報」として、以下のように定義されています。

「人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」

この「要配慮個人情報」は一定の場合を除き、取得してはいけないとされています。
最後に、現行法では個人情報取扱事業者の除外要件の一つとして定められている、
「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」(現行法第二条第三項第五号)
の記載が削除されていることです。現状、上記に基づき、施行令で個人情報の取扱件数が5,000件以下の事業者は個人情報取扱事業者から除外されていますが、今回の改正案によって、中小企業や店舗経営者等を含むすべての事業者が個人情報取扱事業者としての責務を果たす必要があります。

ポイント4:名簿屋対策の強化
昨年、ベネッセコーポレーションの顧客情報漏えい事件で、大量の顧客情報がいわゆる名簿屋を通じて流通していたことを受けて、改正案にはこうした名簿屋による不適切な顧客情報を流通させないような対策が盛り込まれました。
第三者提供の際には本人の同意を得るのが原則ですが、現行法ではWebサイト等にオプトアウトの手段を示すことで、本人の明確な同意が無くても個人情報の販売が可能であり、いわゆる名簿屋はこの規定をうまく利用していました。しかし改正案では、オプトアウトの内容について、

  • 個人情報保護委員会規則で定める方法で本人に通知、または本人が容易に知り得る状態に置く
  • 人情報保護委員会に届け出なければならない

という記述が追加され、厳格化が図られています。
また、個人データを実際に第三者に提供する際には、以下の内容を求めることでトレーサビリティを確保しようとしています。

  • 提供元:個人情報保護委員会規則で定める方法で、個人データを提供した年月日や提供先の氏名等の記録を作成し、一定期間保存しなければならない。
  • 提供先:個人情報保護委員会規則で定める方法で、提供元が個人データを取得した経緯等を確認するとともに、個人データの提供を受けた年月日等の記録を作成し、一定期間保存しなければならない。

この記録作成については、通常の業務の中で発生する事象もあることから、企業の負担軽減について議論されています。
個人情報データの不適切な提供について、テータベース提供罪が新設されました。不正な利益を図る目的で個人情報データベース等を提供・盗用したときは、一年以下の懲役、または五十万円以下の罰金が課せられます。

ポイント5:グローバル化対応
企業活動やサービス利用のグローバル化が進むにつれて、海外の個人情報を日本で使用したり、逆に日本で取得した個人情報を海外に移転したりする要請が出てきました。しかし、現行法ではグローバル化への対応が十分でなく、個人情報の保護レベルが低いとみなされています。
改正案では、海外企業が国内の販売やサービス提供の過程で個人情報を取得する場合も、日本の個人情報保護法を適用するよう定められています。個人情報保護委員会は、海外のプライバシー保護を所管する当局に対する情報提供が可能となっています。
また、個人情報を外国の第三への提供が可能となるのは、個人情報保護委員会の規則に則った方法、個人情報保護委員会が日本と同等の個人情報保護レベルにあると認定した国、または本人同意のいずれかの場合に限定されます。

ポイント6:3年ごとの内容見直し
現行法の施行から10年が経過し、当時とは個人情報を取り巻く様々な環境が大きく変化してきましたが、法律は大きな改正が無いことから、現実社会とのギャップが広がってきました。そのため、改正案では施行後3年ごとに、以下の状況を勘案し、法改正を含めた見直しを図ることを定めています。

  • 個人情報の保護に関する国際的動向
  • 情報通信技術の進展
  • 上記に伴う個人情報を活用した新たな産業の創出及び発展の状況等

    今後、企業が対処すべきことは?

    今回の個人情報保護法の改正案が施行されるに当たって、企業や事業者の観点から留意すべき、あるいは対応すべき事項について確認します。

    まず、世間的に注目を集めている「匿名加工情報」の作成や取扱いに関してですが、基本的な原則は改正案で提示されていますが、具体的な加工法、安全管理措置、第三者提供方法などは、今後個人情報保護委員会で決定するので、現時点では詳細に踏み込むことができません。まずは、自社・自組織で「匿名加工情報」を使用する必要があるかどうかを検討すべきでしょう。例え自社内部でデータの利用が完結する場合でも、「匿名加工情報」を取扱うには法的に様々な義務が課せられます。
    まず、自社・自組織と「匿名加工情報」との関係性について以下のどれに当てはまるのかを確認するところから始まります。

  • 「匿名加工情報」を加工する
  • 「匿名加工情報」を提供する
  • 「匿名加工情報」を購入する
  • 「匿名加工情報」をビッグデータ分析等で活用する

以上を類型化すると、以下の様なパターンが考えられます。
匿名加工情報の取扱いパターン(例)
一つ注意する必要があるのは、「匿名加工情報」から個人を特定する行為は禁止されているため、「匿名加工情報」を分析した結果を元のデータベースと突合して対象者を特定することは禁止事項にあたる可能性があります。分析した結果を抽出条件にして元のデータベースから再抽出する等、やり方を工夫する必要があります。

直近でインパクトが大きいと考えられるのは、個人情報取扱事業者の除外要件の撤廃です。ポイント3で提示した通り、現状個人情報の取扱件数が5,000件以下であれば、制度上、個人情報取扱事業者から除外されており、現行法で規定されている義務等を免除されていますが、今回の改正案によって、すべての事業者が個人情報取扱事業者としての責務を果たさなければならなくなります。つまり、

  • 個人情報を取り扱うに当たっては利用目的をできる限り特定する(原則、利用目的の達成に必要な範囲を超えた個人情報の取扱いはできない)
  • 個人情報を取得する場合には、利用目的を通知・公表しなければならない。
  • 個人データを安全に管理する様な措置を整備、運用する。従業員や委託先も監督しなければならない。
  • あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない。
  • 事業者の保有する個人データに関し、本人からの請求に応じて開示する必要がある。
  • 本人から個人データの訂正や削除を求められた場合、これに対応しなければならない。

等々

といったことに対応する必要があります。この影響を大きく受けるのが、顧客数がそれほど多くない中小企業や店舗の経営者といった事業者だと思われます。もちろん、上記の内容について、これまで何もしてこなかったということは無いと思います。例えば自社でWebページを開設し、商品購入や問合せに対応していれば、自社サイトのどこかに個人情報の取扱いに関するページを作成している場合が多いと思われます。しかし、対面の販売等で個人情報を取得する場合、利用目的を説明する事業者はどのくらいでしょうか。また、個人情報を漏えいしないよう、安全管理措置を検討し、整備している事業者はどのくらいでしょうか。
だからといって、大企業と同じレベルの安全管理措置を求められるのか、と心配される方もいらっしゃるかもしれません。決してそういう訳ではなく、自社の規模や事業環境に合わせて最適な対応を行えば十分であり、不必要に過剰な対応をする必要はありません。また、取引のあるシステムベンダーが様々なサービスや製品を売り込みに来るかもしれませんが、必要に応じて取捨選択すればよいと考えます。特に中小企業の大半は、手作業による対応でほとんど対応でき、システム的な対応は必要最低限で十分です。
一度、個人情報取扱事業者として実施すべき義務の内容と、自社の実施状況を比較し、足りない部分を補う様、対応する必要があります。

なお、具体的な対応内容等のガイドラインは今後、個人情報保護委員会から提示されると考えられますが、現行法の範囲に関しては現時点の個人情報取扱事業者が果たすべき義務内容とほとんど変わらないと考えられるので、後で慌てるよりは先行して準備を進める方がよいのでは、と考えます。

上記内容に関するご相談やお問い合わせについては、「お問い合せ」のページからご連絡ください。

デルタエッジコンサルタントでは、個人情報保護法に対応するため、
・規程、手順書等の作成や見直し
・情報セキュリティを含む安全管理措置の策定や見直し
・現行法から改正法への移行に対応するための支援
等のコンサルティングサービスを提供しております。
また、特に上記で提示した、現時点で個人情報取扱事業者ではない事業者に対して、
・現状と何が足りないのかを把握するための簡易診断
・従業員等に対する研修やトレーニング
のサービスも提供しております。
興味や関心がございましたら、ぜひご連絡ください。
コンサルティングサービス-プロセス改善コンサルティングサービス-リスク管理

お問い合わせ