個人情報保護法改正の背景と概要

IT・情報セキュリティ

 個人情報保護法改正の背景とその概要について教えてください。

 「パーソナルデータの利活用」に向けた見直しの要請に基づき、「個人情報の定義の明確化」、「匿名加工情報の取扱いに関する規律」、「利用目的の変更の緩和」がなされました。

 「EUデータ保護指令」の十分性の認定を受けるための要請に基づき、「独立した第三者機関の設置」、「要配慮個人情報の取扱いに関する規律」、「小規模事業者への法の適用」、「越境データ移転についての規律」、「開示請求権等の適用の明確化」がなされました。

 個人情報の漏えい事件に伴う「名簿業者対策」として、「トレーサビリティの確保(個人データの提供・受領時の確認・記録義務)」、「不正な利益を図る目的の漏えい等の刑事罰の設置」、「オプトアウト手続の厳格化」がなされました。

個人情報保護法改正の背景

解説

※本QAの凡例は以下の通りです。

  • 個人情報保護法、改正個人情報保護法:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律(平成27年9月9日法律第65号)に基づく改正後の個人情報保護法
  • 改正前個人情報保護法:全面改正前の個人情報の保護に関する法律
  • 個人情報保護法施行規則:個人情報の保護に関する法律施行規則(平成28年10月5日個人情報保護委員会規則第3号)

参考:改正個人情報保護法に対応!個人情報取扱規程

パーソナルデータの利活用の要請

 情報通信技術の進展により、多種多様・膨大なパーソナルデータが収集・分析されてきていますが、その利活用に取り組む事業者が、特に個人の権利利益侵害に係る問題は発生させていないものの、個人情報として取り扱うべき範囲の曖昧さ(グレーゾーン)のために社会的な批判を懸念して、利活用に躊躇するという「利活用の壁」が出現しており、これまで、パーソナルデータの利活用が十分に行われてきているとは言いがたい状況です。

個人情報であるか否か明らかでない符号・番号

 指紋データ・顔認識データのような身体的特徴を変換した符号や運転免許証番号や旅券番号などの個人に割り当てられた符号が「個人情報」に該当するか明らかでないため、かえって「利活用」の壁になっています。そこで、これらも「個人情報」として位置付けるべきとの要請があります。

利活用の壁となる本人の同意

 目的外利用や第三者提供にあたって「本人の同意」(個人情報保護法16条1項、23条1項)を要することは、パーソナルデータの「利活用の壁」になっています。

 ビックデータの利用という観点では、平成25年6月に、JR東日本(東日本旅客鉄道株式会社)は、Suica利用データから氏名、電話番号、物販情報等を除外し、生年月日を生年月に変換した上、さらに、SuicaID 番号を不可逆の別異の番号に変換したデータを株式会社日立製作所に提供することが明らかになり、多くの利用者から、個人情報の保護、プライバシーの保護や消費者意識に対する配慮に欠けているのではないかとして批判や不安視する声があがりました。これにより、ビックデータの加工・利用・第三者提供について「本人の同意」は不要としつつ、何らかの規律を設けることが求められることになりました。

 また、目的外利用には「本人の同意」が必要であることから、利用目的を追加することが困難で困ることがあります。その観点で「利用目的の変更」(個人情報保護法15条2項)は、「本人の同意」を得ない、利用目的を追加するための手段として機能していますがこれを緩和して欲しいとの要請があります。

改正個人情報保護法における改正点

(1)個人情報の定義の明確化(個人識別符号)(改正個人情報保護法2条1項2号)

 上記1-1の個人情報であるか否か明らかでない身体的特徴である符号(指紋データ、顔認識データ等)や個人に発行される符号(運転免許証番号、旅券番号、個人番号等)を「個人識別符号」として「個人情報」に該当することが明確化されました。

(2)匿名加工情報に関する加工方法や取扱い等の規定の整備(改正個人情報保護法37条、38条)

 特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報を「匿名加工情報」と定義します(改正個人情報保護法2条9項)。そして、作成した事業者には、匿名加工情報の適正加工義務漏えい防止措置義務作成したときの公表義務第三者提供をする場合の公表・明示義務作成した事業者が利用する場合の照合禁止義務安全管理措置等の義務が課せられます(改正個人情報保護法37条)。

 第三者提供を受けた事業者にも、照合禁止義務第三者提供をする場合の公表・明示義務安全管理措置等の義務が課せられます(改正個人情報保護法38条)。

(3)利用目的の変更の緩和(改正個人情報保護法15条2項)

 改正前個人情報保護法では、個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と「相当の関連性」を有すると合理的に認められる範囲を超えて行ってはならないとされています。
 この「相当の関連性」が「関連性」に緩和されることにより、利用目的の変更が容易になります。

EUデータ保護指令に基づく要請

EUデータ保護指令の「十分性の認定」

 EUの指令の一つである「個人データ取扱いに係る個人の保護及び当該データの自由な移動に関する1995年10月24日の欧州議会及び理事会の95/46/EC指令」(Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data)(以下「EUデータ保護指令」といいます)においては、個人データをEU域外の国・地域に移転するためには、原則として当該国・地域が「十分性の認定」を得る必要があります。

 参照:「EU一般データ保護規則が改正個人情報保護法に与える影響

 日本政府は、日本がEUからの個人データの移転が認められる「十分性の認定」を受けるためには、以下の改正をする必要があると考えました。

  • 独立した第三者機関(特定個人情報保護委員会の個人情報保護委員会への改組)
  • センシティブ情報の取扱い
  • 小規模事業者にも個人情報保護法の適用を認めること
  • 越境データ移転についての権限について定めること
  • 開示請求権の適用を明確化すること

改正個人情報保護法における改正点

(1)個人情報保護委員会

 「独立した第三者機関」の要請を受け、平成28年1月1日より、番号法の所管官庁である特定個人情報保護委員会を、個人情報保護法も所管とする個人情報保護委員会に改組しました。個人情報保護委員会は内閣府の下におかれた官庁であり、独立した職務権限の行使が認められた委員会です。
 個人情報保護法の全面施行後、個人情報保護委員会は、個人情報取扱事業者に対しても、報告徴収、命令、認定個人情報保護団体の認定等の権限、立入検査の権限等を有することになります(改正個人情報保護法40条~43条)。

(2)要配慮個人情報

 改正前個人情報保護法では、センシティブ情報(機微情報)に関する規定は置かれていません。

 本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する記述等が含まれる個人情報が「要配慮個人情報」と定義されました(改正個人情報保護法2条3項)。
 個人情報取扱事業者は、原則として、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならないことになります(改正個人情報保護法17条2項)。

(3)小規模事業者への法の適用

 改正前個人情報保護法では、個人情報データベース等を事業の用に供する事業者であっても、事業の用に供する個人データによって識別される特定の個人の数が、直近6か月間5,000以下の者は、「個人情報取扱事業者」には該当せず、個人情報保護法上の義務等を負いませんでした(改正前個人情報保護法2条3項5号)。

 改正個人情報保護法では、この例外が廃止され、個人情報データベース等を事業の用に供する事業者は、事業の用に供する個人データの数の多寡にかかわらず、個人情報取扱事業者に該当することになります。

(4)越境データ移転

①外国の第三者への提供

 改正前個人情報保護法では、個人情報取扱事業者が個人データを第三者に提供する場合には、原則として本人の事前の同意が必要でしたが、①法令に基づく場合等の本人の同意を要しない提供(改正前個人情報保護法23条1項)、②オプトアウトの方法による提供(改正前個人情報保護法23条2項・3項)、③個人データの取扱いの委託の場合、合併等に伴い個人データを提供する場合、共同利用の場合(改正前個人情報保護法23条4項各号)には、本人の事前の同意なしに提供することが認められていました。

 改正個人情報保護法では、個人情報取扱事業者が「外国にある第三者」に個人データを提供する場合には、①個人の権利利益を保護する上で我が国と同等の水準にある外国として個人情報保護委員会規則で定める国・地域にある第三者に提供する場合、または②個人データの取扱いについて個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者に提供する場合、を除き、個人情報保護法23条の適用はなく、法令に基づく場合等(個人情報保護法23条1項各号)、または外国の第三者への提供についての本人の同意がある場合を除き、個人データの提供が認められなくなります。

②国境を越えた個人情報の取扱いに対する適用範囲

 改正前個人情報保護法は、日本国内においてのみ効力があると考えられており、このように国外から国境を越えて商品・サービスを提供する事業者に対しては効力がないと考えられていました。

 改正個人情報保護法では、以下の規定(個人情報保護法15条、16条、18条(2項を除く)、19条から25条、27条から36条、41条、42条1項、43条、76条)は、国内にある者に対する物品または役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者(海外事業者)が、外国において当該個人情報または当該個人情報を用いて作成した匿名個人情報を取り扱う場合にも適用されることになります(改正個人情報保護法75条)。

③外国執行当局への情報提供

 改正個人情報保護法では、外国の個人情報保護委員会に相当する当局(「外国執行当局」)に対してその外国の法律に基づく執行を依頼することができるようにするため、個人情報保護委員会が外国執行当局に必要な情報提供を行うための規定が整備されました(改正個人情報保護法78条)。

(5)開示等請求権の明示

 改正前個人情報保護法では、本人が個人情報取扱事業者に対して保有個人データの「開示」、「訂正等」、「利用停止等」および「第三者提供の停止」を「求めたとき」は、当該個人情報取扱事業者は一定の場合を除きこれに応じなければならないと規定されていました(改正前個人情報保護法25条1項、26条1項、27条1項、2項)。
 しかしながら、改正前個人情報保護法ではこれらの裁判上の請求ができるのか明らかではありませんでした。

 改正個人情報保護法では、開示、訂正等、利用停止等、第三者提供の停止の「求め」が請求権であることを明確化されました(改正個人情報保護法28条1項、29条1項、30条1項、3項)。

名簿業者対策

ベネッセ事件

 平成26年6月27日、ベネッセの業務委託先元社員が、ベネッセの顧客情報を不正に取得し、約3,504万件分の情報を名簿業者3社へ売却したことが発覚しました(参照:ベネッセお客様本部「事故の概要」)。
 これに伴い、個人データの移転の過程の透明性を図ること(トレーサビリティの確保)、不正な利益を図る目的による個人データの提供について刑事罰を科することが要請されることになりました。

 また、名簿業者によって、本人が認識できない形でオプトアウトによる個人データの第三者提供をしていることが問題となり、オプトアウトの手続を厳格化することが要請されることになりました。

改正個人情報保護法における改正点

(1)トレーサビリティの確保(第三者提供における確認義務・記録の作成・保存義務)

 個人情報取扱事業者は個人データを第三者に提供する場合、「当該個人データを提供した年月日」、「当該第三者の氏名又は名称その他の当該第三者を特定するに足りる事項」、「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」、「当該個人データの項目」等を記録し、一定期間保存することが必要となります(改正個人情報保護法25条、個人情報保護法施行規則13条)。

 また、個人情報取扱事業者は、第三者から個人情報の提供を受ける場合には、「当該第三者の氏名及び住所」等および「当該第三者による当該個人データの取得の経緯」を確認し、これらの事項と共に、「当該個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項」や「当該個人データの項目」等を記録し、一定期間保存することが必要となります(改正個人情報保護法26条、個人情報保護法施行規則17条)。

(2)不正な利益を図る目的の漏えい等の刑事罰

 改正前個人情報保護法には、個人情報取扱事業者が義務規定に違反しても直接罰則を科する規定はありませんでした。

 改正個人情報保護法では、個人情報取扱事業者(その者が法人である場合にあっては、その役員、代表者または管理人)もしくはその従業者またはこれらであった者が、その業務に関して取り扱った個人情報データベース等を自己もしくは第三者の不正な利益を図る目的で提供し、または盗用したときは、1年以下の懲役または50万円以下の罰金に処せられることになります(改正個人情報保護法83条)。法人も両罰規定として50万円以下の罰金に処せられることになります(改正個人情報保護法87条)

(3)オプトアウトの手続の厳格化

 オプトアウトの手続の通知または本人が容易に知り得る状態に置く事項として、「本人の求めを受け付ける方法」が追加されます。また、オプトアウトに関する事項について、個人情報保護委員会に事前に届け出なければなりません。個人情報保護委員会はその事項を公表することが求められます(改正個人情報保護法23条2項~4項)。

その他の改正

個人データの消去の努力義務

 個人情報取扱事業者は、個人データを利用する必要がなくなったときは、遅滞なく当該個人データを消去するよう努めなければならないことになります(改正個人情報保護法19条)。

 これは、クラウドコンピューティングの普及等、情報通信技術の進展に伴い、安価で簡単に膨大な量の情報が保有し続けられることから、個人情報を利用しなかった後も半永久的に保有し続けられるのではないかとの個人の不安が高まっていることから定められたものです。

個人情報データベース等からの適用除外

 ①不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法または法に基づく命令の規定に違反して行われたものでないこと、②不特定かつ多数の者により随時に購入することができ、またはできたものであること、③生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること、のいずれにも該当するものは、「個人情報データベース等」から除外されます(改正個人情報保護法2条4項、個人情報保護法施行令3条)。

 これにより、市販の電話帳やカーナビゲーションシステム等が「個人情報データベース等」に該当しないことが明確化されました。

コンテンツの更新情報、法改正、重要判例をもう見逃さない!メールマガジン配信中!無料会員登録はこちらから
  • facebook
  • Twitter

関連する特集