SOHOや小規模事業者も対象に!2017年施行 法・制度改正
改正「個人情報保護法」

概要

個人情報保護法が改正されることを知っているだろうか──

すっかりマイナンバー制度の話題に隠れてしまったが、改正個人情報保護法はすでに成立しており、遅くとも2017年上期中には施行される。個人情報をビッグデータとして使いやすくなる一方で、対象事業者の拡大や情報漏えいに対する罰則が強化される方向だ。

本稿では、概要と対策を見ていく。なお、詳細は各省庁のガイドラインなどを参照してほしい。

個人情報取扱事業者の拡大

「個人情報の保護に関する法律」が改正される(以下、改正個人情報保護法)。2015年9月に衆院本会議で可決・成立。そこから2年以内の全面施行とされており、2017年春頃の見通しという。

そもそも、個人情報保護法とは個人情報の取り扱いや守るべきルールを定めた法律のことで、2005年4月に全面施行された。以後、個人情報を取り巻く環境の変化や、大規模漏えい事件の発生、世界基準とのかい離といった背景から、見直しが行われた。

主な改正点と概要は表1にまとめた通り。このうち、SOHOや小規模事業者などにとって看過できないポイントが、「定義の明確化等」で新たに規定された「個人情報取扱事業者の拡大」だ。

端的にいえば、個人や小規模に関わらず個人情報を扱う事業者は、個人情報取扱事業者として改正個人情報保護法の適用を受けることになる。

というのも、現行法では「5000件を超える(5001件以上)個人情報をデータベース等として所持し、それを事業に利用するもの」を個人情報取扱事業者としていた。だが、改正法では件数要件が撤廃される。

規定では、法人に限定されず、営利や非営利かも問われない。顧客や会員名簿などの個人情報を扱う以上は、個人や法人、NPO、自治会などほぼすべての組織が個人情報取扱事業者と定義される。これに伴い、改正個人情報保護法上の義務を負うこととなり、適切に対処しなかった場合には罰則が科される可能性もあるわけだ。

従来通り、マスコミや著述業、学術研究機関、宗教や政治団体が、その活動の目的で個人情報を利用する場合には個人情報取扱事業者としての義務は適用されない。

ただし、適切な安全管理措置は必要であり、業務上で知り得た個人情報を漏らした場合など、処罰される可能性はある。

<表1 個人情報保護法の主な改正点と概要>

改正目的 改正項目 概要
定義の明確化等 個人情報の定義の明確化
第2条第1項/第2項
顔認識データ等などの特定個人の身体的特徴を変換したものなどは、特定の個人を識別する情報であるため、これを個人情報として明確化する。
要配慮個人情報
第2条第3項
本人に対する不当な差別や偏見が生じないように、人種、信条、病歴などが含まれる個人情報については、本人同意を得て取得することを原則義務化し、本人同意を得ない第三者提供のオプトアウト(特例)を禁止する。
個人情報データベース等の除外
第2条第4項
個人情報データベースなどの利用方法からみた場合に、個人の権利や利益を害するおそれが少ないものを除外する。
個人情報取扱事業者の拡大
第2条第5項
取り扱う個人情報が5000人以下の事業者へも本法を適用する。
適切な法律の下で個人情報等の有用性を確保 匿名加工情報
第2条第9項/第10項/第36条~第39条
特定の個人を識別することができないように個人情報を加工したものを匿名加工情報と定義し、その加工方法を定めると共に、事業者による公表など、その取扱いについての規律を設ける。
利用目的の制限緩和
第15条第2項
個人情報を取得した時の利用目的から新たな利用目的へ変更することを制限する規定を緩和する。
個人情報の保護を強化
(名簿屋対策)
オプトアウト規定の厳格化
第23条第2項~第4項
オプトアウト規定(特例)により第三者提供を行う場合、データ項目などを個人情報保護委員会へ届出。同委員会は、その内容を公表する。
トレーサビリティの確保
第25条、第26条
データの受領者は提供者の氏名やデータの取得経緯などを確認・記録して、それを一定期間保存。また、データ提供者も受領者の氏名などを記録して一定期間保存する。
データベース提供罪
第83条
個人情報データベースなどを取り扱う事務に従事する者、または従事していた者が、不正な利益を得る目的で、その個人情報データベースなどを第三者に提供、または盗用する行為を処罰する。
個人情報保護委員会の新設、その権限 個人情報保護委員会施行時点/全面施行時点(*1) 内閣府の外局として個人情報保護委員会を新設し、現行の主務大臣の持つ権限を集約し、立入検査の権限などを追加する(報告徴収、立入検査の権限は事業所管大臣などに委任可能)。
個人情報取扱いのグローバル化 外国事業者への第三者提供
第24条
個人情報保護委員会の規定に則した方法、または個人情報保護委員会が認めた国、または本人同意により外国への第三者提供を可能とする。
国境を越えた適用と外国執行当局への情報提供
第75条、第78条
物品やサービスの提供に伴い、日本の住居者などの個人情報を取得した外国の個人情報取扱事業者についても、本法を原則適用。また、執行に際して外国執行当局への情報提供を可能とする。
その他改正事項 開示、訂正等、利用停止等
第28条~第34条
本人による開示、訂正等、利用停止等の求めは、裁判所に訴えを提起できる請求権であることを明確化する。

参考)経済産業省のガイドラインと各種資料
(*1)施行時点(2016.1.1):第50条~第65条/全面施行時点:第40条~第44条、第59条~第74条

利用目的の特定と適正取得

では、新たに個人情報取扱事業者となる個人や法人は、どうすればよいのか。まずは、改正個人情報保護法の全体像を理解した上で、必要な対策を講じることだ。

表2は、改正個人情報保護法の全体像と守るべき義務を概要としてまとめたもの。これをベースに見ていく。

個人情報保護法では、保護を必要とする情報が、大きく「個人情報」「個人データ」「保有個人データ」という3つの概念に分けられており、イメージとしては個人情報を活用していく流れに沿ったものとして理解すると分かりやすい。

それぞれで守るべき義務が定められており、保有個人データでは個人情報と個人データに加えて「公表・開示等」に関わる保護ルールを守る必要があるなど、フェーズが進むに従って義務範囲は広くなる。

「個人情報」の定義と、義務の内容から見ていこう(表2-①)。

個人情報とは、「生存する個人の情報であり、特定個人を識別できる情報」のこと。例えば、氏名や生年月日などをいい、その定義は現行法と変わらない。これらに加え、改正法では「個人識別符号」が新たに個人情報であると明確化された。

個人識別符号には、大きく「身体の一部の特徴を電子計算機のために変換した符号」と「サービス利用や書類において対象者ごとに割り振られる符号」の2つが挙げられている。前者はDNAや指紋、虹彩、顔認識データなど、後者は旅券や基礎年金などの公的な番号が該当。その他詳細は、政令や規則で個別に指定される予定だ。

これらの情報はすべて個人情報と定義され、「取得・利用」にあたっては、以下のような義務を負う。

まず、個人情報をどのような目的で利用するかを具体的に特定し、それを公表または本人に通知しなければならない。

サービス申込や懸賞の応募などの要項で、「個人情報の取扱いについて」といった項目が記載されているのを見たことがあるだろうか。公表や通知の概念は、これをイメージすれば分かりやすいはずだ。

取得した個人情報は特定した目的の範囲内で利用することとされており、例えば商品発送のために取得した氏名や住所を自社商品の宣伝などに使うことはできない。他の目的で利用したい場合には、本人の同意を得る必要がある。ただし、法令に基づく場合や人の生命に関わる場合などは同規定から除外される。

また、利用目的の変更について改正法では規制が緩和(第15条2項)されており、取得時の目的と関連性があれば一定の範囲内で利用目的を変更できる点は覚えておきたい。

さらに、個人情報では「要配慮個人情報」についても定義されている。これは、人種や信条、病歴、前科などの他、身体の障害や健康診断の結果といった情報をいい、他の個人情報より一段高い規律が適用される。その取得には本人の同意が必要となるが、他の情報と同じく法令に基づく場合などは適用外となる。

<表2 個人情報保護法の主な改正点と概要>

①個人情報
・生存する個人の情報で、特定の個人を識別できる情報(氏名や生年月日、他の情報との照合により容易に特定個人を識別できる情報など)・個人識別符号が含まれるもの(※)。
※身体の一部の特徴を電子計算機のために変換した符号(DNA/顔/虹彩/声紋/歩行の態様/手指の静脈や指紋、掌紋など)
※サービス利用や書類で対象者ごとに割り振られる番号(旅券番号/基礎年金番号/免許証番号/住民票コード/マイナンバー/各種保険証など)
・要配慮個人情報(人種/信条/社会的身分/病歴/犯罪歴や犯罪被害の事実など)。
「個人情報」の守るべき義務範囲
取得・利用 利用目的の特定
第15条
・個人情報を扱うにあたって、利用目的を可能なかぎり特定する。
・利用目的を変更する場合、変更前との関連性があると認められる範囲を超えて行ってはいけない。
利用目的による制限
第16条
・本人の同意を得ないで、利用目的の達成に必要な範囲を超えて、個人情報を扱ってはならない。
適正な取得
第17条
・偽り、その他不正手段により個人情報を取得してはいけない。
・本人の同意を得ないで、要配慮個人情報を取得してはならない。
取得に際しての利用目的の通知等
第18条
・個人情報を取得した場合、あらかじめ利用目的を公表している場合を除き、速やかに利用目的を本人に通知、または公表する。・契約書や書面(電磁的記録含む)に記載された個人情報を取得する場合、あらかじめ本人に利用目的を明示する。・利用目的を変更した場合、変更後の目的を本人に通知し、または公表する。

②個人データ
「個人情報」のうち、紙媒体や電子媒体を問わず、特定の個人情報を検索できるように体系的に構成したもの(個人情報データベース等)に含まれる個人情報。
「個人データ」の守るべき義務範囲
内容の正確性 データ内容の正確性の確保等
第19条
・利用目的の達成に必要な範囲内で、個人データを正確かつ最新内容に保つと共に、利用の必要がなくなった時は当該データを遅滞なく消去する。
情報管理 安全管理措置
第20条
・取り扱う個人データの漏えい、滅失やき損の防止、その他の個人データの安全管理のために必要かつ適切な処置を講じる。
従業者の監督
第21条
・従業者に個人データを扱わせる際、当該データの安全管理が図られるよう当該従業者を必要かつ適切に監督する。
委託先の監督
第22条
・個人データの取扱いを委託する場合、委託データの安全管理が図られるよう委託先を必要かつ適切に監督する。
第三者提供 第三者提供の制限
第23条
・あらかじめ本人の同意を得ないで、個人データを第三者に提供してはいけない。
第三者提供に係る記録の作成等
第25条
・第三者に個人データを提供する場合、提供者は受領者の氏名などを保存して一定期間保存する。
第三者提供を受ける際の確認等
第26条
・個人データを第三者から受け取る場合、提供者の氏名やデータの取得経緯を記録し一定期間保存する。

③保有個人データ
「個人データ」のうち、開示/訂正/消去等の権限を有し、かつ6カ月を超えて保有するもの。
「保有個人データ」の守るべき義務範囲
公表・開示等 保有個人データに関する事項の公表等
第27条
・事業所名/利用目的/請求手続きの方法/苦情の申出先などを、原則として本人が知り得る状態に置く。
開示
第28条
・本人からの請求に応じて、開示する。
訂正等
第29条
・本人からの請求に応じて、内容が事実でない場合、原則として利用目的の達成に必要な範囲内で調査し訂正する。
利用停止等
第30条
・本人からの請求に応じ、「利用目的による制限」「適正な取得」「第三者提供の制限」違反がある場合、必要な限度で利用を停止する。
④罰則 国からの命令違反 ・6カ月以下の懲役または30万円以下の罰金
虚偽の報告等 ・30万円以下の罰金
個人情報データベース等不正提供罪 ・従業員などが不正な利益を得る目的で個人情報データなどを提供、または盗用した場合、1年以下の懲役または50万円以下の罰金

参考)経済産業省のガイドラインと各種資料

 

個人データは安全に管理

取得された個人情報は、紙や電子データなどの顧客台帳やリストとして事業に利用するのが一般的だろう。改正個人情報保護法は、これらを「個人データ」と定義し、個人情報で課された守るべきルールに加えて、「内容の正確性」「情報管理」「第三者提供」についての義務を定めている(表2-②)。

このうち、特に大事なポイントが情報管理と第三者提供の2つだ。

情報管理とは、個人情報の外部漏えいを防ぐため、データベースなどを安全に守ること。条文では、安全管理措置の他、従業者や委託先の監督義務として規定されている。

安全管理措置では「個人データの漏えいや滅失、き損を防ぎ、安全管理のために必要かつ適切な処置を講じること」とされ、これを実現するものとして、内閣府外局の個人情報保護委員会の他、各省庁もガイドラインを示している。

図1は、個人情報保護委員会が策定したもの。4つの側面から、個人情報を安全に管理するために取り組むべき措置がまとめられている。

だが、個人や小規模事業者が一般的な義務や手法例である同ガイドライン通りに安全策を講じるには負担が大きい。

このため、安全管理措置などについては従業員数が100人以下の事業者向けに特例が示される見通しだが、これを満たす事業者でも、取り扱う個人情報の数が5000人を超える場合や、委託を受けて個人データを扱う場合は除外されるという。

特例が示されるとはいえ、個人情報が漏えいするような不祥事が起きた場合、事業への影響度は大きい。この意味で、社内の個人情報をしっかりと守る仕組みが必要だ。

個人情報を保護するのに特別なツールがあるわけではなく、既存のセキュリティ機器を駆使して情報漏えいや持ち出しを防ぐシステムを構築すればよい。

その一例が図2である。前述した個人情報保護委員会によるガイドラインから軸となる重点ポイントをピックアップして構築したセキュリティ対策だ。これだけでも、「安全性が格段にアップする」とセキュリティの専門家も推奨する手法である。参考にしてはいかがだろうか。

図1 個人情報保護委員会による「安全管理措置」ガイドラインの概要

015-001

図2 個人情報保護委員会のガイドラインに基づく安全管理措置対策

015-002

厳格化された第三者提供

一方、第三者提供は、今改正で個人情報の保護の強化(表1参照)として重視されたポイントだ。個人データを他人に渡す場合のルールが規定されており、原則として本人同意がなければデータを第三者へ提供することはできない。

ただし、以下の3つのケースではこのルールは適用されない。前述の法令に基づく場合や人の生命に関わる場合などの適用除外項目、委託や事業承継、共同利用など提供先が第三者に当たらない場合、そして「オプトアウト」手続きによる提供だ。

オプトアウトとは、いわば承認を得ずに提供できる特例のこと。「本人の求めに応じて当該データの提供を停止する」「本人が容易に知り得る状態にしておく」「本人への通知事項を個人情報保護委員会へ届け出る(委員会はこれを公表)」といった要件を満たす場合、本人の同意なく提供できる。

なお、要配慮個人情報はオプトアウトによる提供は禁止。外国の第三者提供についても別途ルールが定められており、委託先でも本人同意が必要な場合やオプトアウトを利用できないケースがある。

さらに、改正個人情報保護法の第三者提供では、個人データのトレーサビリティ確保を目的に、提供した記録の作成が求められている(図3)。

個人情報取扱事業者が個人情報データベースの提供を受ける場合、取得経緯などを確認した上で提供者の氏名や提供日、確認事項などの記録を作成して一定期間保存しなければならない。

また、個人情報データベースを提供した事業者も提供日や受領者の氏名などの記録を作成し、一定期間保存する必要がある。

保存期間については原則3年となる方向で、例外的に一定の条件を満たした場合に1年保存が規定されるようだ。

図3 第三者提供のトレーサビリティのイメージ

016-001

保有個人データと罰則

個人データは、一般的に更新されながら長期間にわたって利用されるのが常だ。このため、改正個人情報保護法では事業者に開示や訂正などの権限があり、6カ月を超えて所持する個人データを「保有個人データ」と定義している(表2-③)。

6カ月以内に消去される個人データベースや、他の事業者から編集作業だけを委託されて保持している情報は保有個人データには該当しない。

同データに対して個人情報取扱事業者が守るべきルールは、事業者名や利用目的、請求手続きの方法、苦情の申出先といった内容を、ホームページに公表するなどして本人が知り得る状態に置く。その上で、本人からの請求に応じて個人情報の開示や訂正、利用停止などに対応する義務を負う。

改正個人情報保護法では、表2-④に示したように、罰則規定も設けられている。個人情報データベース等不正提供罪は、今改正で追加されたもので、情報を持ち出して不正な利益を得ようとした者に対し、「1年以下の懲役または50万円以下の罰金」が科される。

以上が、改正法の概要だ。個人情報の扱い方は業種業務によってもさまざまで、条文の解釈も一律には当てはまらない。

このため、2017年初頃にはガイドラインやQ&Aを公開するという。詳細については、これらを確認すると共に、個人保護委員会の規則などを参照してほしい。また、専門家などへの相談もお勧めだ。