改正個人情報保護法に備え、これだけは確認しておこう！

2017/05/09 (2023/01/16)

お役立ちサイト. 5,732 views

プライバシーマーク制度におけるプライバシーマーク付与適格性審査の基準でもある JIS Q 15001 も見直し検討が進められており、改正個人情報保護法の全面施行後に改正・公表されることになっております。

ともあれ、改正個人情報保護法は5月31日に全面施行されることとなり、各組織にてその対応が必要となってきます。

そこで、改正個人情報保護法はどう変わったのか？、新たにどのようなことに対応しなければならないのか？を以下にまとめてみました。

経済産業省がホームページで公開している『「個人情報」の「取扱いのルール」が改正されます！』（パンフレット）をもとに、個人情報保護法の改正ポイントを作っております。

改正個人情報保護法への対応として、ご参考にしていただければ幸いです。

1. 定義の明確化等

個人情報の定義の明確化（法第2条第1項）
氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録に記載若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）を個人情報として明確にする。
個人識別符号（法第2条第2項）
身体の一部の特徴を電子計算機のために変換した符号（DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋）や、サービスの利用もしくは商品購入において対象者ごとに割り当てられる符号（例　公的な番号：旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証等）を「個人識別符号」と定義づけ、これが含まれるものも個人情報として取り扱う。
要配慮個人情報（法第2条第3項、法第17条）
本人に対する不当な差別又は偏見が生じないように、人種、信条、病歴等が含まれる個人情報については、本人の同意を得て取得することを原則義務化し、本人の同意を得ない第三者提供の特例（オプトアウト）を禁止する。
個人データベース等の除外（法第2条第4項）
個人情報データベース等にて利用方法からみて権利利益を害する恐れの少ないものは除外されました。
小規模取扱事業者への対応（法第2条第5項）
取り扱う個人情報が5,000人分以外の事業者へも本法を適用される。

2. 匿名加工情報

参考：個人情報の保護に関する法律についてのガイドライン（匿名加工情報編）

定義（法第2条第9項、第10項）
特定の個人を識別することができないように個人情報を加工したものを「匿名加工情報」と定義されました。
作成等（法第36条）
特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。
作成時に削除した記述等及び個人識別符号、加工方法に関する情報の漏えいを防止するため、個人情報保護委員会規則で定める基準に従い、安全管理のための措置を講じなければならない。
匿名加工情報に含まれる個人に関する情報の項目を、個人情報保護委員会規則で定めに従い、公表しなければならない。
提供（法第37条）
匿名加工情報を第三者に提供するときは、個人情報保護委員会規則で定めに従い、あらかじめ情報の項目及びその提供の方法について公表し、第三者に対して提供情報が匿名加工情報である旨を明示しなければならない。
識別行為の禁止（法第38条）
匿名加工情報を自ら取り扱うに当たっては、作成に用いられた個人情報に係る本人を識別するために、匿名加工情報を他の情報と照合してはならない。
安全管理措置（法第39条）
匿名加工情報の安全管理のために必要かつ適切な措置、作成その他の取扱いに関する苦情の処理、その他適正な取扱いを確保するために必要な措置を講じ、かつ措置内容を公表するよう努めなければならない。

3. 利用

利用目的の制限の緩和（法第15条第2項）
個人情報を取得した時の利用目的から新たな利用目的へ変更することを制限する規定が緩和されました。
データ内容の正確性の確保等（法第19条）
利用する必要がなくなった際の当該個人データを遅滞なく消去すること。

4. 第三者への提供（名簿屋対策）

参考：個人情報の保護に関する法律についてのガイドライン（第三者提供時の確認・記録義務編）

オプトアウト規定の厳格化（法第23条第2項～第4項）
本人の同意を得ない場合（オプトアウト）で第三者提供する場合の条件として、個人情報保護委員会への届け出ること（提供内容の変更時も同様）。
届け出る及び本人への通知又は容易に知る得る状態に置くべき事項に、「本人の求めを受け付ける方法」が追加。
個人情報保護委員会は、その内容を公表すること。
第三者提供に係る記録の作成等（法第25条）
個人データを第三者に提供したときは、提供した年月日、第三者の氏名又は名称、その他の個人情報保護委員会規則で定める事項を記録し、定められた期間保存すること。
第三者提供を受ける際の確認等（法第26条）
第三者から個人データの提供を受ける場合、提供者の氏名又は名称、住所、法人の場合はその代表者、取得の経緯を確認し、提供を受けた年月日と確認した事項を記録し、定められた期間保存することが追加。
データベース提供罪（法第83条）
個人情報取扱事業者若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等（その全部又は一部を複製し、又は加工したものを含む。）を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、１年以下の懲役又は50万円以下の罰金に処することが明記された。

5. 個人情報の取扱いのグローバル化

参考：個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編）

外国にある第三者への提供の制限（法第24条）
外国にある第三者に個人データを提供する場合は、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならないことが追加。
なお、同等の水準にあると認められる個人情報の保護に関する制度を有している国として個人情報保護委員会規則で定める場合、または個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している場合は除く。
国境を越えた適用と外国執行当局への情報提供（法第75条、法第78条）
物品やサービス提供に伴い、日本の住居者等の個人情報を取得した外国の個人情報取扱事業者についても本法を原則適用する。また、執行に際して外国執行当局への情報提供を可能とする。