皆様、こんにちは。
経営管理を担当している川本です。
改正個人情報保護法が2017年5月30日に施行され、これまでは個人情報保護法の適用対象外であった中小企業もその対象となりました。そこで、改正のポイント及び中小企業の実務に与える影響の概要をまとめました。
■個人情報保護法とは
「個人の権利・利益の保護」と「個人情報の有用性」とのバランスを図るための法律です。個人情報の取扱いに関する基本理念や、個人情報取扱事業者が個人情報の取得・利用・提供等の一切の行為について遵守すべき義務等について定めています。
■改正のポイント
これまでは、取り扱う個人情報数が過去6か月間一度も5,000人を超えていない小規模事業者には個人情報保護法は不適用でした。しかし、データの利用に関して個人情報とそうでない情報の境界が曖昧となってきたことや、個人情報保護法の内容が時代に合わなくなってきた面があり、個人情報保護法が改正されました。そして、この改正個人情報保護法の施行に基づき、2017年5月30日以後、ほぼ全ての企業に個人情報保護法順守の義務が課されることとなりました。よって、個人情報を検索可能な方法でデータベース化している企業は、改正個人情報保護法の対象となります。従業員や取引先が無く、個人情報を取り扱わないという企業は通常は考えられませんので、原則として全ての企業が改正個人情報保護法の対象となります。主な改正点は以下の通りです。
(1)定義の明確化
1. 個人識別符号
ある情報単体で特定の個人を識別可能なものとして、個人情報保護法・同法施行令で定められている符号で、下記のものをいいます。これらが個人情報に含まれることが明確になりました。
・特定個人の身体的特徴を、電子計算機の為に変換した符号。(例: 顔認識データ、指紋認識データ)
・対象者毎に異なるものとなるようにサービスの利用、商品の購入又は書類に付される符号(例: 旅券番号、運転免許証番号、マイナンバー)
2. 要配慮個人情報
これまでに全く無かった概念として新設されました。具体的には下記のものをいいます。
・人種、信条、社会的身分、病歴、前科・前歴、犯罪被害情報
・その他本人に対する不当な差別、偏見が生じないように特に配慮を要するものとして政令で定めるもの
この要配慮個人情報の新設による変更点は大きく分けて2点あります。
まず、要配慮個人情報は本人の同意を得ない取得は原則禁止であり、同意が無ければ取得するだけでも違法となります。
もう1点はオプトアウト規定(旧法では、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているときは、当該個人データを第三者に提供することができた(保護法23条2項))から外されたことです。これにより個人データの第三者提供はより厳密に本人の同意がない限り出来ないことになりました。例えば会社が健康診断の結果を本人同意なく取得することができなくなりました。
(2)適正な条件下での個人情報等の有用性の確保
1. 匿名加工情報規定の新設
「特定の個人を識別することができないように個人情報を加工し、それを復元することができないようにしたもの」が匿名加工情報とされ、その加工方法が定められるとともに、公表方法等の取扱いにおける規律が新設されました。
ビジネスを行いやすくするために、匿名加工情報は個人情報には該当しないと法律で明確に定められました。これにより、ビッグデータ等の活用が促進されることが期待されます。
2. 利用目的の変更の制限の緩和
当初の利用目的と関連性が認められる範囲の変更は、例外的に同意不要であり、変更後の利用目的を本人に通知するか或いは公表することで足りることとなりました。
例えば、「新商品のお知らせ」を利用目的として連絡先を取得していたところ、「既存商品のお知らせ」に利用目的を変更して連絡を行うことは、当初の利用目的と関連性があると認められます。ですが、「会員カードの盗難等発覚時の連絡」を利用目的として連絡先を取得していたところ、「新商品のご案内」に利用目的を変更して連絡を行うことは、当初の利用目的と関連性があるとは認められません。
(3)個人情報保護の強化
1. トレーサビリティの確保
名簿業者等の第三者から、名簿等を取得することは可能です。ただ、取得に際しては、名簿業者が不正に取得した個人情報でないかどうか等の、個人情報の取得経緯を確認するとともに、受領年月日や確認事項等を記録して一定期間保存することが義務づけられることになりました。
また、新たに個人データを第三者に提供する場合、提供者は提供年月日等の記録を作成保存する義務が生じます。
2. 個人情報データベース提供罪の新設
個人情報データベース等を取り扱う者が、不正な利益を目的として当データベースを第三者へ提供又は盗用した時は、1年以下の懲役又は50万円以下の罰金が科せられることになりました。
(4)個人情報保護委員会の新設
内閣府の外局として新たに設置され、個人事業取扱事業者に対する監督権限が各分野の主務大臣から委員会に一元化されました。個人情報の有用性に配慮しつつ、その適正な取扱いを確保する為に設置された独立性の高い機関です。
(5)個人情報の取り扱いのグローバル化
1. 国境を越えた法の適用
日本の個人情報を取得した外国の事業者についても、原則として個人情報保護法が適用されることになりました。
2. 外国事業者への第三者提供
上記1が新設されましたが、提供先国が個人情報保護委員会の認めた国、或いは提供先の会社が個人情報保護委員会の認めた会社であれば、本人の同意が無くても外国事業者への個人情報の提供が可能です。
■中小企業が実務上留意すべきポイント
下記5つの義務が課されているため、該当時は留意する必要があります。
(1)個人情報を取得する時
個人情報を取得する時は、個人情報の利用目的を特定した上で、その利用目的の範囲内で情報を取扱うことが必要です。そして、利用目的を本人に通知・公表しなければなりません。ただし、同意までは求められない為、プライバシーポリシーを作成し、公表することが合理的です。また、要配慮個人情報の取得には同意が必要となりましたのでこの点も留意が必要です。
(2)個人情報を利用する時
個人情報を取得した当初の利用目的の範囲内でのみ使えるという規制があります。前述の様に、事後的に利用目的を変更することも可能ですが、利用目的を変更する場合は当初の利用目的と関連する範囲内で行わなければなりません。
但し、法令に基づく場合、生命に関わる場合等には利用目的を超えた利用が可能です。
(3)個人情報を保管する時
保管時には4つの事項に留意する必要があります。但し、4は努力義務です。
1.個人データの安全管理措置、2.従業者の監督、3.委託先に対する監督、4.データ内容の正確性の確保等(努力義務)
これらは、個人情報の漏洩、毀損、滅失等を防止する為の措置です。なお、中小規模事業者には簡便な安全管理措置を取ることが認められています。中小規模事業者とは、従業員の数が100人以下の事業者であって、下記のいずれにも該当しない事業者をいいます。
・取り扱う個人情報数が過去6か月間で一度でも5,000人を超えた事業者
・委託により個人データを取り扱う事業者
義務ではないですが、まず「基本方針」(プライバシーポリシー、個人情報保護方針と呼ばれるもの)を作成することが重要であるとされています。その上で、これに加えて「個人データの取り扱いに係る規律」(日常の活動の中で個人情報を取り扱う際に順守すべき具体的なルール)を策定することが大事です。これらのルール策定は義務ではないものの、無ければ従業員は依拠するべきルールが無く、各々の判断で個人情報を取り扱うこととなり、結果的に個人情報保護法に違反する可能性が出てくるからです。
上記のルールを定めた上で、書類やデータの保管場所は施錠する等の物理的措置を講じ、個人データへのアクセスをパスワード設定により制限する等の技術的措置を講じ、さらには従業員や委託先への教育・指示により個人データ取扱について監督することが必要です。
(4)個人情報を第三者提供する時
個人情報を第三者に提供する場合は、原則として本人から同意を得る必要があります。そして、同意する旨の書面・メール・確認欄へのチェック・ホームページ上のボタンのクリック等により、同意の証拠を得ることが望ましいとされています。自らの個人データが、誰に、どのように利用されるかを本人に知らせ、本人の意図しない形で個人情報が取り扱われることを防ぐ趣旨です。
なお、要配慮個人情報を除けば、例外的にオプトアウトによる第三者提供の場合は本人の同意は不要です。
また、前述の通り、第三者から個人情報を受領する場合は、提供者の氏名及び取得経緯を確認し、記録・保存することが必要です。反対に、第三者に個人情報を提供した場合も、受領者の氏名等の情報を記録・保存しなければなりません。
(5)本人から個人情報の開示を求められた時
保有する個人データについて本人から開示請求を受けた時は、原則としてその請求に応える義務があります。但し、該当データを明らかにすることにより、第三者の生命・財産に害を及ぼすような場合、国家の安全が脅かされる恐れがある場合等には、応じる必要はありません。
いかがでしたでしょうか。2017年5月30日から改正個人情報保護法が適用されるといいましても、基本的には会社として当然の対応をしていれば、それほど身構える必要がない改正であることがご理解いただけたならば幸いです。理解を深められたい場合は、下記の書籍が参考になると思います。
弁護士影島広泰監修「これで安心!個人情報保護・マイナンバー」日本経済新聞出版社
経済産業省の個人情報の取り扱いに関するパンフレットも参考になります。
上記以外にも、実際に色々な会社のプライバシーポリシーをご覧いただくのも、理解を深めていただくには良いと思います。
