はじめに

私たちは色々な場面で自分の個人情報を記入したり、web上に投入したりしています。それは様々なサービスを便利に利用するために、求めに応じる形でなされているわけですが、その個人情報がいったい何に使われているのかを十分把握した上で提供している人は正直少ないのかもしれません。

個人情報は「個人情報保護法」によって守られています。この法律は平成15年5月に成立し、平成17年4月に施行されたものです。民間事業者の個人情報の取り扱いについて規定されており、個人の権利・利益の保護と個人情報の有用性とのバランスを取るための法律です。
その後、平成27年9月に改正(平成29年5月施行)されていますので、今回は2回目の改正(施行)となります。

今回は、改正のポイントと企業に求められる必要な対応について見ていきたいと思います。

個人情報とは

改正の内容に入る前に、個人情報の定義をおさらいしておきましょう。

個人情報とは、「生存する個人に関する情報で、特定の個人を識別することができるもの」と定義付けられています。具体的には、「氏名」「顔写真」、氏名と組み合わせることで本人を特定できる「住所」「生年月日」などがそれに該当します。

その他、「旅券番号」「運転免許証番号」「マイナンバー」なども個人識別符号として政令・規則で個人情報と指定されています。

改正の目的

今回の法改正は、近年の情報通信技術の向上により、個人の利便性が益々高まってきたことに比例して、個人情報に対する脅威も高まってきていることに対応するためのものです。改正の目的は「AI・ビッグデータ時代への対応」「外国事業者によるリスク変化への対応」とされています。

改正のポイント

今回の個人情報保護法の改正ポイントは6つです。

①保有個人データの利用停止・消去・第三者への提供停止請求の権利や保護の強化
改正前は、保有個人データの利用停止・消去・第三者への提供停止の請求をできるのは個人情報を収集した企業側の不正利用や本人の同意なく個人情報を第三者に提供した場合など違法行為があった場合のみでした。今回の改正により以下の場合も本人が請求できるようになりました。
・利用する必要がなくなった場合
・重大な漏洩等が発生した場合
・個人の権利又は正当な利益が害されるおそれがある場合

②個人データの開示方法の選択
保有個人データの開示方法に関して、これまでは原則書面による交付とされていましたが、改正後はデジタルデータによる開示も指定できるようになりました。

③短期保有個人データの対象化
これまでは6カ月以内に消去するデータは開示、利用停止等の対象外でしたが、改正後は対象となりました。

④第三者提供記録の開示請求
これまでは開示請求の対象外だった、他の事業者との授受の記録(第三者提供記録)についても本人が開示請求できるようになりました。

⑤個人データのオプトアウト規定※による提供禁止
従来は、オプトアウト規定により、本人の同意なく個人データが第三者に提供されていましたが、改正後はオプトアウト規定により取得された個人データは、第三者に提供することが禁止となりました。

※本人の求めがあれば事後的に停止することを前提に、提供する個人データの項目等を公表した上で、本人の同意なく第三者に個人データを提供できる制度。

２．事業者の義務を追加
①個人データの漏洩等が発生し、個人の権利利益を害するおそれが大きい場合に、個人情報保護委員会への報告及び本人への通知が義務化されました。

【対象事案】
・要配慮個人情報 (人種・信条・社会的身分・病歴・犯罪の経歴・犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして法令で定める記述等が含まれる個人情報) の漏洩等
・財産的被害のおそれがある漏洩等
・不正の目的によるおそれがある漏洩等
・1,000件を超える漏洩等

②違法、または不当な行為を助長、誘発するおそれのある不適正な方法により個人情報を利用してはならないと不適正利用の禁止が明文化されました。

３．公表事項及び特定分野を対象とする団体の認定団体制度創設
・これまでは事業者の名称、利用目的、開示請求等の手続、苦情の申出先等が公表事項とされていましたが、安全管理のために講じた措置を本人が把握できるようにする観点から、公表事項に追加されました。
・民間による個人情報の保護の推進を図るために、自主的な取組を行うことを目的としている認定団体制度について、企業の特定分野(部門)を対象とする団体も認定でるようになりました。

４．データ利活用の促進
個人データの有効利用促進の観点から今回の改正では「仮名加工情報」制度が新設されました。

仮名加工情報とは「他の情報と照合しない限り特定の個人を識別できないように個人情報を加工して得られる個人に関する情報」のことで、個人情報に義務付けられている情報漏洩等の報告義務や開示請求、利用停止が仮名加工情報にはありません。
しかし、仮名加工情報の提供先で他のデータとのマッチング等により個人を特定される可能性がある場合は、本人からの同意が義務付けられています。

５．法令違反に対するペナルティの強化
・個人情報保護委員会による命令違反・委員会に対する虚偽報告等の法定刑が引き上げられました。
・命令違反等の罰金について、法人に対しては行為者よりも罰金刑の最高額が引き上げられました。

６．外国事業者に対する報告徴収・立入検査などの罰則追加
これまでは第三者が外国の事業者の場合、取扱っている個人情報が日本国内のものであっても法の違反の疑いがあった場合、報告徴収・立入検査の対象外でした。改正後は報告徴収・立入検査が可能となりました。

上記6つが今回の改正のポイントとなります。

企業がするべき準備

では、企業は今回の改正に伴い、どのような準備をすればよいのでしょうか。

個人情報保護委員会では、以下の項目を改正個人情報保護法対応チェックポイントとしています。

～まずはここから～
■万が一に備え漏えい等報告・本人通知の手順を整備しましょう
■個人データを外国の第三者へ提供しているか確認しましょう
■安全管理措置を公表する等本人の知り得る状態に置きましょう

～その他～
■保有個人データを棚卸し、開示請求等に備えましょう
■個人情報を不適正に利用していないか確認しましょう
■個人関連情報の利用状況や提供先を確認しましょう 

お客様からいただいている個人情報は企業の宝です。適正な利用と保管をして、顧客のニーズに合った新しい商品・サービスの開発に結び付け、市場に還元してほしいですね。