312.緊急コラム　改正個人情報

2017年5月19日

今回は、いよいよ５月３０日から「改正個人情報保護法」が施行開始されますので、急遽、解説したいと思います。

この改正個人情報保護法は、事業規模関係なく、すべての事業者が適用対象となる法律であることを、まず申しあげておきたいと

思います。

 

個人情報保護法は2005年の施行以来、約10年ぶりに改正されますが、この改正の背景には、情報通信技術の発展や、スマートフォ

ンなどの普及、ビッグデータの活用、マイナンバー制度の開始などの社会インフラの進展や、個人情報の大量流出事案による社会不

安やさまざまなスパムメールやサイバーテロなど、当時では想定されていなかった様々な問題が顕在化していることにあります。

 

よって、当然のことながら、個人情報の取り扱いはより厳しくなり、その象徴が、改正個人情報保護法では「５０００人要件」が

撤廃されたことです。つまり、法律的には、どんな企業規模であろうとも改正個人情報保護法の適用を受ける、ということです。

では、どのような点に気を付ければよいのでしょうか。

 

■改正個人情報保護法（2017年5月30日施行）に対する企業の対応

 

Ⅰ　主な改正ポイント

　①5000人要件の撤廃

　②個人データの第三者提供を行う場合の手続き

　③個人データの第三者提供を受ける場合の手続き

　④オプトアウト手続きの厳格化

　⑤外国にある第三者への個人データの移転に関する規制の新設

　⑥「個人情報」の定義の変更

　⑦「要配慮個人情報」の新設

以上７点です。以下、その概要を紹介します。

 

Ⅱ　各概要

１　5000人要件の撤廃

　今回から小規模事業者も規制対象になります。

改正前の個人情報保護法では、5000人を超える個人情報を保有する事業者のみが個人情報保護法の適用対象でしたが、

改正後では同条項が削除されたましたので、保有している個人情報が5000人以下の事業者であっても適用の対象となります。

これまで個人情報保護法の適用対象ではなかった小規模事業者も、個人情報保護法の規制を把握し対応する必要があるということに

なります。

現代はインターネットあるいは携帯電話等で多くの事業者が個人情報を入手している時代です。

つまり、あなたの会社にも関係があることになりますので、必ず対応が必要です。

 

２　第三者提供を行う場合の手続き

　これまで企業が個人データを第三者に提供する場合には、その提供記録の作成は義務付けされていませんでした。

改正ではこれを作成すべきことになりました。このことを「トレーサビリティの確保」といいます。

トレーサビリティの確保とは、追跡可能性の確保という意味です。

記録しなければならない事項は、以下のとおりです。

（１）本人の同意を得て、第三者に提供する場合

　①個人データの提供先の氏名又は名称その他の第三者を特定するに足りる事項

　②本人（個人情報の主体、以下同）の氏名又は名称その他の本人を特定するに足りる事項

　③個人データの項目

　④本人の同意を得ている旨

（２）オプトアウト手続きにより第三者に提供する場合

　オプトアウトとは、受け取りたくない人は受け取り拒否ができるということです。

　①から③は「本人の同意を得て、第三者に提供する場合」と同様です。

　④個人データを提供した年月日

（３）記録方法

　記録方法は、文書、電磁的記録又はマイクロフィルムとされています。

（４）保存期間

　一括記録の方法がとられる場合や個人データを含む書類の保管により代替する場合を除き、作成した日から３年間です。

但し、本人がその個人データを提供する場合や本人に代わって個人データを提供する場合には、このような義務は負いません。

つまり、すべての企業は、個人情報を提供する場合には記録を取り、3年間保存しなければなりません。

 

３　第三者提供を受ける場合の手続き

　今回の改正法では、個人データを第三者に「提供する場合」のみならず、第三者から個人データの提供を「受ける場合」にも

確認・記録する新たな義務が新設されました。　これも「トレーサビリティの確保」です。 

（１）確認義務

　第三者から個人データの提供を受ける場合には、提供者に関する以下の情報を確認しなければなりません。

　①氏名又は名称

　②住所

　③代表者の氏名（法人の場合）

　さらに、提供を受ける個人データの取得の経緯も確認しなければならないとされています。

　またこの場合、個人データの取得の経緯を示す書面（契約書や同意書、本人が個人データを示した書面など）の提示を求める

　必要があります。

（２）記録義務

　個人データを第三者に提供する場合と同様、個人データを受領した場合も記録を作成しなければなりません。

　記録しなければならない事項は以下のとおりです。

　①個人情報取扱事業者から、本人の同意に基づいて個人データの提供を受ける場合

　　1)当該第三者の氏名又は名称

　　2)当該第三者の住所

　　3)当該第三者の代表者名（当該第三者が法人である場合）

　　4)当該第三者による取得の経緯

　　5)個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項

　　6)当該個人データの項目

　　7)本人の同意がある旨

　　　-1.私人（個人情報取扱事業者以外の者）から個人データの提供を受ける場合

　　　　「個人情報取扱事業者から、本人の同意に基づいて個人データの提供を受ける場合」の①から⑥の事項。

　　　-2.オプトアウト手続きに基づいて個人データの提供を受ける場合

　　　　「個人情報取扱事業者から、本人の同意に基づいて個人データの提供を受ける場合」の①から⑥の事項。

　　8)個人データの提供を受けた年月日

　　9)個人情報保護委員会からオプトアウト手続きの届出が公表されている旨

つまり、すべての企業は、個人情報を受け取った場合には、やはり記録を取り、3年間保存しなければなりません。

 

４　オプトアウト手続きの厳格化

　個人データを第三者提供する際には、原則として本人の同意が必要になります。

但し、改正前の個人情報保護法においては、あらかじめ本人に対して、第三者への提供が利用目的であることや、提供の方法、

本人の希望により第三者提供を停止することなどを事前に本人に通知し、又は知りえる状態に置いていれば、本人の同意がなくても

個人データを第三者に提供できるというオプトアウト手続きという例外がありました。

しかし、改正後は、オプトアウト手続きによる第三者提供について、事業者の届け出義務が新設される、オプトアウト手続きが

規則に従う必要があるなど新たな規制が加えられていますので、オプトアウト手続きを行っている企業や行おうとしている企業は、

対応が必要になります。

（１）改正点

　オプトアウト手続きを行う場合には、個人情報保護委員会に届出をしなければならなくなりました。

　そのため、オプトアウト手続きを行うことが予定される場合には、届出の準備が必要になります。

　またオプトアウト手続きを行う場合には、本人に通知し、又は本人が容易に知りえる状態に置くべき事項として、

　新たに「本人の求めを受け付ける方法」が追加されました。

つまり、これまでオプトアウト手続きをとっており、かつ今後もオプトアウト手続きを続ける事業者は、プライバシーポリシーに

「本人の求めを受け付ける方法」を追加する必要があります。

　オプトアウト手続きに関する事項は、一般にプライバシーポリシーにおいて公表されていますので、自社のプライバシーポリシー

　を改正すべきかどうかを確認する必要があります。

 

５　外国にある第三者に対する個人データの移転に関する規制の新設

　以前の個人情報保護法は、外国にある第三者に対する個人データを提供することについては特段の規定を設けていませんでした。

しかし、改正法では、新たに以下の規制が儲けられたため、外国にある第三者に個人データを提供する可能性がある企業には、

新たな対応が求められます。

（１）規制の内容

　次のいずれかに該当する場合でない限り、外国にある第三者に対して個人データを提供することはできません。

　①外国にある第三者に対して個人データを提供する旨の本人の同意がある場合

　②個人情報取扱事業者に求められるものと同等の体制を整備する第三者に対して個人データを提供する場合

　③日本の個人情報保護法と同等の個人情報保護制度がある国にある第三者に提供する場合

　④法令に基づく場合など

　但し、②と③については、国内の第三者に提供する場合と同様に「第三者に提供する旨の同意」が必要になります。

（２）注意点

　国内の第三者に対する提供する場合、委託や事業承継および共同利用の場合には、第三者提供の同意は不要でした。

しかし、国外の第三者に提供する場合には、たとえ委託や事業承継および共同利用の場合であっても、上記①から③のいずれかを

充たす必要があります。

つまり、外国の第三者に個人データを提供する場合にも、本人の同意を取ることが基本的に必要となります。

 

６　「個人情報」の定義の変更

　改正個人情報保護法では「個人識別符号」という概念が新設されました。

個人識別符号とは、指紋・掌紋データや容貌データ、DNAの塩基配列など「特定の個人の身体の一部の特徴」を変換した符号に

よって本人認証ができるようにしたもの、又は旅券番号や免許証番号、住民票コードなど個人に割り当てられる符号をいいます。

このような情報は、改正前ではそれらの情報単独では「個人情報」とは扱われず、「特定の個人を識別できる情報」と結びついて

初めて個人情報と扱われていました。

しかし、今回の改正により、個人識別符号に該当する情報も、単独で個人情報に該当することになります。

従来から、個人識別符号に該当する情報と、その他の個人情報を結びつけて取り扱っている場合には、特に新たに対応する必要は

ありません。

一方、個人識別符号に該当する情報とその他の個人情報を結びつけず、別に管理しているなどの場合には対応が必要になります。

つまり、個人識別符号も個人情報に該当するため、個人識別符号にかかる取り扱いの方法を見直ししなければなりません。

 

７　要配慮個人情報に対する規制の新設

　改正個人情報保護法では、「要配慮個人情報」という概念が新設されました。

要配慮個人情報とは、心身の機能障害や健康診断結果、刑事事件に関する手続きがおこなわれたことなど、本人に不当な差別や偏見

などが生じないように、特に配慮が必要な情報をいいます（センシティブデータ（機微情報））。

通常の個人情報を取得する場合には、本人の同意は求められていません。但し、あらかじめ利用目的を公表し、又は取得後に速やか

に本人に利用目的を通知し、若しくは公表する必要はあります。

しかし要配慮個人情報については、本人の同意がある場合や、法令に基づく場合など一定の場合を除いて、取得が禁止されます。

また、要配慮個人情報に当たる個人データは、その他の個人データとは異なり、オプトアウト手続きによる第三者提供をすることが

できません。

つまり、要配慮個人情報を取り扱う企業は、このような規制に対応する必要があります。