こんにちは。ちゃんらいです。
2017年5月30日、12年ぶりに改正された個人情報保護法が全面施行されましたね。
個人情報保護の対応については、大手の企業というイメージが強いですが、今回の改正は小規模の事業者や個人事業者にも関係してくる改正です。
事業者の皆様だけでなく、TASUKIの記事をお読みの皆様も、自身の個人情報の取り扱いがどう定められているのか、改正の影響が日常生活にどう関わるのかについて、これをきっかけに知って頂ければと思います。
今日は個人情報保護法の改正についてまとめてみました。
そもそも 個人情報保護法とは?
例えば、イベント参加のために申し込みを行う際、申込用紙に「個人情報の取り扱いについて」と書かれていることがありませんか?
「個人情報の保護に関する法律(以下、個人情報保護法)」によって、申込書に記載される氏名や電話番号といった個人情報について、個人情報を取り扱う業者は利用目的を特定・公表する必要があるからです。
情報化社会の発展に伴い、コンピューターやネットワークを利用した個人情報の取り扱いが広まり、私達の生活に役立つサービスも生まれるようになりました。
その一方、個人の住所や電話番号が本人の知らない間に売買されたり、その情報を悪用した業者によるセールス被害、個人情報の誤った利用は個人の被害を及ぼす恐れがあるにも関わらず、実際に企業から顧客情報が大量に流出するという不祥事も起きています。
そこで、個人情報保護の基本理念を定めるとともに、民間事業者の遵守すべき義務を定めた法律として、平成17年4月1日に「個人情報の保護に関する法律」が全面施行されました。
この法律が、いわゆる「個人情報保護法」です。
個人情報保護法の3条では、
「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。」
という基本理念を掲げており、個人情報の適正な取り扱いを行うように促しています。
先ほどの申し込み用紙の例においても、イベント開催に当たって必要な個人情報を収集することを申込者に伝え、利用目的以外での使用を行わないこととしています。
改訂の経緯
このように、施行から12年が経過し、個人情報保護法がいったいどのような背景で改正が行われることとなったのでしょうか?
個人情報の保護に関する基本方針によると、
「法の制定以後、個人情報の保護を図りつつ、近年の飛躍的な情報通信技術の進展に対応したパーソナルデータの適正かつ効果的な活用を積極的に推進することにより、活力ある経済社会及び豊かな国民生活の実現に資するために、個人情報の範囲を明確にするとともに、個人情報を加工することにより安全な形で利活用できるようにする匿名加工情報の取扱いについての規律を定め、これら個人情報等の取扱いに関し監督を行う個人情報保護委員会を設置するなど、個人情報等に係る制度について所要の改正を行う必要が出てきました。」
とされています。
ビッグデータの発達によって、パーソナルデータを活用したマーケティングなど、個人情報を大量に扱う機会が増えたことを背景に、個人が特定可能な情報の規制を行い、安全に利用されることを促すということです。
改正の内容
個人情報の定義
改正前において個人情報は、
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
(改正前法2条)
とされていました。
しかし、改正法では、
この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十人条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
(法2条)
と定義されており、「個人識別符号が含まれるもの」が新たに個人情報に含まれることとなりました。
具体的には、こういったものが挙げられます。
・DNA、指紋、虹彩、手指の静脈などの情報
・パスポートの旅券番号
・マイナンバー
・基礎年金番号
・免許証番号
参考:個人情報保護法ガイドライン(通則編)
上記のような「個人識別符号」が、個人情報として明確化されました。
要配慮個人情報
個人情報の中でも「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」は「要配慮個人情報」として法律に明文化され、特別な扱いが定められています。
たとえば、以下のような情報が要配慮個人情報に該当します。
・身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること。
・ 本人に対して医師等により行われた疾病の予防及び早期発見のための健康診断その他の検査の結果。
・健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
・ 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。
・本人を少年法(昭和 23 年法律第 168 号)第 3 条第 1 項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと。
参考:個人情報保護法ガイドライン(通則編)
要配慮個人情報は、取得についてはあらかじめ本人の同意が必要となる情報であり、その取り扱いには十分な配慮が必要になります。
規制対象となる企業
個人情報保護法において、「個人事業取扱業者」の定義が掲げられています。個人情報データベース等を事業の用に供している者がこれにあたり、法の規制を受ける事業者です。
これまでの個人情報保護法では、「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」として取り扱う個人情報が5,000人以下の小規模取扱事業者が「個人事業取扱業者」から除かれていましたが、今回の改正でこの条文は削除されました。
つまり、小規模の事業者であっても個人情報を取り扱う場合には個人情報保護法の適用を受けるということです。
細かい取り扱いの説明は他に譲りますが、例えば以下のような対応が必要になります。
①データ内容の正確性の確保等(法19条)
②安全管理措置(法20条)
③従業員に対する「必要かつ適切な監督」(法21条)
④委託先に対する「必要かつ適切な監督」(法22条)
匿名加工情報
「匿名加工情報」とは、個人情報の区分に応じ特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であり、当該個人情報を復元することができないようにしたものをいいます。個人情報に含まれる記述の一部や個人識別符号を削除したり、復元できないように置き換える加工をする事によって得られる情報です。
ビッグデータ分析の発達などで、分析のためのデータ授受場面が増えた一方で、パーソナルデータの利活用についてのルールが不明確であったため、一定の条件のもとで自由な利活用が行われるよう考慮され、規制が整備されました。
たとえば、交通系ICカードでは、乗客の鉄道利用に関するデータや購買に関する情報が収集されており、ICカード利用者の氏名や住所などといった個人情報と供に蓄積されています。
このような個人情報を、本人の許可無く第三者のデータ分析企業に提供することは、認められません。それぞれ個人の同意が必要になるのですが、大量の個人情報について同意を得るには大いに負担が生じます。
そこで、例えば氏名や住所を削除・置き換えなどを行い、個人を識別できないような加工を施した情報を「匿名加工情報」と定め、一定のルールの元で第三者への提供を可能にし、データの利活用に繋げるということです。
法律において「個人情報」だけでなく「匿名加工情報」とその取り扱いが定められることで、個人情報の保護とデータ利活用の両立を促しています。
おわりに
なんとなく難しい法律に感じますが、みなさんのプライバシーを守ると同時にビジネスにおける適切なデータ分析の円滑化、ビッグデータの利活用を促す法律です。
特に改正によって規制の対象となった事業者は一度じっくり調べてみると良いかもしれませんね。
■□■東三河の求人サイト**TASUKI**■□■
こんな仕事が東三河に!?という仕事が多数掲載!
「地元で仕事を探そう」と思ったら、まずはTASUKIをチェック!
【地域】 豊橋 豊川 蒲郡 新城 田原 東三河
【雇用形態】 正社員 パート アルバイト 新卒 転職
【職種】 製造 技術 開発 販売 営業 事務 IT 軽作業