この記事の目次
改正個人情報保護法が、2017年5月30日に全面施行されることが決定しました。
改正個人情報保護法は、10年ぶりの改正で、様々なものが改正となりました。
そこで、今回は「改正個人情報保護法の施行日が決定!企業が守るべきポイントとは?」に続き、企業が押さえておくべき、改正個人情報保護法の改正点のポイントを解説します。
改正法では、保護対象を明確にするという観点から個人情報の定義が一部修正されました。
従来は、「個人情報」に当たるのか不明確であったものが「個人情報」に加わりました。
その一つが、「個人識別符号」です。
改正法では、「個人識別符号」では、「個人情報」に該当する必要があります。
匿名加工情報は、特定の個人を識別できないように個人情報を加工し、当該個人情報を復元できないようにした情報です。
これは、個人情報には該当しないことから、本人の同意なしで第三者に提供することが可能で、これらをビッグデータとして活用されることが期待されています。
この匿名加工情報を作成した事業者には、以下のような義務が生じます。
具体的な義務の内容はガイドラインで記載されていますが、このブログでも詳細を解説していきます。
参考資料:個人情報の保護に関する法律についてのガイドライン (匿名加工情報編)
要配慮個人情報とは「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの」をいうとされています。
特に以下の内容を押さえておくことが必要です。
要配慮個人情報の例として、以下の項目などが挙げられています。
第三者提供に係る記録等の義務として、個人データを第三者に提供する際には、トレーサビリティ(追跡可能性)確保の観点から、当該情報を提供する側と提供を受ける側それぞれに対して規制が強化されました。
トレーサビリティの確保では以下の項目が求められるようになりました。
改正前の法律においても、オプトアウトで個人データの第三者提供を行おうとする場合には、下記の事項についてあらかじめ本人に通知、本人が容易に知り得る状態に置くことが必要とされていました。
改正法では、上記(1)~(4)に加えて、(5)本人の求めを受け付ける方法」を付け加える必要があります。
この5項目について、個人情報保護委員会に届け出なければなりません。
そして、この届出の内容は個人情報保護委員会によって公表されることになりました。これからは、さりげなく自社ホームページなどで記載しておけば、第三者提供ができるということはなくなります。
オプトアプトで第三者提供している事業者は、今一度、上記5項目を見直す必要があるのです。
企業は個人データを利用する必要がなくなった場合、遅滞なく当該個人データを消去するよう努めなければならないという努力義務が定められました。
これは、不要となった個人データを保持し続けることで生じる個人情報漏えいのリスクを回避することが目的です。
上記記載の措置について、今後は、全事業者が遵守する必要があります。個人情報保護委員会から出ているガイドラインも踏まえて、対応する必要があるのです。