システム開発やアプリ開発、AI開発などIT企業の法律・法務に強い弁護士事務所です
グローウィル国際法律事務所
03-6263-0447
10:00~18:00(月~金)

IT企業専門の弁護士が「改正個人情報保護法」の改正ポイントを徹底解説!

個人情報の管理

改正個人情報保護法の改正ポイントとは?

改正個人情報保護法が、2017年5月30日に全面施行されることが決定しました。
改正個人情報保護法は、10年ぶりの改正で、様々なものが改正となりました。

そこで、今回は「改正個人情報保護法の施行日が決定!企業が守るべきポイントとは?」に続き、企業が押さえておくべき、改正個人情報保護法の改正点のポイントを解説します。

「個人情報」の定義の拡充

改正法では、保護対象を明確にするという観点から個人情報の定義が一部修正されました。

従来は、「個人情報」に当たるのか不明確であったものが「個人情報」に加わりました。
その一つが、「個人識別符号」です。

個人識別符号とは

  • 運転免許証番号、パスポート番号などの個人に発行される符号
  • 指紋データ、顔認識データなどの身体的特徴のデータ

改正法では、「個人識別符号」では、「個人情報」に該当する必要があります。

匿名加工情報に関する加工方法や取り扱い等の規定の整備

匿名加工情報は、特定の個人を識別できないように個人情報を加工し、当該個人情報を復元できないようにした情報です。

これは、個人情報には該当しないことから、本人の同意なしで第三者に提供することが可能で、これらをビッグデータとして活用されることが期待されています。

この匿名加工情報を作成した事業者には、以下のような義務が生じます。

  • 匿名加工情報の適正加工義務
  • 漏えい防止措置義務
  • 作成したときの公表義務
  • 第三者提供をする場合の公表・明示義務

具体的な義務の内容はガイドラインで記載されていますが、このブログでも詳細を解説していきます。

参考資料:個人情報の保護に関する法律についてのガイドライン (匿名加工情報編)

要配慮個人情報への措置

要配慮個人情報とは「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの」をいうとされています。

特に以下の内容を押さえておくことが必要です。

  • 取得する場合には、本人の事前同意が必要
  • オプトアウトによる第三者提供の禁止

要配慮個人情報の例として、以下の項目などが挙げられています。

  • 健康診断の結果
  • ストレスチェックの結果

トレーサビリティの確保

第三者提供に係る記録等の義務として、個人データを第三者に提供する際には、トレーサビリティ(追跡可能性)確保の観点から、当該情報を提供する側と提供を受ける側それぞれに対して規制が強化されました。

トレーサビリティの確保では以下の項目が求められるようになりました。

第三者に個人データを提供する側

  • 提供年月日
  • 提供先等に関する記録の作成
  • 当該記録の一定期間の保存

第三者から提供を受ける側

  • 提供者の情報・提供年月日
  • 提供者が当該個人データを取得した経緯の確認
  • 提供者情報およびその取得経緯に関する記録の作成
  • 当該記録の一定期間の保存

第三者提供オプトアウト手続きの厳格化

改正前の法律においても、オプトアウトで個人データの第三者提供を行おうとする場合には、下記の事項についてあらかじめ本人に通知、本人が容易に知り得る状態に置くことが必要とされていました。

  1. 第三者への提供を利用目的とする
  2. 第三者に提供される個人データの項目
  3. 第三者への提供の方法
  4. 本人の求めがあれば、第三者提供を停止すること

改正法では、上記(1)~(4)に加えて、(5)本人の求めを受け付ける方法」を付け加える必要があります。

この5項目について、個人情報保護委員会に届け出なければなりません。

そして、この届出の内容は個人情報保護委員会によって公表されることになりました。これからは、さりげなく自社ホームページなどで記載しておけば、第三者提供ができるということはなくなります。

オプトアプトで第三者提供している事業者は、今一度、上記5項目を見直す必要があるのです。

個人情報の消去努力義務

企業は個人データを利用する必要がなくなった場合、遅滞なく当該個人データを消去するよう努めなければならないという努力義務が定められました。

これは、不要となった個人データを保持し続けることで生じる個人情報漏えいのリスクを回避することが目的です。

ガイドラインに沿った運用をする義務

上記記載の措置について、今後は、全事業者が遵守する必要があります。個人情報保護委員会から出ているガイドラインも踏まえて、対応する必要があるのです。