個人情報保護法が改正され、2017年5月30日に施行されるそうですが、企業としてはどのような対応をすればよいでしょうか。

2005年に制定された個人情報の保護に関する法律(以下、「個人情報保護法」)が大きく改正され、平成29年5月30日の施行が予定されています(個人情報保護委員会)。

個人情報保護法の改正の内容は、多岐に及びますが、個人情報保護法の改正に伴い、企業が早期に対応しなければならない事項についてご紹介します。

企業が対応を迫られる項目には以下があります。次項以下に順に解説します。
 1 5000人要件の撤廃(小規模事業者も規制対象になる)

 2 個人データの第三者提供を行う場合の手続き(トレーサビリティの確保)

 3 個人データの第三者提供を受ける場合の手続き(トレーサビリティの確保)

 4 オプトアウト手続きの厳格化

 5 外国にある第三者への個人データの移転に関する規制の新設

 6 「個人情報」の定義の変更

 7 「要配慮個人情報」の新設

法令名を以下のように略します。
「法」とは「個人情報の保護に関する法律」
「規則」とは「個人情報保護委員会規則第3号」
「施行令」とは「個人情報の保護に関する法律施行令」

1 5000人要件の撤廃(小規模事業者も規制対象になる)

 改正前の個人情報保護法では、5000人を超える個人情報を保有する事業者のみが個人情報保護法の適用対象でした(旧法2条3項5号、旧施行令2条)。

 しかし、改正個人情報保護法では、同条項が削除されたため、保有している個人情報が5000人以下の事業者であっても、適用の対象になります。これまで個人情報保護法の適用対象ではなかった小規模事業者も、個人情報保護法の規制を把握し、対応する必要があります。

2 第三者提供を行う場合の手続き(トレーサビリティの確保) 

 これまで、企業が個人データを第三者に提供する場合には、その提供の記録の作成は義務付けられておりませんでしたが、改正法ではこれを作成すべきことになりました(法25条)。

記録しなければならない事項は、以下のとおりです。

【本人の同意を得て第三者に提供する場合】(規則13条1項2号)

①個人データの提供先の氏名又は名称その他の第三者を特定するに足りる事項

②本人(個人情報の主体、以下同)の氏名又は名称その他の本人を特定するに足りる事項

③個人データの項目

④本人の同意を得ている旨

【オプトアウト手続きにより第三者に提供する場合】(規則13条1項1号)

 ①から③は、「本人の同意を得て第三者に提供する場合」と同様

 ④個人データを提供した年月日

 記録の方法は、文書、電磁的記録又はマイクロフィルムとされています(規則12条1項)。

 保存期間は、一括記録の方法がとられる場合(規則12条2項但し書き)や、個人データを含む書類の保管により代替する場合(規則12条3項)を除き、作成した日から3年間とされています(法26条4項、規則14条)。

 なお、本人がその個人データを提供する場合や、本人に代わって個人データを提供する場合には、このような義務を負いません。
 つまり、SNSに本人が書き込んだ個人データをSNS運営事業者が公開している場合など、実質的に本人による提供である場合や、本人の求めに応じて提携事業者に取り次ぐために提携事業者に本人の同意を得たうえで、本人に代わって個人情報を提供する場合など、本人に代わって個人データを提供する場合には、事業者による第三者への提供ではないため、上記のような記録義務は負わないことになります。

3 第三者提供を受ける場合の手続き(トレーサビリティの確保)

(1)はじめに

 改正法では、個人データを第三者に「提供する場合」のみならず、第三者から個人データの提供を「受ける場合」にも確認・記録する新たな義務が新設されました(法26条)。

(2)確認義務

 第三者から個人データの提供を受ける場合には、提供者に関する以下の情報を確認しなければなりません(法26条1項1号)

  ・氏名又は名称

  ・住所

  ・代表者の氏名(法人の場合)

 また、提供を受ける個人データの取得の経緯も確認しなければなりません(法26条1項2号)。この場合、個人データの取得の経緯を示す書面(契約書や同意書、本人が個人データを示した書面など)の提示を求める必要があります(規則15条2項)。

(3)記録義務

 個人データを第三者に提供する場合と同様、個人データを受領した場合も記録を作成しなければなりません(法26条)。

 記録しなければならないのは、以下の事項です。

ア 個人情報取扱事業者から、本人の同意に基づいて個人データの提供を受ける場合(規則17条1項2号)

 ①当該第三者の氏名又は名称

 ②当該第三者の住所

 ③当該第三者の代表者名(当該第三者が法人である場合)

 ④当該第三者による取得の経緯

 ⑤個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項

 ⑥当該個人データの項目

 ⑦本人の同意がある旨

イ 私人(個人情報取扱事業者以外の者)から個人データの提供を受ける場合(規則17条1項3号)

 「個人情報取扱事業者から、本人の同意に基づいて個人データの提供を受ける場合」の①から⑥の事項。

ウ オプトアウト手続きに基づいて個人データの提供を受ける場合(規則17条1項1号)

 「個人情報取扱事業者から、本人の同意に基づいて個人データの提供を受ける場合」の①から⑥の事項。

 ⑧個人データの提供を受けた年月日

 ⑨個人情報保護委員会からオプトアウト手続きの届出が公表されている旨

 このような記録義務が課されるため、書式の準備などが必要になります。

4 オプトアウト手続きの厳格化

 (1)はじめに

 個人データを第三者提供する際には、原則として本人の同意が必要になります(法23条1項)。ただし、改正前の個人情報保護法においては、あらかじめ本人に対して、第三者への提供が利用目的であることや、提供の方法、本人の希望により第三者提供を停止することなどを事前に本人に通知し、又は知りえる状態に置いていれば、本人の同意がなくても個人データを第三者に提供できるというオプトアウト手続きという例外がありました。

 改正法では、オプトアウト手続きによる第三者提供について、事業者の届け出義務が新設される、オプトアウト手続きが規則に従う必要があるなど新たな規制が加えられており、オプトアウト手続きを行っている企業や、行おうとしている企業は、対応が必要になります。

(2)改正点

 オプトアウト手続きを行う場合には、個人情報保護委員会に届出をしなければならなくなりました(法23条2項)。そのため、オプトアウト手続きを行うことが予定される場合には、届出の準備が必要になります。

 また、オプトアウト手続きを行う場合には、本人に通知し、又は本人が容易に知りえる状態に置くべき事項として、新たに「本人の求めを受け付ける方法」(法23条2項5号)が追加されました。そのため、これまでオプトアウト手続きをとっており、かつ今後もオプトアウト手続きを続ける事業者は、プライバシーポリシーに「本人の求めを受け付ける方法」を追加する必要があります。

 オプトアウト手続きに関する事項は、一般にプライバシーポリシーにおいて公表されていますので、自社のプライバシーポリシーを改正すべきかどうかを確認する必要があります。

5 外国にある第三者に対する個人データの移転に関する規制の新設

 (1)はじめに

 改正前の個人情報保護法は、外国にある第三者に対する個人データを提供することについて、特段の規定を設けていませんでした。
 しかし、改正法では、新たに以下の規制を設けたため、外国にある第三者に個人データを提供する可能性がある企業には、新たな対応が求められます。

(2)規制の内容

 次のいずれかに該当する場合でない限り、外国にある第三者に対して個人データを提供することはできません(法24条)。

 ①外国にある第三者に対して個人データを提供する旨の本人の同意がある場合

 ②個人情報取扱事業者に求められるものと同等の体制を整備する第三者に対して個人データを提供する場合

 ③日本の個人情報保護法と同等の個人情報保護制度がある国にある第三者に提供する場合

 ④法令に基づく場合など

 ※ ②③の場合には、国内の第三者に提供する場合と同様に、「第三者に提供する旨の同意」が必要になります。

(3)注意点

 国内の第三者に対する提供する場合には、委託や事業承継、共同利用の場合には、第三者提供の同意は不要でした(法23条5項参照)。

 しかし、国外の第三者に提供する場合には、たとえ委託や事業承継、共同利用の場合であっても、上記①から③のいずれかを充たす必要があります。

6 「個人情報」の定義の変更

 改正個人情報保護法では、「個人識別符号」という概念が新設されました(法2条1項2号)。

個人識別符号とは、指紋・掌紋データや容貌データ、DNAの塩基配列など「特定の個人の身体の一部の特徴」を変換した符号によって本人認証ができるようにしたもの、または旅券番号や免許証番号、住民票コードなど個人に割り当てられる符号をいいます(施行令1条)。

 このような情報は、改正前は、それらの情報単独では個人情報とは扱われず、「特定の個人を識別できる情報」と結びついてはじめて個人情報と扱われていました。しかし、今回の改正により、個人識別符号に該当する情報も、単独で個人情報に該当することになります。

 従来から、個人識別符号に該当する情報と、その他の個人情報を結びつけて取り扱っている場合には、特に新たに対応する必要はありません。

 一方、個人識別符号に該当する情報と、その他の個人情報を結びつけず、別に管理しているなどの場合には、対応が必要になります。そのような個人識別符号も個人情報に該当するため、個人識別符号にかかる取り扱いの方法を見直しなどの措置をしなければなりません。

7 要配慮個人情報に対する規制の新設

 改正個人情報保護法では、「要配慮個人情報」という概念が新設されました(法第2条3項)。

 要配慮個人情報とは、心身の機能障害や健康診断結果、刑事事件に関する手続きがおこなわれたことなど、本人に不当な差別や偏見などが生じないように特に配慮が必要な情報をいいます(政令第2条)。いわゆるセンシティブデータ(機微情報)です。

 通常の個人情報を取得する場合には、本人の同意は求められていません(あらかじめ利用目的を公表し、又は取得後に速やかに本人に利用目的を通知し、若しくは公表する必要があります)。しかし、要配慮個人情報については、本人の同意がある場合や、法令に基づく場合など一定の場合を除いて、取得が禁止されます(法17条2項)。

 また、要配慮個人情報に当たる個人データは、その他の個人データと異なり、オプトアウト手続きによる第三者提供をすることができません(法23条2項括弧書き)。要配慮個人情報を取り扱う企業は、このような規制に対応する必要があります。

平成28年12月18日
弁護士 中野友貴

                                          以上

Category:個人情報保護法