個人情報保護法の改正

個人情報保護法の改正

5月30日に改正個人情報保護法が全面施行されます。
個人情報が流出して悪用されたりするのは困りますが、プライバシーにあまり過敏になるのも生きづらいでしょう。法律に関するテーマはわかりにくく面白みに欠けるかもしれませんが、個人情報の保護は誰にとっても大切なことですので概要をみておきたいと思います。

今回の法改正の主なポイントは

◆個人情報の定義の明確化
◆適用範囲の拡大
◆監督権限の一元化
◆個人データの第三者提供に関する規制強化
◆個人情報の適正な利活用

といったところです。

◆個人情報の定義の明確化
個人情報保護法の第2条で法律内の用語が定義されているのですが、改正前の「個人情報」の定義は
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などにより特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
というものでした。
改正後も上記の定義自体が変わるわけではないのですが、バイオメトリクスなどの技術進歩に伴い、個人情報の範囲をより明確にする必要が生じてきたことから、新たに「個人識別符号」の条項が加わりました。

「個人識別符号」には、指紋や顔認証、DNA情報といった生体データ、あるいは運転免許証・パスポート番号などが含まれるのですが、具体的には政令で定められることになっています。

また、病歴や犯罪歴、宗教や政治信条など、いわゆる機微(センシティブ)情報は、より慎重な取り扱いが求められる「要配慮個人情報」として規定されることになりました。

◆適用範囲の拡大
これまで法律の適用除外とされていた小規模事業者(取り扱う個人情報の数が5,000人以下)を含め、個人情報を取り扱うすべての事業者が対象となります。
また、グローバル化に対応して、外国にある第三者への個人データの提供も規制されることになりました。

◆監督権限の一元化
従来は、事業者の業界、あるいは個人情報の内容によって所管官庁が異なっていたのですが、今後は昨年設置された『個人情報保護委員会』に権限が一元化されます。
なお、個人情報保護委員会は、公正取引委員会と同様に政府からの独立性が高く、事業者への立入検査権ももっています。

○個人情報保護委員会
https://www.ppc.go.jp/

◆個人データの第三者提供に関する規制強化
取得した個人情報を第三者に提供する際は原則として本人の同意が必要なのですが、本人が望まない場合のみ提供しない“オプトアウト”方式も認められています。

ただ、オプトアウトだとなかなか本人の意思を反映しにくいと考えられるため、本人通知や公表の厳格化、あるいは委員会への届出が必要となりました。

また、主に名簿屋対策として提供(取得)記録作成の義務化や「個人情報データベース等不正提供罪」といった罰則も強化されています。

◆個人情報の適正な利活用
今回の法改正は、個人情報の保護を強化するばかりではなく、一方では規制を緩和してパーソナルデータの有効活用を促進し、経済の活性化につなげたい意図もあるようです。

例えば、個人情報の利用目的の変更については、当初の目的と関連性があるとみなされれば本人の再同意は不要となりました。

また、今回新たに追加された条項として「匿名加工情報」があります。「匿名加工情報」とは、特定の個人を識別できないように個人情報を加工し、さらに後から個人情報を復元できない状態にしたデータを指します。「匿名加工情報」については、加工時に使用した個人情報の項目を公表する義務はあるものの、本人からの同意は必要なく、利用目的も制限されず自由に利活用することが可能となります。

4年前に、JR東日本がSuicaの乗車履歴などのデータを外部の企業に販売したケースでは、利用者を中心にかなり反発がありましたが、今後は「匿名加工情報」であれば問題なくなるわけです。

「IoT(インターネット・オブ・シングス)」の分野ではデータの売買市場もできてビッグデータの活用が進んでいますが、パーソナルデータについても、個人データを「情報銀行」に預けて企業のマーケティング等に活用してもらおうといった構想があります。

【情報銀行のイメージ】
情報銀行のイメージ
出所:IT総合戦略本部 データ流通環境整備検討会 AI、IoT時代におけるデータ活用ワーキンググループ 中間とりまとめ(案) (平成 29 年2月)