IT技術の著しい進歩により、個人情報はビジネスにおいて非常に有用なデータであると同時に、漏洩した際の個人のプライバシー侵害の危険も増えてきています。
そこで、個人情報の保護を図りながらパーソナルデータの利用や活用を促進。新産業・新サービスの創出と国民の安全・安心の向上を目的に、5月30日に個人保護法が大きく改正されます。
2005(平成17)年に制定された個人情報の保護に関する法律「個人情報保護法」の12年目の改正についてのポイントについてチェックしてみましょう。
5,000人要件の撤廃
改正前の個人情報保護法では、5,000人を超える個人情報を保有する事業者のみが個人情報の適用対象でしたが、改正後は保有個人情報が5,000人以下の事業者であっても適用の対象となります。
個人情報定義の明確化
従来はあいまいだった個人情報の具体的な内容について明確化が図られています。
具体的には、
①住所、氏名、生年月日などの一般的な個人情報
②顔画像や指紋データ、免許証番号、パスポート番号、保険証番号などの個人識別符号
③人種、信条、社会的身分、病歴、犯罪歴といった要配慮個人情報
④個人情報に該当しない匿名加工情報…など
適切な規律下で個人情報の有用性を確保
新設された「匿名加工情報」は、個人情報を加工し、個人情報として復元できないようにしたもので誰のデータかわからなくなった情報のことです。この匿名加工情報を取り扱う事業者を「匿名加工情報取扱事業者」として新たに区分し、厳格な義務を課す代わりに、匿名加工情報の作成、社外への提供、受領しての利用や活用を認めました。住所、氏名、生年月日などを削除したり、生年月日をおおまかな年代別にグルーピングしたりするなどの加工を施すことにより、本人の同意を得ず、データとして第三者に提供することができ、ビジネスやサービスの向上などの有効活用が可能です。
個人情報流通の適正さの確保
個人情報を第三者に提供するには、あらかじめ本人の同意を得ることが原則ですが、従来は第三者へ提供する旨、その内容、方法などの一定の事項をあらかじめ通知するかを容易に知り得る状態にしておくことによって、本人が反対しない限り同意したものとして第三者提供ができることになっていました。これを「オプトアウト」と呼んでいます。しかし、これでは本人の知らないところで個人情報を第三者に提供されていることになり、保護に欠けるとされました。そこで今回の改正では「オプトアウト」の要件を厳格化しています。
データベース提供罪の新設
事業者が業務上取り扱った個人情報データベースを不正な利益を得る目的で第三者に提供をした場合などには、1年以下の懲役または50万円以下の罰金が課されることになります。個人情報を業者に転売することなどによって利益を得ることに関し罰則が新たに規定されました。
要配慮個人情報の扱い
人種、信条、犯罪歴等、本人に対する不当な差別や偏見を招くおそれのある情報として新たに「要配慮個人情報」が新設されました。病歴や社会的身分、犯罪被害を受けた事実、その他政令で定めるものが該当します。これらに該当する要配慮個人情報は本人の同意なく取得することができず、「オプトアウト」による第三者提供も禁止されます。
今回の改正は法律ができて12年目の改正ですが、個人情報を取り巻く状況は様々な側面で変化しており、まだまだあいまいな部分も多いように感じます。
改正を受けて企業の皆さまは、変更点に留意しながら、社内規定の見直しを図る必要があります。実務への影響はあまりないものと思いますが、個人情報の扱いについての対応はしっかりと確認しておきましょう。