改正個人情報保護法 その1
個人情報保護法が2015年9月に改正され、2年以内に改正後のルール適用がスタートすることになりました。
遅くとも2017年9月までにはスタートすることになりますが、改正の内容について予習していきたいと思います。
改正後の新法の条文はhttp://www.ppc.go.jp/personal/legal/で確認することができます。
1 「個人情報」って?
個人情報とは、生存する個人に関する情報であって、氏名、住所、生年月日、その他の情報で特定の個人を識別することができるものをいいます。ほかの情報と簡単に照合することができ個人を識別できるものも個人情報に含まれます。
今回の改正によって、指紋データや顔認識データなどで特定の個人を識別できるものや、パスポートや免許証の番号、携帯電話の番号なども特定の個人を識別できるので、個人情報に含まれると明確化されました。
スマホやATMの認証で指紋などを利用するようになったり、監視カメラ映像などを使った個人の識別技術が広まったことを受けての改正だと思います。
2 「要配慮個人情報」って?
今回の改正によって新しく設けられた定義で、人種や信条、社会的身分、病歴、犯罪の経歴、犯罪被害者である事実などをセンシティブな情報ということでより強い保護が必要なものとして定義されています。
具体的な効果としては、例外を除いて、本人の同意を得ないでこのような要配慮個人情報を取得することが禁じられます。(普通の個人情報であれば「偽りその他不正の手段」による取得が禁じられているだけです。)
また、要配慮個人情報は例外を除いて本人の同意を得ないで第三者に提供することが禁じられます。(普通の個人情報であればいわゆるオプトアウトによって本人の同意を得ないで第三者提供するといいうルートが残されていますが、要配慮個人情報にはオプトアウトが使えないこととなりました。)
3 小規模取り扱い事業者への適用拡大
今までは、取り扱う個人情報が5000人以下の小規模事業者は個人情報の適用から除外されていましたが、改正によってこの除外規定がなくなりました。従って、これまで取り扱う個人情報が5000人以下ということで個人情報保護法の対応をしてこなかった事業者も対応が必要となります。
「個人情報取扱事業者」というと、いわゆる名簿屋や情報の取り扱いを専門にしている会社が対象であるように思えますが、法人に限られず、また、営利か非営利かも問われないので、個人事業主やNPOなどの非営利団体も対象となります。顧客や取引先、会員などの名簿を作っていればすぐに該当することになるので注意が必要です。
5000人要件を撤廃したことで、特に個人の場合の線引きがどうなるのかは気になるところです。たとえばただの会社員や主婦が個人的に住所録を作っていても該当しないのでしょうが、ネット副業なんかをしていると該当するということにもなりそうです。この辺りの線引きの問題もこれから示されていくのだと思います。
ただ、個人情報保護法の適用があるといっても、いきなり上場企業並みの対応を求められるわけではなく、事業規模や個人情報の利用状況に応じた対応で足りるということで、新たに新設される個人情報保護委員会が小規模事業者向けのガイドラインなどを作成する予定のようですのでこれらを参考にしましょう。
次回に続く…