個人情報保護法が改正されます!
弁護士 鍵谷 文子
個人情報保護法は、平成17年(2005年)4月に全面施行されました。それから約10年が経過し、情報や通信に関する技術と環境が大きく変化したことに伴い、平成27年(2015年)9月、改正個人情報保護法が成立しました。
改正法の施行は成立から2年以内の予定ですが、今回の改正により、小規模取扱事業者にも個人情報保護法が適用されることになりました。
そこで、改めて、個人情報保護法に基づいて個人情報取扱事業者が守るべきルールのポイントをご紹介したいと思います。
1.「小規模取扱事業者」も個人情報保護法上の義 務を負うこととなります
改正前は、5000人分以下の個人情報のみを取り扱う、いわゆる「小規模取扱事業者」については、個人情報保護法の適用対象外とされていました。
改正法では、この5000人要件が撤廃されています。
したがって、個人情報データベース等を事業の用に供している者は、会社の大小に関わらず、また、個人事業主やNPO等の非営利組織であっても、「個人情報取扱事業者」(改正法2条5項)として個人情報保護法上の義務を負うこととなります。
2.個人情報取扱事業者が守るべきルールのポイント
⑴個人情報の取得・取扱
個人情報を取得するときは、①あらかじめ利用目的を特定すること(改正法15条)、②利用目的の範囲内で取り扱うこと(改正法16条)、③偽りその他不正な手段で個人情報を取得してはならず、適正な方法で取得すること(改正法17条)、④利用目的を通知・公表すること(改正法18条)が必要です。
⑵保有する個人情報の管理等
ア 取り扱う個人情報が個人情報保護法上の「個人データ」(特定の個人情報を検索できるように、紙・コンピューターなどで体系的に構成した「個人情報データベース等」に含まれる個人情報)にあたる場合は、データの漏えい等を防止するための安全管理措置を講じる必要があります(改正法20条)。具体的には、ⅰ組織体制や規程の整備などの組織的措置、ⅱ入退室管理や盗難防止などの物理的措置、ⅲ従業者への周知などの人的措置、ⅳパスワード管理や不正アクセス対策などの技術的措置、の4つの側面から措置を検討・実施していくことが必要です。
イ 改正法では、個人情報取扱事業者は、利用する必要がなくなった個人データを、遅滞なく消去する努力義務を負うこととなりました(改正法19条)。例えば、個人情報を取得する際に、利用目的を「○○の懸賞賞品発送のため」としていた場合には、当該懸賞の期間が終了すれば、個人データを利用する必要がなくなるため当該個人データを消去する義務を負うことになります。この点から、個人情報を取得する際には、あらかじめ、利用目的を十分に検討したうえで、その内容を本人に通知・公表しておく必要があるといえます。
ウ このほかにも、個人情報取扱事業者は、個人データを正確で最新の内容に保つこと(改正法19条)、従業者や取扱の委託先に対して必要かつ適切な監督を行うこと(改正法21条、22条)が求められます。
⑶第三者への情報提供、第三者からの情報受領
ア 個人情報取扱事業者が取得した個人情報を第三者に提供する場合は、あらかじめ本人の同意を得なければなりません(改正法23条)。
ただし、例えば、個人データの取扱を外部委託する場合(個人データの入力、編集等を外部の業者に委託する場合や消費発送を宅配業者に委託する場合など)は、「第三者」には該当せず、あらかじめの同意は要しないものとされています。もっとも、この場合、個人情報取扱事業者は、⑵で述べたとおり、当該委託先に対して必要かつ適切な監督を行うことが求められます(改正法22条)。
イ 同意を得て個人データを第三者に提供する場合は、提供した年月日、提供先の氏名等を記録し保存しなければなりません(改正法25条)。
他方で、個人データを受領する側も、提供者の氏名等や個人情報の取得経緯等を確認し、また、提供を受けた年月日や確認した内容を記録・保存する必要があります(改正法26条)。
これらは、個人データの流通の経緯において違法な行為があった場合に、どの段階で問題が生じたかを追跡できるようにするため(トレーサビリティ)に、改正法で新たに定められた内容です。
⑷保有個人データの開示、訂正、利用停止等
改正法では、個人情報保護法上の「保有個人データ」についての開示請求権、訂正・追加・削除請求権、利用停止・消去請求権が明記されました(改正法28条、29条、30条)。
これにより、本人は、個人情報取扱事業者に対し て保有個人データの開示等の請求ができるとともに、個人情報取扱事業者が応じない場合には裁判で開示等の請求ができることとなりました。
改正をふまえて、個人情報取扱事業者が押さえておくべき主要なルールは以上のとおりです。今後、今回新たに個人情報取扱事業者となる事業者向けのガイドライン等が発表される予定ですので、ガイドライン等にも注目したうえで施行までに準備を進めていただければと思います。
また、上記のほかにも、改正法では、いわゆるビッグデータの利用活用に関連して「匿名加工情報」についての仕組みが新設されたほか、社会のグローバル化に伴い外国の第三者への情報提供等についてのルールも定められています。該当する事業者の皆様におかれましては、あわせてご確認をいただければと思います。
参考文献:経済産業省『「個人情報」の「取扱いのルール」が改正されます!』
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/01kaiseikojinjohopamphlet.pdf
第二東京弁護士会 情報公開・個人情報保護委員会編『Q&A改正個人情報保護法』