個人情報保護法改正について




個人情報保護法改正について

「個人情報保護法」が改正(平成29年5月30日全面施行)されました。主な改正点は下記の通りです。

①民間事業者に対する監督体制につき、各主務大臣から「個人情報保護委員会」への一元化を図った。

②取扱う個人情報の数が5,000以下である事業者も規制の対象とする。合わせて、ガイドラインの策定に当たって、小規模事業者*1に配慮する旨を規定した。

*1 従業員の数が100人以下の事業者(ただし、取扱う個人情報の数が5,000超の事業者や委託に基づいて個人データ(特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した個人情報を含む情報の集合物等である「個人情報データベース等」を構成する個人情報のこと)を取扱う事業者は除く)

③個人情報の定義の明確化として「個人識別符号*2」の定義を新設した。

*2 身体の一部(DNA、顔、手指の静脈、指紋など)の特徴を電子計算機のために変換(生体認証技術)した符号、サービス利用や書類において対象者毎に割り振られる符号(旅券番号、基礎年金番号、免許証番号、個人番号など)
上記のうち、いずれかに該当するものをいう。

④「要配慮個人情報*3」の定義を新設した。当該情報を取得する場合は、原則として事前に本人の同意を必要とするものである。

*3 人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被ったことのほか、本人に対する不当な差別、偏見が生じないように特に配慮を要するものとし て、身体・知的・精神障害等があることや健康診断その他の検査の結果等といったものをいう。

⑤第三者提供(業務の委託、共同利用、事業の承継は該当しない)に係る確認・記録等の義務を新設した。

●個人情報を第三者に提供するときは、原則として本人の同意が必要。ただし、法令に基づく場合、人の生命、身体又は財産の保護のためで、かつ、本人の同意を得ることが困難な場合、公衆衛生、児童の健全な育成のためで、かつ本人の同意を得ることが困難な場合、国や地方公共団体等に協力する必要がある場合には、本人の同意を得る必要はない。

●第三者に提供される個人データについて、本人の求めに応じて提供を停止することとしている場合であって、あらかじめ、以下の項目について、本人に通知し、又は本人が容易に知り得る状態に置いた上で、本人の同意を得ることなく第三者に提供することをいいます。これを「オプトアウト手続」(kojinjyohokaisei_1.pdf へのリンク)と言います。当該手続により個人データを第三者に提供しようとする者は、当該手続を行っていること等を個人情報保護委員会へ届け出ることが必要です。これは主に名簿業者をその対象とすることを想定しています。

・個人データを第三者に提供する旨
・提供する個人データの項目
・提供方法
・本人の求めに応じて提供を停止する旨
・本人の求めを受け付ける方法

●届け出をした内容はホームページに掲載するなどの方法により公表しなければなりません。また、個人情報保護委員会においても届出に係る事項を公表します。

●第三者へ提供したときは、受領者の氏名等の記録とその一定期間の保存義務があります。また、逆に、第三者から提供を受けたときは、提供者の氏名等やその取得経緯を確認した上で、その受領年月日も含め確認した事項の記録とその一定期間の保存義務があります。

⑥匿名加工情報*4の制度化を新設した。

*4 特定の個人情報を識別することができないように個人情報を加工したもので、それらビッグデータの利用・活用を推進するための制度として設けられたものである。

なお、事業者が個人情報を取得し利用する場合の守るべきルールとして、

●どのような目的で個人情報を利用するのかについて、具体的に特定する。

●特定した目的は公表しておく。あらかじめ公表していない場合には、本人に通知し、又は公表する。

とされています。

 それらルールを踏まえた事例及び踏まえていない事例を別紙
(kojinjyohokaisei_2.pdf へのリンク)にてご紹介しておきますので、ご参考にして下さい。

 詳細は個人情報保護委員会作成の「個人情報保護法の基本」(kojinjyohokaisei_3.pdf へのリンク)「はじめての個人情報保護法~シンプルレンスン~」(kojinjyohokaisei_4.pdf へのリンク)をご参照下さい。

 「守秘義務と情報漏洩防止への取組み」についてはこちら(kojinjyohokaisei_5.pdf へのリンク)から

コメントを残す