来年4月から改正個人情報保護法が施行されます。
2003(平成15)年に成立、翌々2005(平成17)年に施行された個人情報保護法は、2015(平成27)年に改正、翌々2017(平成29)年に施行され、個人情報を取り扱う「すべての事業者」に適用されることになりました。
2015(平成27)年の改正の際、3年ごと見直し規定が盛り込まれました。見直しには、国際的動向、情報通信技術の進展、のみならず、個人情報を活用した新たな産業の創出や発展の状況、という利活用の観点も含まれています。個人情報保護法の軸足は、立法当初の、IT技術からプライバシーを保護、から、IT技術を前提とした保護と利活用のバランス、に移ってきています。
この見直し規定によって、昨年6月、個人情報保護法が改正・公布されました。改正法は、来年4月から施行されます。
改正の目的と改正点は、次のとおりです。
利活用も進めながら、保護もまた強化・充実させる、というものです。
目的
○個人の権利利益の保護
○技術革新の成果による保護と活用の強化
○越境データの流通増大に伴う新たなリスクへの対応
○AI・ビッグデータ時代への対応
改正点
1.個人の権利保護を強化
2.事業者の守るべき責務を強化
3.事業者による自主的な取組を促す仕組みの拡大
4.データ利活用の促進・拡大
5.ペナルティ厳罰化
6.法の域外適用、越境移転の規制強化
改正点の内容を見ていきますね。
1.個人の権利保護を強化
○利用停止・消去の請求(第30条)を、従前の、目的外利用、不正取得、に加え、利用する必要がなくなった場合、重大な漏洩等が発生した場合、本人の権利又は正当な利益が害されるおそれがある場合、にも拡充されます(第5項)。
○保有個人データの開示方法について、従前の、書面の交付、のみならず、電磁的記録の提供を含め、本人が指示できるようになります(第28条)。
○個人データの授受に関する第3者提供記録を、本人が開示請求できるようになります(第28条)。
○短期保存(6カ月以内消去)データについても、保有個人データに含められることになり、開示や利用停止・消去請求の対象になります(第2条)。
○オプトアウト規定により第3者に提供できる個人データの範囲がさらに限定され、不正取得された個人データ、オプトアウト規定により提供された個人データ、についても、対象外となります(第23条)。
2.事業者の守るべき責務を強化
○新たに、次のような個人の権利利益を害するおそれが大きい場合に、個人情報保護委員会への報告及び本人への通知が義務化されました(第22条の2)。
要配慮個人情報の漏洩等
財産的被害のおそれがある(クレジットカード番号など)漏洩等
不正の目的によるおそれがある漏洩等
1000件を超える漏洩等
報告は、速報と確報の2段階で行う必要があります。
○従前の適正取得(第17条)に加えて、不適正利用(「違法又は不当な行為を助長し、又は誘発するおそれがある方法による利用」が禁止されました(第16条)。
例えば、違法な行為を営むことが疑われる事業者に対して個人情報を提供すること、散在的に公開されている個人情報(破産者氏名など)を差別誘発を予見しながら集約、データべ―ス化してネット公開する、などです。
○法定公表事項として、安全管理のために講じた措置が追加されました(第27条、施行令第8条)
○いわゆるプロファイリングなどが行われる場合、本人が予測できる程度に利用目的を特定しなければならない旨が明確化されます。
3.事業者による自主的な取組を促す仕組みの拡大
○認定団体制度について、現行制度に加え、企業の特定分野(部門)を対象とする団体も認定が受けられるようになります。
4.データ利活用の促進・拡大
○新たに「仮名加工情報」が創設されます。
「仮名加工情報」とは、他の情報と照合しない限り特定の個人を識別することができないように加工された個人に関する情報です。利用を内部分析に限定する等を条件に、利用目的のの変更制限や開示・利用停止等請求への対応義務が緩和されます。
○個人データに該当しない「個人関連情報」でも、提供先で個人データとなることが想定される場合には、第3者提供に際して本人同意が得られていること等の確認が義務付けられます。
「個人関連情報」とは、例えば、クッキー等で収集されたウェブサイト閲覧履歴、商品やサービスの購買履歴、位置情報、などです。
5.ペナルティ厳罰化
○例えば、個人情報保護委員会からの命令への違反は、行為者につき、懲役刑が6月以下から1年以下へ、罰金は、(個人)30万円以下から100万円以下、(法人)30万円以下から1億円以下へ、など、法定刑の引き上げと法人に対する罰金刑最高額の大幅引き上げが為されました。
6.法の域外適用、越境移転の規制強化
○日本国内に在る者に対する商品やサービスの提供に関連して個人情報等を取り扱う外国事業者も、個人情報保護法による報告徴収・命令の対象となります。
○外国に在る第3者へ個人データを提供する場合、本人から同意を得る際に、移転先国名、その国の個人情報保護制度、その移転先業者が講じる個人情報保護措置、の情報提供が義務化され、また、移転先業者に対して取扱状況の定期的確認や問題発生時対応の必要措置を求めることが義務付けられました。
「ウチはネット通販もしてないし、従業員名簿と取引先の担当者の名簿くらいしかないけど・・」というところも、個人情報保護法の「個人情報取扱事業者」になります。
プライバシーポリシーの作成や公表をしていないところも多いと思いますが、作成や公表をしているところも、個人情報保護法に合わせた内容になっていると思いますので、改正に合わせて見直してくださいね。