本文へ


リーガルトピックス(Legal topics)

ホーム > リーガルトピックス >平成29年>個人情報保護法の改正について

リーガルトピックス(Legal topics)

一覧に戻る

個人情報保護法の改正について

弁護士 谷岡俊英

平成29年5月10日更新

 既にご存知の方も多いかもしれませんが、平成17年に全面施行された個人情報保護法が平成27年に改正され、改正法が平成29年5月30日に全面施行されます。
 今回施行される改正法は従前のものから大幅に変更されていますので、今回は、改正後の同法の主な点について簡単にご紹介をさせていただきます。

1.個人情報
 個人情報保護法では、従前から、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」とされていましたが、新法では、従前の個人情報に加え、個人識別符号を含むものも個人情報とされました(新法2条1項)。
 個人識別符号とは、例えば、マイナンバー、パスポート番号、年金番号、免許証番号のようなものがこれにあたります(新法2条2項)。
 個人情報保護法では、個人情報を個人データと保有個人データに分類して各個人情報について個人情報取扱事業者の義務を区別しています。
 また、新法では、要配慮個人情報(本人の人種、信条、社会的身分、病歴、犯罪歴等その他本人に対する不当な差別や偏見、不利益が生じないよう取扱いに遠くに配慮するものとして政令で定める記述が含まれる個人情報(新法2条3項))については、取得や第三者への提供について特別な保護措置が取られています。
 そのほか、匿名加工情報(特定の個人を識別することができないよう個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの)については、一定の制限を守れば本人の同意なくして情報が利用できるようにされています。

2.個人情報取扱事業者
 個人情報保護法上の義務を負う個人情報取扱事業者は「個人情報データベース等を事業の用に供している者」のことをいいます(新法2条5項)。
 従前の個人情報保護法では、個人情報データベース等に含まれる個人情報によって識別される特定の個人の数の合計が、過去6か月以内のいずれの日においても5000を超えない者は個人情報保護法の適用対象外でしたが、新法ではこれが撤廃されました。
 そのため、上記定義に当てはまる事業者は全て個人情報保護法上の義務を負うことになりました。
 また、個人情報取扱事業者は法人か否か、営利・非営利を問わないことから、上記の定義に当てはまるNPO団体や自治会、同窓会のような団体も個人情報取扱事業者となります。
 ただし、個人情報取扱事業者の全てが同じ義務を課されるとなると、小規模の事業者の負担が非常に大きくなることから、小規模事業者の事業活動が円滑に行われるように配慮することとされ、ガイドラインでは通常の個人情報取扱事業者がとる措置よりも緩やかな安全管理措置の手法が例示されています。

3.個人情報取扱事業者の義務
1) 利用目的の取得・利用
 個人情報取扱事業者は、個人情報を取得する場合、予め利用目的をできる限り特定するだけでなく、利用目的を公表するか、取得後速やかに本人に通知するか公表しなければならないとされています(新法18条1項)。
 また、個人情報の取得にあたっては、偽りその他不正は手段により取得してはならないとされています(新法17条1項)。
 また、個人情報の取扱いに当たっては、利用目的をできる限り特定しなければならず(新法15条1項)、予め本人の同意を得ないで利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならないとされています(新法16条1項)。
 さらに、利用目的を変更する場合は、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならず(新法15条2項)、利用目的を変更した場合は、本人に通知し、または公表しなければなりません(新法18条3項)。
 
2) 安全管理措置
 個人情報取扱事業者は、個人データの漏洩、滅失またはき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません(新法20条)。
 さらに、従業者に個人データを取り扱わせるにあたっては、当該従業者に対する監督を行わなければならず(新法21条)、個人データの取扱いを委託する場合は委託先に対する監督を行う必要があります(新法22条)。
 なお、個人情報取扱事業者が講ずべき安全管理措置としては、ガイドラインにおいて、@基本方針の策定、A個人データの取扱いに係る規律の整備、B組織的安全管理措置、C人的安全管理措置、D物理的安全管理措置、E技術的安全管理措置が挙げられ、それぞれの措置に関する手法が例示されています。

3) 個人データの第三者提供
ア 本人の同意
 個人情報取扱事業者が個人データを第三者に提供する場合は、原則として予め本人から同意を得なくてはなりません(新法23条1項柱書)。
 例外として、法令に基づく場合、人の生命、身体または財産の保護に必要であり、かつ本人の同意を得ることが困難である場合、公衆衛生・児童の健全育成に特に必要な場合、国の機関等への協力の場合は同意を得なくてよいとされ(新法23条1項各号)、個人データの取扱を委託する場合、事業承継に伴って個人データが提供される場合、個人データの共同利用の場合は提供先が第三者に当たらないため同意は不要であるとされています(新法23条5項)。
 また、オプトアウト方式による場合は予め本人の同意を得る必要はないとされています(新法23条2項)。
 オプトアウト方式とは、第三者に提供される個人データ(要配慮個人情報は除く)について、本人の求めに応じて第三者への提供を停止することとしており、かつ、一定の事項について、予め本人に通知し、又は本人が容易に知りうる状態に置くとともに、個人情報保護委員会に届け出たときは本人の同意を得ずに当該個人データを第三者に提供することができる方法のこといいます。
イ 第三者提供に係る記録の作成等
 個人情報取扱事業者は、個人データを第三者に提供した場合、提供した年月日や当該第三者の名称等の記録を作成し、保存しなければならないとされています(新法第25条)。
 また、個人情報取扱事業者が第三者から個人データの提供を受ける場合は、当該第三者の名称等及び当該第三者による当該個人データの取得の経緯を確認し、記録を作成して保存しなければならないとされています(新法26条)。

4) 保有個人データに関する対応
 個人情報取扱事業者は、保有個人データに関し、@個人情報取扱事業者の名称、A利用目的、B保有個人データの開示、訂正、利用停止の請求に応じる手続等について本人の知りうる状態に置かなければなりません(新法27条1項)。
 また、個人情報取扱事業者は、保有個人データについて、本人から開示が請求された場合は開示を行わなければならず(新法28条)、本人から保有個人データの内容の訂正等の請求があった場合は調査を行い、その結果に基づき訂正等を行う必要があります(新法29条)。
 さらに、個人情報取扱事業者は、保有個人データについて、本人から利用停止等の請求があった場合で、利用目的による制限、適正な取得、第三者への提供の制限に違反していることが判明した場合は違反を是正するために必要な限度で利用停止等を行う必要があります(新法30条)。

4.その他
 上記のとおり、改正後個人情報保護法においては、個人情報取扱事業者には様々な義務が課されています。
 そして、個人情報保護法には、個人情報取扱事業者が個人情報データベース等を自己または第三者の不正な利益を図る目的で提供等をした場合の罰則や、個人情報保護委員会の命令に違反した場合の罰則などが定められています。

 本法の施行日は平成29年5月30日です。
 そのため、特にこれまで個人情報保護法の対象ではなかった皆様は早急に対応する必要がありますので、お早めに専門家にご相談下さい。
 以上
                                                                    

一覧に戻る

リーガルトピックス(Legal topics)