個人情報保護法、マイナンバー法の改正に伴い、事業者が対応、確認しておくべきこと

2016年12月20日、「個人情報の保護に関する法律」(以下「個人情報保護法」)が改正されました。これは、これまで分かりにくかった概念を分かりやすくして、個人情報の利用に萎縮効果を与えないようにするとともに、利用に注意すべき個人情報の種類も明らかにして個人の利益を擁護し、他方で活用すべき個人情報はより活用しやすくするという趣旨でなされた改正です。この改正の経緯、内容について、弁護士法人 法律事務所オーセンス の企業法務弁護士である酒井弁護士にわかりやすく解説いただきました。

Q1
個人情報保護法が改正されると聞きました。いつから施行されるのでしょうか。

A1
全面施行日は2017年5月30日です。ただし、オプトアウトに関する改正(後述します)については、2017年3月1日から施行されます。

Q2
当社は小規模な会社で取り扱う個人情報の数も少なく、個人情報保護法の適用はないということで安心していました。今回の改正は、当社に影響があるのでしょうか。

A2
これまでは、過去6か月間で5000件以下の個人情報しか取り扱わない事業者には、個人情報保護法上の義務が課されていませんでした。
しかし、今回の改正で、そのような事業者にも個人情報保護法上の義務が課されるようになりましたので、改正の影響は非常に大きいといえるでしょう。
義務の内容は多岐にわたりますが、中心的なものは、保有し、または今後保有する個人情報の利用目的を明確にすること、情報の管理体制を適切にすることです。
とはいえ、何をどこまで行うべきか、業種や会社の規模によっても異なって参りますので、専門家へのご相談をお勧めいたします。

Q3
当社には元々、個人情報保護法の適用がありました。今後、気をつけるべきことはありますか。

A3
貴社の保有する情報に、「要配慮個人情報」がないか、また、貴社の業務フローに「要配慮個人情報」を取得するフローがないか、洗い出すべきでしょう。
要配慮個人情報は、これまで「機微情報」「センシティブ情報」として、医療、労働など一部の分野では言及され、慎重に取り扱うべきものとされておりましたが、一般的な事業分野では、あまり触れられていませんでした。
要配慮個人情報は、具体的には、心身の機能障害に関する情報、健康診断等の結果、医師による診療、調剤等に関する情報、刑事事件に関する情報、少年の保護事件に関する情報が挙げられます。
これらの情報は、原則として取得そのものが禁じられるほか、例外的に取得した要配慮個人情報も、原則として第三者に提供することができない、いわゆるオプトアウトによる第三者提供が禁止されるなど、取得、利用双方の場面で、大きな規制を受けています。
そのため、これらの情報の取得、利用がこれまでなされていた場合、これを改める必要が生じる場合があります。

Q4
当社は、個人データを第三者に提供しておりました。今後、気をつけるべきことはありますか。

A4
個人データを第三者に提供する場合には、これまでは提供が許される限りは特段の制限がありませんでしたが、提供についての記録をつけるなどして、トレーサビリティを確保しなければならなくなりました。
具体的には、提供年月日、提供先第三者の氏名・名称、提供された個人データの本人の氏名等、その他当該個人データの項目を、記録しておかなければなりません。ただし、本人の同意を得て提供する場合は、提供年月日は不要です。
記録の作成は、提供の都度、行わなければなりませんが、本人の同意を得た提供の場合で、同じ者に対して反復継続的に提供することが確実であると見込まれる場合は、一括して記録することも認められています。
記録の保管期間は、原則として3年間とされています。

さらに、オプトアウトによる第三者提供は、これまでは、本人から要求があれば提供を止めること等を公表するなどしておけば、自由に提供を行うことができました。
オプトアウトとは、必要な事項を公表し、本人から要求があれば提供を止めることとしていれば、本人の同意を得ることなく、個人データを第三者に提供できるという仕組みで、もともとは、住宅地図業者、ナビ業者、電話帳業者など、個々人から同意を得ることが現実的に不可能な事業者に対する救済措置として設けられたものです。
今回の改正では、公表すべき事項は、それだけでなく、本人はどのように提供を止めるよう事業者に連絡すればよいかについても、公表しなければならなくなりました。また、個人情報保護委員会への届出が必要となりました。

Q5
これまでのQAを見ていると、個人情報が使いにくくなったように思います。個人情報を使いやすくする改正はないのでしょうか。

A5
まず、「匿名加工情報」については安全管理義務が努力義務化し、これまでのような厳重な管理をする法的義務を負わなくなりました。
「匿名加工情報」とは、個人を識別できる情報(氏名、生年月日等)の一部を削除したり、個人を識別できる符号(身体的特徴、購入履歴、免許証番号等)の全部を削除したりすることで、個人の識別を不可逆的に不可能とした情報です。このような情報は、定義上ももはや「個人情報」に該当しないのですが、これまで、この点には議論があり、利用が躊躇われていました。また、このような匿名化をどの程度行えば義務を免れるのかという点についても、議論があり、リスク排除の観点から利用を躊躇する事業者が少なくありませんでした。
今回の改正では、どの程度匿名化すればよいかが明確にされるとともに、その場合の安全管理義務も免除されることが明記されました。
注意点としては、個人の識別を「不可逆的に」不可能としていなければ、匿名加工情報とは認められない点です。たとえば、従前は、データベースから氏名を削除してその代わりにユニークな番号を付し、その番号と氏名を対応させたデータベースを別に持っておくことも「匿名化」と言われることがありました。しかし、このような処理では、事業者は、その番号をもとに個人の識別の可能な情報に戻すことができますので、匿名加工情報には該当しないことになり、安全管理義務も負担します。
また、匿名加工情報を第三者に提供する場合には、その項目や提供の方法等について、あらかじめ公表しておかなければならないとされています。

これに加えて、一度定めた利用目的を拡大できるようになりました。
従前は、利用目的の変更は、変更前の利用目的と「相当の関連性を有すると合理的に認められる範囲」でしか変更が許されませんでしたが、「相当の」という限定が外され、変更前の利用目的と関連していればよいことになりました。これにより、取得した個人情報の利用の範囲が拡大したといえるでしょう。

なお、このように、匿名加工情報の第三者提供や、Q4のオプトアウトに関する事項の公表など、公表事項が増えたことにより、プライバシー・ポリシー(個人情報保護指針)を修正しなければならなくなった事業者も多いと思われます。
また、そうでなくても、Q6の個人情報保護委員会の策定したガイドラインが効力を有するようになると、これに併せたプライバシー・ポリシーの見直しや、企業内の情報管理規定の見直しなども必要になってくると考えられます。

Q6
その他にはどのような改正があったのでしょうか。

A6
「個人情報保護委員会」が設けられたことが挙げられます。
従前、取り扱う個人情報の種類によって、主務大臣が異なり、取り扱う情報の種類ごとに、ガイドラインも異なっていたため、事業者は取り扱う情報の種類ごとに異なるガイドラインを調査し、これに従う必要がありました。
たとえば、通常の企業であれば経済産業省のガイドラインが適用されますが、雇用管理に関する個人情報については厚生労働省のガイドラインが適用となるなど、事業者にとって複雑な状況にありました。
今回の改正により、これら主務大臣の権限は、個人情報保護委員会に一本化され、ガイドラインも個人情報保護委員会の作成したものに一本化されますので、事業者にとっては分かりやすい状況になったといえるでしょう。

Q7
今回の改正で、「個人情報保護委員会」というものが作られることになったと聞きました。個人情報保護委員会は、いくつかのガイドラインも出しているようです。これと、平成28年末に経済産業省の出した、経済産業分野に関するガイドラインとの関係を教えてください。

A7
個人情報保護委員会のガイドラインは、今回の改正法が施行されてから効力を生じますが、経済産業省のガイドラインは現行法を前提としています。
そのため、改正法が施行されるまでは、(対象となる事業者については)経済産業省のガイドラインのみが適用されます。
他方、改正法が施行されますと、上述のとおり、個人情報保護委員会のガイドラインに一本化されますので、経済産業省のガイドラインは効力を失うという関係にあります。

Q8
マイナンバー関係については、何か改正はあるのでしょうか。

A8
マイナンバーの利用範囲が拡大されました。
具体的には、金融、医療分野における利用範囲が拡充されています。預貯金口座にマイナンバーを付番したり、特定の健診・保健指導に関する事務においてマイナンバーを利用できたり、予防接種に関する事務において、マイナンバーを利用して接種履歴を連携したりすることができるようになりました。
ただし、マイナンバーは従前より厳重に管理すべきこととされておりましたところ、この点は変わっておりませんので、ご注意ください。

以上のように、従前と比較して、各定義の線引き、特に、活用できる情報と取扱いに注意すべき情報との線引き、事業者が行うべき義務は、分かりやすくなってきました。
とはいえ、まだまだ抽象的な部分も多く、判断に迷われる場面も多々あると思われます。そのような場合には、是非専門家にご相談ください。


弁護士法人 法律事務所オーセンスでは、上記のようなお悩みをはじめ、会社法務、各種契約案件、M&A、労働トラブル、インターネットビジネス等の法律に関わる課題について、経験豊富な弁護士が対応可能です。
まずは、お気軽にご相談ください。
お問い合わせはこちら

Join the conversation

0 comments

Your email address will not be published. Required fields are marked *