リスク管理Naviリスクマネジメントのワンストップ情報サイト

ガイドライン

個人情報の保護に関する法律の改正とガイドライン

2017年04月18日

「個人情報の保護に関する法律(平成15年法律第57号)」、いわゆる個人情報保護法が平成27年(2015年)9月に大幅改正されました。平成17年4月の施行から約10年を経ての改正版(以後、改正法という)は、平成29年(2017年)5月30日より全面施行されます。その狙いは、昨今の情報通信技術の発展や事業活動のグローバル化等の急速な環境変化の考慮にあります。

改正法についてのガイドライン

この法改正に合わせ、「個人情報の保護に関する法律についてのガイドライン(以下、本ガイドラインという)」も、改正法同様平成29年5月30日から施行されます。

本ガイドラインは、改正法の要求事項をかみ砕いてやさしく説明し、多くの具体的事例を提供していますが、法に基づいた指針なので改正法同様に遵守する必要があります。

本ガイドラインは基本となる「通則編」と3編の別紙で構成されています。

別紙種類 概要
①通則編 ・個人情報保護法の定めに則り、当該法律についての具体的な指針全体を取りまとめたもの(改正法の改正点のみを説明したものではない)
・以下別紙に対応する条項も含んでいるが、詳細は別紙参照としている
②外国にある第三者への提供編 ・外国にある第三者(含む日本企業の海外法人)へ個人データを提供する場合の個人情報取扱事業者の守るべき事項を定めている
③第三者提供時の確認・ 記録義務編 ・第三者に個人データを提供する場合の記録及び第三者から提供を受ける場合の確認・記録に関する個人情報取扱事業者の守るべき事項を定めている
④匿名加工情報編 ・匿名加工情報、匿名加工情報取扱事業者及び匿名加工情報データベース等の定義を定め、匿名加工情報取扱事業者の守るべき事項を定めている

改正法の主要な改正点

改表1は、個人情報取扱事業者*1にとって特に気になると思われる改正点と概要を、整理したものです。ちなみに、国もその影響の大きさを考慮してか、本ガイドラインには別紙があり、こちらでより詳細な対応方法を提供しています。
*1:個人情報取扱事業者とは、個人情報を通常の業務の範囲で反復継続して使用する組織体を意味し、取り扱う個人の数の多少や営利・非営利の別も問わないので、殆どの組織体がそれに相当する(国の機関、地方公共団体、独立行政法人等を除く)
 

# 改正点 概要
1 個人識別符号定義の新設 その情報だけで個人を特定できる符号類を整理して定義し、これらを含む情報は個人情報であるとした。免許証番号、個人番号(マイナンバー)、指紋、DNA等も個人識別符号に含まれる
2 要配慮個人情報定義の新設 従来の機微に触れる情報を整理して再定義し、取得の際の本人確認を原則必須とした
3 オプトアウト2による第三者提供の個人情報保護委員会への届け出の義務化 名簿業者等がオプトアウトにより個人データを第三者へ提供する際の、個人情報保護委員会への届け出及びその旨の公表を義務化した
4 外国の第三者への提供時義務の 外国の第三者へ個人データを提供する場合の、原則外国にある第三者への提供を認める旨の本人の同意を得ることを義務化した
5 第三者提供/受領時の確認、記録及び記録の保管の義務の明確化 個人データを第三者に提供した際の記録の作成及び提供を受けた際の必要事項の確認及び記録の作成を義務化した
6 匿名加工情報に関する加工方法や取扱いに関する義務の明確化 個人情報を、特定の個人を識別できないように加工した情報の定義を明確にし、それらの情報を取り扱う「匿名加工情報取扱事業者」における加工方法や取り扱いを義務化した
7 個人情報保護委員会の新設と権限の一元化 特定個人情報保護委員会を改組し、新生個人情報保護委員会として設置した。個人情報及び特定個人情報の保護活動全般を司る
8 漏えい等の事案が発生した場合等の対応の新規追加 個人データ等の漏えい等が発生した場合の、原則個人情報保護委員会への報告を義務化した。特定個人情報において類似内容の対応ガイドが出ており、それの個人情報版となる
9 個人情報が5,000人分以下の事業者へも法を適用 従来は対象外とされていた少量個人情報取扱事業者にも法が適用されることが定められた
10 個人情報取扱事業者の、不適切な第三者提供又は盗用に対する罰則の新規追加 個人情報データベース等を、不正な利益を図る目的で第三者に提供又は盗用した場合、1年以下の懲役又は50万円以下の罰金が科せられる
 

*2:個人データを第三者提供することについて、あらかじめ本人に対して通知または容易に認識できる状態にしておき、本人が第三者提供に反対をしない限りは同意したものとみなし、第三者提供をすることを認めること。要配慮個人情報は、オプトアウトによる第三者提供からは除かれる。

改正法による個人情報取扱事業者への具体的な影響

表1の改正点の中で、名簿業者などを除いた個人情報取扱事業者にとって特に影響が大きいものを挙げるとすれば次の3点になります。
一点目は、日本にある個人情報取扱事業者からの、外国にある第三者への個人データの提供に関しての義務が追加されたことです(表1の4項)。
事業展開のグローバル化を視野に入れた改正で、外国にある第三者には、海外企業のみならずグループ企業の海外法人(法人格を持たない事務所等は対象外)等も含まれます。
個人情報取扱事業者には以下のような対応の必要性が生じます。
  • 予め、外国にある第三者へ提供する旨の事実を明確にして本人の合意を得る必要がある
  • 第三者が海外企業であれば、契約等に個人情報保護体制整備に係る条項を盛り込んで締結する必要がある
  • 第三者がグループ企業の海外法人の場合であれば、グループ個人情報保護ポリシーや規程の適用及び体制の整備指導などを実施する必要がある

二点目は、個人データの第三者から或いは第三者への提供に関して以下のような二つの新しい義務が追加されたことです(表1の5項)。ここでいう第三者には、前項で述べた外国にある第三者も含まれます。
  1. 第三者から提供を受ける際の、第三者の概要及び当該個人データ取得の経緯の確認とそれらの記録ならびにその記録の保存
  2. 第三者へ提供する際の、提供に関する必要事項の記録作成とその記録の保存
これらは、個人データ提供のトレーサビリティ確保と法に則った個人情報取得の確保を狙いとしたものですが、個人情報取扱事業者にとって大きな負担になるものです。そのため本ガイドラインの「第三者提供時の確認・記録義務編」では、その義務の対象となる事例等を詳細に説明し、個人情報取扱事業者への負担軽減を図っております。その具体的対応方法は第三者提供の形態等により大きく異なりますので、当該のガイドラインを参照することをお勧めします。

三点目は、匿名加工情報という新しい定義が加わり、匿名個人情報を取扱う事業者(匿名加工情報取扱事業者)が遵守すべき事項が規定されたことです(表1の6)。

なお、匿名加工情報は、「個人情報を、特定の個人を識別できないように加工し、復元できないようにしたもの」と定義されています。加工されてしまえば、個人を特定することはできないので、匿名加工情報そのものは個人情報ではありません。では管理する狙いはどこにあるのでしょうか。それは、匿名加工情報作成の元になった個人情報から削除した記述や個人識別符号そのもの及び元の個人情報を復元出来る加工情報等(加工方法等情報という)の漏えいを防止することにあります。匿名加工情報取扱事業者には、それらの加工方法等情報の漏えい防止体制整備が必要となるのです。

プライバシーマーク制度への影響

プライバシーマーク制度を運用する日本情報経済社会推進協会(以下、JIPDEC)は、今回の法改正に合わせ、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」(以下、JIS Q 15001)も改正すると公表しています。

具体的には、JISQ15001は改正個人情報保護法の全面施行後に改正・公表され、ある周知期間後にJIS Q 15001改正版に基づいたプライバシーマーク審査が開始される予定です。法の全面施行からそれまでの間の新規、更新審査対応については、JIPDECから対応方針及びFAQが公表されていますのでそちらを参照ください。
【JIPDEC:改正個人情報保護法へのプライバシーマーク制度の対応方針について】
https://privacymark.jp/info/kaisei_info/index.html