313.改正個人情報保護法その2

2017年5月26日

 5月30日から施行開始される「改正個人情報保護法』は、ますます進展する情報社会においての重要な法律です。
さらに今回の改正で「個人情報保護法」は、企業規模を問わず、すべての事業者に関係する法律にもなりました。
そこで、前回とは少し違う書き方で再度説明し、皆さまの理解に資すればと思います。
 またネット社会となった現在、「個人情報をどのような処置を適切に取りながら、どう事業に活用していくのか!?」 という課題は、実は中小小規模企業ほど重要な経営課題でもあります。
 
ぜひ、個人情報保護法を経営者であるあなた自身が理解され、個人データを自社の経営に有効的に活かしましょう。
 
今回の「個人情報保護法」改正の主なポイントは次のとおりです。
 1.個人情報の定義の変更
 2.5000件要件の撤廃
 3.利用目的の特定化と、利用と取得の適正化
 4.保有個人データ安全管理の措置
 5.オプトアウトの厳格化
 6.トレーサビリティの確保
 7.保有個人データの利用目的等の周知化
 8.罰則規定の強化
 
では、順を追って説明しましょう。
 
1.個人情報の定義の変更
 
  今回の改正法では、保護が必要な情報を、「個人情報」・「個人データ」・「保有個人データ」という
  3つの概念に分け、この概念ごとに保護しなければならないとしています。
 
(1)個人情報
  個人情報とは、従来の氏名・生年月日等に加え、顔画像・指紋・マイナンバー・免許証番号・パスポート 号・
  基礎年金番号・保険証番号などの「個人識別符号」と、人種・信条・身分・病歴・犯罪歴等の「要配慮個人情報」
  を加えています。
  「個人識別符号」と「要配慮個人情報」という新しい概念が出来ています。
  
(2)個人データ
  個人データとは、個人情報を体系的にした紙媒体や電子媒体(データベース)のことです。
  たとえば、従業員台帳、顧客台帳、携帯の電話帳、メールソフトのアドレス帳などが該当します。
  簡単に言えば、個人情報のトランダクションを「個人データ」と呼ぶということです。
 
(3)保有補習個人データ
  保有個人データとは、開示や訂正・消去などができる個人データを、6ヶ月以上保有している場合の個人データ
  のことを指します。
  つまり、個人データを6ヶ月以上保有していると、「保有個人データ」となるということです。
 
 なお、個人情報よりも個人データ、個人データよりも保有個人データの方が、改正法のより強い規制を受けます。
 これは大切なポイントなので押さえておきましょう。
 

2.5000件要件の撤廃
 
  従前の「5000件要件」は撤廃されました。
  従って、小規模事業者も規制対象になり、「個人情報取扱事業者」になります。
   現実的には「個人情報取扱事業者に当らない事業者はいない」と考えた方が良さそうです。
 

3.利用目的の特定化と利用と取得の適正化
 
 ①個人情報を取り扱うにあたっては、利用目的をできる限り特定するように定められてます。
 ②特定化した利用目的の中で、個人情報を利用することになります。
  それを逸脱した場合は、個人情報保護法違反です。
 ③個人情報取得においては、不正手段によらずに、適正な方法で取得するが求められています。
 ④利用目的は、❝あらかじめ❞公表しておかなければなりません。
 
 
4.保有個人データ安全管理の措置
 
  保有している保有個人データの安全管理については、組織的・人的・物理的・技術的の4つの側面から
  適切に措置を講じる必要があるとされています。
 
(1)組織的安全管理措置
   組織体制の整備や規程の整備と運用、個人データの整理、監査の実施、事故や違反時の対応手順の整備などが
   挙げられます。
 
(2)人的安全管理措置
   雇用時における秘密保全契約の締結や内部規定の周知や教育などが挙げられます。
 
(3)物理的安全管理措置
   保有個人データ保管場所の入退管理や盗難防止などを行うことなどが挙げられます。
 
(4)技術的安全管理措置
   アクセス管理やアクセス記録の管理、ウイルス対策、SSL(暗号化通信)、システム監視、委託先の監督、
   プライバシーポリシーの公表、苦情処理の適切化などが挙げられます。
 
 
5.オプトアウトの厳格化
 
  法令に基づく場合や人命保護に必要な場合などを除き、個人データを第三者に提供する場合は、あらかじめ、
  本人同意が必要となります。
  オプトアウトしている場合はその限りではありませんが、オプトアウトにもいろいろな制限が設けられています。
 
  ※オプトアウト(opt out)とは、個人情報の第三者提供に関して、本人の求めに応じて第三者への提供を停止する
   ことです。
   また個人情報の第三者提供にあたって、あらかじめ次の4項目を本人に通知するか、又は本人が容易に知りえる
   状態に置いておくことを「オプトアウト方式」と呼びます。
    ①得た個人情報は、第三者への提供を利用目的としていること
    ②第三者に提供する個人データの項目
    ③第三者への提供の手段、又は方法
    ④本人の求めに応じて、第三者への提供は停止すること
   個人情報保護法では、個人情報を第三者に提供する際には本人(その個人情報によって識別される特定の個人)
   の同意を得なければならないとされていますが、この4つの要件を満たしている場合には本人の許可がなくても
   第三者への提供が可能です。
   対義語は、オプトインといい、企業などに対して特定の活動を許諾することを意味します。
 
 
6.トレーサビリティの確保
 
 ①第三者から個人データを受ける場合には、提供者の氏名やデータ取得の経緯などを確認・記録し、一定期間保存
  する義務が生じます。
 ②第三者に個人データを提供する場合にも、受領者の氏名等を記録し、一定期間保存する義務が生じます。
  これらのことを「トレーサビリティの確保」といいます。
 
  ※トレーサビリティ(traceability)とは、トレース(追跡)できることをいい、履歴情報などによって後追いできる
   仕組みのこととをいいます。
 
 
7.保有個人データの利用目的等の周知化
 
  保有個人データの利用目的、開示手続き、苦情申出先などは、本人が知り得る状況に置かねばなりません。
 
 
8.罰則規定の強化
 
(1)改正法83条(個人情報データベース等提供罪)
  個人情報取扱事業者もしくはその従業者が不正提供又は盗用した場合は、1年以下の懲役又は50万円以下の罰金
(2)改正法87条(両罰規定)
  違反した個人が、法人の代表者、代理人、使用人などの場合で、かつその法人の業務に関して当該違反行為をした
  場合は、同じく1年以下の懲役または50万円以下の罰金
 
 
 以上ですが、少しは理解の手助けとなりましたでしょうか。
 ぜひ、法の精神を理解し、個人データを経営の中で有益に活用しましょう。