改正された個人情報保護法(個人情報の保護に関する法律)が30日、全面施行された。改正では、法規制の対象が小規模事業者にも拡大されたり罰則規定ができたりするなど、個人情報の取り扱いについて大幅な変更がある。
われわれが特に注意しなければならないことはあるのだろうか。今回の改正について、ITコンサルタントの水谷哲也氏がAll Aboutの『【2017年】個人情報保護法改正のポイント6つ』でポイントを解説している。
**********
個人情報保護法とは
水谷氏によると、個人の権利・利益の保護だけでなく事業者が活用できるよう、個人情報の有用性とのバランスを図るための法律で、個人情報保護法は2005年4月1日に施行。
個人情報保護法が誕生した背景は、デジタル化が進み、コンピュータに入った顧客台帳を簡単に持ち出せるようになり、社会問題化したことにある。
また、OECD(経済協力開発機構)がプライバシー保護と個人データの国際流通についてのガイドラインに関する勧告を出したことから各国で法整備が行われる流れから、日本でも法整備されたという。
水谷氏は改正のポイントは以下の6つがあるとしている。
改正ポイント1:個人情報を扱うすべての事業者に適用される
これまでの個人情報保護法では、取り扱う個人情報の件数が5000以下の事業者は適用対象外だったが、改正により廃止となった。つまり個人情報を1件でも扱う事業者であれば、同法が適用される。
「マイナンバー制度がスタートし、一人会社以外の事業者は従業員のマイナンバーを扱うことから、マイナンバー法(番号法)の適用を受けるになります。マイナンバー法では件数は関係ないため、今回の改正によって法的整合性がとられました。今後はマイナンバーをはじめとする個人情報を扱うすべての事業者が、個人情報保護法ならびにマイナンバー法の適用を受けることになります」(水谷氏)
改正ポイント2:違反の罰則として「個人情報データベース等不正提供罪」ができた
これまでは、個人情報に関しては建設会社なら国土交通省、商社なら経済産業省と事業者を監督する省庁がバラバラだったが、改正により、各省庁の監督権限を統一した「個人情報保護委員会」ができ、一元で監督することになる。
個人情報保護委員会は事業者に対し、指導・助言、勧告・命令を行うことができる。国からの命令に違反した場合は6ケ月以下の懲役または30万円以下の罰金、虚偽などの報告をした場合は30万円以下の罰金。
従業員等が個人情報を名簿業者に売ったような場合には、新設された「個人情報データベース等不正提供罪」となり、1年以下の懲役または50万円以下の罰金となる。個人だけなく法人も罰せられる。
改正ポイント3:個人情報の提供についての記録義務が強化される
第三者から個人情報の提供を受ける場合と提供する場合、双方に記録義務と保管義務が発生する。その際は、提供年月日や誰に提供したかを記録しなければならないという。
これは、個人情報の不正な流通や取得を阻止することが目的。なお、保存期間は情報の種類によって異なるが、原則として3年となる。
改正ポイント4:健康診断書を会社が預かるには本人同意が必要
事業者は、従業員に対しても個人情報を集める目的を通知し、厳密に保管しなければならない。改正個人情報保護法では、「要配慮個人情報」が新たに定義され、高い規律が求められるようになっている。要配慮個人情報には、人種・信条・病歴・前科などが該当する。
「特に注意すべきなのが健康診断や保健指導の結果です。人間ドックの受診結果は従業員に渡しますが、要配慮個人情報に該当するので、総務などで記録として保管する場合には事前に本人の同意を得ておかなければなりません」
食品業であれば調理担当の検便検査、建築業では現場作業者の血圧検査、運送業ならドライバーのアルコール検査を行うが、これらの検査結果も対象となる。
水谷氏によると、不要になった個人情報(例:社員募集で不採用となった履歴書など)はシュレッダーにかけて廃棄することで、個人情報漏洩のリスクを下げられるという。
改正ポイント5:オプトアウトの届出がより厳格化される
第三者に個人情報を提供する時は本人から同意を得ておかなければならない。
一方で、「オプトアウト」というやり方もある。オプトアウトとは、「本人の同意を得ることなく個人情報を第三者に提供する」こと。活用する際には「本人の求めに応じて提供を停止でき」、かつ「本人がオプトアウトになっていることを容易に知り得る」ことが条件になる。
今回の改正で、オプトアウト手続きを行っていることを個人情報保護委員会へ届け出ることが必要になる。
ただし、健康診断書など要配慮個人情報はオプトアウトでの提供は禁止されている。また、業務の委託・事業承継・共同利用の場合は第三者提供には当たらない。
改正ポイント6:ビッグデータ対策として「個人識別符号」が定義される
今回の改正で「個人識別符号」が新しく定義された。
水谷氏によると、個人識別符号とは情報単体で個人情報に該当するもので、具体的には公的番号(基礎年金番号・住民票コード・マイナンバー・パスポート番号など)とコンピュータで扱える身体の特徴(DNA・指紋・声紋・静脈・顔など)のこと。
個人識別符号は新たに守るべき対象として追加されたが、逆に言えば特定の個人を特定できないよう個人情報を加工した場合にはビッグデータとして活用してもかまわない、ということになると水谷氏は説明している。
【関連リンク】