緊急コラム　改正個人情報保護法

今回は、この５月３０日から「改正個人情報保護法」が施行開始されますので、
緊急解説します。

今回改正される個人情報保護法の一番の改正点は「5000人要件が撤廃」されたことです。

つまり、法律的には、どんな事業規模であろうとも、今回の改正個人情報保護法の適用を
受けるということです。

では、どのような点に気を付ければよいのでしょうか。

 

■改正個人情報保護法（2017年5月30日施行）に対する企業の対応

 

Ⅰ　主な改正ポイント

　①5000人要件の撤廃

　②個人データの第三者提供を行う場合の手続き

　③個人データの第三者提供を受ける場合の手続き

　④オプトアウト手続きの厳格化

　⑤外国にある第三者への個人データの移転に関する規制の新設

　⑥「個人情報」の定義の変更

　⑦「要配慮個人情報」の新設

以上７点です。以下、その概要を紹介します。

 

Ⅱ　各概要

１　5000人要件の撤廃

今回から小規模事業者も規制対象になります。

改正前の個人情報保護法では、5000人を超える個人情報を保有する事業者のみが個人情報保護法の適用対象でしたが、改正後では同条項が削除されたましたので、保有している個人情報が5000人以下の事業者であっても適用の対象となります。

これまで個人情報保護法の適用対象ではなかった小規模事業者も、個人情報保護法の規制を把握し対応する必要があるということになります。

現代はインターネット上で多くの事業者が個人情報を入手している時代です。

あなたの会社も関係があることになりますので、必ず対応が必要です。

 

２　第三者提供を行う場合の手続き

これまで、企業が個人データを第三者に提供する場合には、その提供記録の作成は義務付けされていませんでした。

改正ではこれを作成すべきことになりました。

このことを「トレーサビリティの確保」といいます。

トレーサビリティの確保とは、追跡可能性の確保という意味です。

記録しなければならない事項は、以下のとおりです。

（１）本人の同意を得て、第三者に提供する場合

　①個人データの提供先の氏名又は名称その他の第三者を特定するに足りる事項

　②本人（個人情報の主体）の氏名又は名称その他の本人を特定するに足りる事項

　③個人データの項目

　④本人の同意を得ている旨

（２）オプトアウト手続きにより第三者に提供する場合

　オプトアウトとは、受け取りたくない人は受け取り拒否ができる仕組みということです。

　①から③は「本人の同意を得て、第三者に提供する場合」と同様です。

　④個人データを提供した年月日

（３）記録方法

　記録方法は、文書、電磁的記録又はマイクロフィルムとされています。

（４）保存期間

　一括記録の方法がとられる場合や個人データを含む書類の保管により代替する場合を
　除き、作成した日から３年間です。

但し、本人がその個人データを提供する場合や本人に代わって個人データを提供する場合はこのような義務を負いません。

 

３　第三者提供を受ける場合の手続き

今回の改正法では、個人データを第三者に「提供する場合」のみならず、第三者から個人データの提供を「受ける場合」にも確認・記録する新たな義務が新設されました。

これも「トレーサビリティの確保」です。 

（１）確認義務

　第三者から個人データの提供を受ける場合には、提供者に関する以下の情報を確認しな
　ければなりません。

　①氏名又は名称

　②住所

　③代表者の氏名（法人の場合）

　さらに、提供を受ける個人データの取得の経緯も確認しなければなりません。

　またこの場合、個人データの取得の経緯を示す書面（契約書や同意書、本人が個人データ
　を示した書面など）の提示を求める必要があります。

（２）記録義務

　個人データを第三者に提供する場合と同様、個人データを受領した場合も記録を
　作成しなければなりません。

　記録しなければならない事項は以下のとおりです。

　①個人情報取扱事業者から、本人の同意に基づいて個人データの提供を受ける場合

　　1)当該第三者の氏名又は名称

　　2)当該第三者の住所

　　3)当該第三者の代表者名（当該第三者が法人である場合）

　　4)当該第三者による取得の経緯

　　5)個人データによって識別される本人の氏名その他の当該本人を特定するに足りる事項

　　6)当該個人データの項目

　　7)本人の同意がある旨

　　　-1.私人（個人情報取扱事業者以外の者）から個人データの提供を受ける場合

　　　　「個人情報取扱事業者から、本人の同意に基づいて個人データの提供を受ける

　　　　場合」の1)から6)の事項。

　　-2.オプトアウト手続きに基づいて個人データの提供を受ける場合

　　　　「個人情報取扱事業者から、本人の同意に基づいて個人データの提供を受ける

　　　　場合」の1)から6)の事項。

　　8)個人データの提供を受けた年月日

　　9)個人情報保護委員会からオプトアウト手続きの届出が公表されている旨

 

４　オプトアウト手続きの厳格化

個人データを第三者提供する際には、原則として本人の同意が必要になります。

但し、改正前の個人情報保護法においては、あらかじめ本人に対して第三者への提供が利用目的であることや、提供の方法・本人の希望により第三者提供を停止することなどを事前に

本人に通知し、又は知りえる状態に置いていれば、本人の同意がなくても個人データを第三者に提供できるという「オプトアウト手続き」という例外がありました。

しかし、改正後は、オプトアウト手続きによる第三者提供について、事業者の届け出義務が新設される、オプトアウト手続きが規則に従う必要があるなど、新たな規制が加えられていますので、オプトアウト手続きを行っている企業や行おうとしている企業は、対応が必要になります。

（１）改正点

　オプトアウト手続きを行う場合には、個人情報保護委員会に届出をしなければならなく
　なりました。

　そのため、オプトアウト手続きを行うことが予定される場合には、届出の準備が必要に
　なります。

　またオプトアウト手続きを行う場合には、本人に通知し又は本人が容易に知りえる状態に
　置くべき事項として、新たに「本人の求めを受け付ける方法」が追加されました。

　そのため、これまでオプトアウト手続きをとっており、かつ今後もオプトアウト手続きを
　続ける事業者は、プライバシーポリシーに「本人の求めを受け付ける方法」を追加する必
　要があります。

　オプトアウト手続きに関する事項は、一般にプライバシーポリシーにおいて公表されてい
　ますので、自社のプライバシーポリシーを改正すべきかどうか確認する必要があります。

 

５　外国にある第三者に対する個人データの移転に関する規制の新設

改正前の個人情報保護法は、外国にある第三者に対する個人データを提供することについては特段の規定を設けていませんでした。

しかし改正法では、新たに以下の規制が儲けられたため、外国にある第三者に個人データを提供する可能性がある企業には、新たな対応が求められます。

（１）規制の内容

　次のいずれかに該当する場合でない限り、外国にある第三者に対して個人データを提供
　することはできません。

　①外国にある第三者に対して個人データを提供する旨の本人の同意がある場合

　②個人情報取扱事業者に求められるものと同等の体制を整備する第三者に対して
　　個人データを提供する場合

　③日本の個人情報保護法と同等の個人情報保護制度がある国にある第三者に提供する場合

　④法令に基づく場合など

　但し、②と③については、国内の第三者に提供する場合と同様に「第三者に提供する旨の
　同意」が必要になります。

（２）注意点

　国内の第三者に対する提供する場合、委託や事業承継および共同利用の場合には、第三者
　提供の同意は不要でした。

　しかし、国外の第三者に提供する場合には、たとえ委託や事業承継および共同利用の場合
　であっても、上記①から③のいずれかを充たす必要があります。

 

６　「個人情報」の定義の変更

改正個人情報保護法では「個人識別符号」という概念が新設されました。

個人識別符号とは、指紋・掌紋データや容貌データ、DNAの塩基配列など「特定の個人の身体の一部の特徴」を変換した符号によって本人認証ができるようにしたもの、又は旅券番号や免許証番号、住民票コードなど個人に割り当てられる符号をいいます。

このような情報は、改正前ではそれらの情報単独では「個人情報」とは扱われず、「特定の個人を識別できる情報」と結びついて初めて個人情報と扱われていました。

しかし、今回の改正により、個人識別符号に該当する情報も、単独で個人情報に該当することになります。

従来から、個人識別符号に該当する情報と、その他の個人情報を結びつけて取り扱っている場合には、特に新たに対応する必要はありません。

一方、個人識別符号に該当する情報とその他の個人情報を結びつけず、別に管理しているなどの場合には対応が必要になります。

そのような個人識別符号も個人情報に該当するため、個人識別符号にかかる取り扱いの方法を見直しなどの措置をしなければなりません。

 

７　要配慮個人情報に対する規制の新設

改正個人情報保護法では、「要配慮個人情報」という概念が新設されました。

要配慮個人情報とは、心身の機能障害や健康診断結果、刑事事件に関する手続きがおこなわれたことなど、本人に不当な差別や偏見などが生じないように、特に配慮が必要な情報をいいます（センシティブデータ（機微情報））。

通常の個人情報を取得する場合には、本人の同意は求められていません。但し、あらかじめ利用目的を公表し、又は取得後に速やかに本人に利用目的を通知し、若しくは公表する必要はあります。

しかし要配慮個人情報については、本人の同意がある場合や、法令に基づく場合など一定の場合を除いて、取得が禁止されます。

また、要配慮個人情報に当たる個人データは、その他の個人データとは異なり、オプトアウト手続きによる第三者提供をすることができません。

要配慮個人情報を取り扱う企業は、このような規制に対応する必要があります。

掲載日：2017年5月17日 ｜カテゴリー：トピックス