平成27年改正のポイント

管理人

7年前

改正の重要性

平成27年9月に改正個人情報保護法が成立し、平成29年5月30日に全面施行となりました。

平成29年6月4日に実施された第47回個人情報保護士試験では、改正に関する問題が15題も出題されています。個人情報保護法に関する出題は全部で40題ですから、実に4問に1問が改正がらみの出題ということになります。

第48回試験についても改正の知識は必須と思われます。すでに触れたところと重複する部分も多いですが、試験直前のおさらいの意味もありますのでご一読ください。

個人情報保護委員会事務局が「個人情報保護法の基本」と題する文書を出しています。

そこで掲げられている改正のポイントは次のとおりです。

個人情報取扱事業者に対する監督権限を各分野の主務大臣から委員会に一元化しました。

個人情報保護委員会には資料の提出を求めたり立ち入り検査をする権限があること（ただし、犯罪捜査とは峻別されています）、立入検査の権限を事業所管大臣に委任できること、事業者に適当な措置をとることを要求できること、など要チェックです。

定義の明確化のため、「個人識別符号」を導入しました。

個人識別符号はそれ単体でも個人情報とされます。

個人識別符号には2種類あります。ひとつは「身体の一部の特徴を電子計算機のために変換した符号」（DNAなど）、もうひとつは「サービス利用や書類において対象者ごとに割り振られる符号」（パスポート番号など）です。

また、「要配慮個人情報」を他の個人情報と区別しました。要配慮個人情報は取得について本人の同意が必要であること、オプトアウトによる第三者提供ができないことが重要です。

要配慮個人情報は、本人に対する不当な差別や偏見が生じないよう特に配慮を要するものであり、障がいがあること、逮捕歴、健康診断の結果なども含まれます。

ビッグデータ時代への対応です。個人情報保護委員会規則で定めた方法で個人を識別できないように加工した「元個人情報」は自由に利用できることとしました。

「特定の個人を識別することができない」とはあらゆる手法によって特定することができないようにすることまでは求められていないこと、個人情報取扱事業者は本人を識別するために匿名加工情報と他の情報を照合してはいけないことなどが重要です。

個人データを第三者に提供した個人情報取扱事業者は、記録を作成・保管しなければなりません。

第三者から個人データの提供を受ける者は、個人データの取得経緯を確認し、内容を記録・保管しなければなりません。

個人情報データベースを不正な利益を図る目的で第三者に提供することは「個人情報データベース提供罪」という犯罪になります。

取り扱う個人情報の件数が5000以下である事業者は規制の対象外とされていましたが、新法ではこのような例外は認めないことになりました。

もっとも、個人情報保護委員会作成のガイドラインにおいて、小規模事業者がとるべき安全管理措置は他の事業者のそれとくらべて若干簡易なものでもよいとするなど、運用上の配慮はしています。

オプトアウトによる個人データの第三者データ提供をおこなう個人情報取扱事業者は、所要事項を個人情報保護委員会に届け出なければならず、個人情報保護委員会はその内容を公表することとなりました。

原則として本人の同意を要することとなりました。

ただし、その国が我が国と同等の水準にある個人情報保護制度を有する場合、および個人情報保護委員会規則で定める基準に適合する体制を整備している第三者に対する提供についてはこの限りではありません。

個人情報保護委員会は、我が国の個人情報保護法に相当する法令を執行する外国の当局に対し、その職務遂行に役立つ情報の提供を行うことができます。

ただし、提供した情報を刑事事件の捜査に使用するには個人情報保護委員会の同意が必要です。

しかも、政治犯罪の捜査を目的とする場合、および我が国の法律では罪とならない行為の捜査を目的とする場合には、情報を刑事事件の捜査に使用することの同意ができません。また、日本国が行う同種の要請に応じてもらえる保証がない場合も同意をすることはできません。

なお、これらの同意をするには法務大臣、外務大臣の確認を受ける必要があります。

認定個人情報保護団体（事業者の個人情報の適切な取扱いの確保を目的として、個人情報保護委員会の認定を受けた民間団体）が、対象事業者への情報提供や個人情報に関する苦情の処理を行うことになりました。