個人情報保護法は平成27年9月に改正法が成立し、平成29年5月に全面施行となりました。
実は、「個人情報保護法制定の経緯と社会的背景」というテーマはこの試験の頻出事項であの記事を読むだけで1問正解できました。しかし、2017年6月実施の第47回試験ではこのテーマの出題はなく、かわりに個人情報保護法改正の背景が問われました。それだけ重要な改正だったのだといえます。
では、なぜ改正されたのかご説明します。
グレーゾーンの拡大→定義の明確化
従来の個人情報法保護法は、特定の個人を識別できる情報が個人情報だ、としていました。誰の情報か分かってしまうとプライバシーなど個人の権利侵害のおそれがあるからです。
一見もっともな定義ですが、以前は個人の識別に結びつく情報ではなかったものが技術の進歩により個人の識別が可能となる現象が起こっています。その情報が個人情報に該当するのか判断に迷う「グレーゾーン」が拡大しているのです。
そこで、改正法では「個人識別符号」という概念を導入し、個人識別情報を含むものは個人情報だ、としてグレーゾーンの解消を図りました。
個人識別符号には2つあって、1つは生体情報(顔認識データ、指紋データなど)、もう1つは個人を特定するために割り振られた番号等(運転免許証番号など)です。
これでDNA情報などが個人情報に該当することがはっきりしたのです。
他方、携帯電話番号は個人に割り振られたものではなく(会社が契約する場合もありますよね)、変更されることもあるので個人情報ではありません。
また、特に慎重な取扱いが求められる情報を「要配慮個人情報」と定義して個人の権利利益侵害を防ぐようにしました。
情報の利活用の推進→匿名加工情報
情報は重要な経営資源です。とりわけ近年いわゆるビッグデータの活用が新たなビジネスチャンスを生んでいます。しかし、ビッグデータに含まれるパーソナルデータが個人情報だとされるとどうでしょう。ビッグデータの活用を躊躇することになります。
そこで、改正法は、個人を識別できないよう加工した「匿名加工情報」という概念を導入し、厳格なルールのもとで流通させることを認めました。
匿名加工情報については第47回試験で詳しく聞かれていますので、別講で解説します。
グローバル化対応の要請
経済のグローバル化に伴い、個人情報の国際的流通も課題になっています。
法律は国によって異なり、個人情報を厳格に扱う国もあればそうでもない国もあるからです。
そこで、改正法は、我が国と同等の個人情報保護法制が整備されている国、あるいは我が国の個人情報保護法下で求められるのと同水準の管理体制をしいている事業者以外の外国事業者に個人データを提供するには本人の同意を要するものとしました。
名簿屋対策の強化
ベネッセの事件で流出した個人情報がどこまで広まってしまったのかは捜査機関でも把握しきれなかったと聞きました。
名簿の取引自体は合法ですが、規制強化の要請は高まっています。
そこで、改正法は、個人データのトレーサビリティ(追跡可能性)を確保するために、提供者は受領者の氏名等を、受領者は提供者の氏名や当該データの取得経緯を確認・記録し一定期間保管するよう義務づけました。
また、不正な利益を図る目的で個人情報データベースを提供する行為を犯罪として処罰の対象にすることとしました(データベース提供罪)。
個人情報保護委員会の新設
我が国には個人情報保護の専門行政庁がなく、各行政庁が所管する事業者を指導・監督してきました。
例えば、銀行や証券会社は金融庁、病院は厚生労働省といった具合です。
しかし、複数の省庁にまたがる場合もありますよね。医療一般は厚生労働省の所管ですが、医療研究となると文部科学省や経済産業省も関係してきます。仮定の話ですが、複数の省庁から二重、三重に指導を受けるとしたらどうでしょう。同じ事を言われるなら煩雑なだけで無駄ですし、違う事を言われたらどう対処していいのか混乱します。
そもそも、専門の所管庁がないということ自体、日本が個人情報保護を重要視していないとの評価につながりかねません。
そこで、マイナンバー法施行時に設立された「特定個人情報保護委員会」を改組して「個人情報保護委員会」を新設することにしました。
個人情報保護委員会には調査、監督権限が認められており、同委員会の命令違反には罰則が科せられます。
その他
いわゆる5000件要件廃止、第三者提供のルール整備、認定個人情報保護団体制度導入などたくさんあります。いずれも出題可能性が高いと思われますので適宜解説します。