平成29年5月30日から、改正個人情報保護法が施行されました。個人情報保護法が施行された平成17年から10年以上が経過し、わたしたちを取り巻く環境は大きく変化しています。

特に情報通信技術は目覚ましく成長しており、世界中であらゆるデータが行き来するようになりました。個人情報も例外ではありません。

近年はインターネットやテレビなどを通した消費者の購買行動などの情報が、ビッグデータとしてビジネスで活用され始めています。

このような背景を受け、ビッグデータを活用した新しいサービスや社会問題の解決を後押しし、同時に消費者を個人情報漏えいのリスクから守るために、個人情報保護法が改正されました。

これまで個人情報保護法の適用外であった規模の小さい企業や団体も、今回から適用されています。改正個人情報保護法は、すべての事業者、消費者に関わる重要な法律です。

今回は、改正個人情報保護法の背景と内容を解説します。

目次

  1. 個人情報保護法とは
    1. 個人情報保護法の目的
    2. 個人情報の定義
    3. 定義の変更点
  2. 改正個人情報保護法のポイント
    1. すべての事業者へ適用
    2. 適切な対応の上での個人情報の活用
    3. 適切な個人情報の流通
    4. 個人情報のグローバル化
  3. まとめ:改正個人情報保護法を正しく理解しよう

個人情報保護法とは

個人情報保護法は、平成17年に施行されました。その後、前述したとおり社会環境は10年余りで大きく変化し、その変化に対応するため、今回の改正に至りました。

個人情報保護法の目的

個人情報保護法には、2つの目的があります。「本人の個人情報に対する権利と利益の保護」と「個人情報を活用する有効性の維持」です。

2つのバランスを図るため、個人情報を取り扱う事業者が個人情報に対する全ての行為について守るべき義務と、行政の監視権限を定めています。

個人情報の定義

一言に「個人情報」といっても、どこまでを「個人情報」とするのでしょうか。個人情報保護法では個人情報の定義を明確に定めています。

平成17年に個人情報保護法が施行されてから今まで、インターネットが普及したことで電子上の個人情報が増えました。今回の改正では、その要素も含め明確に定義付けています。

どこが変更されているか、下記を比べてみましょう。変更点は太字で記しています。

個人情報保護法(平成17年施行)の定義

>この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

引用:
[個人情報の保護に関する法律(平成15年法律第57号)|一般財団法人個人情報保護士会](http://law.e-gov.go.jp/htmldata/H15/H15HO057.html)

改正個人情報保護法(平成29年施行)の定義

>この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録   (電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。第18条第2項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの

引用:
[個人情報の保護に関する法律(平成15年法律第57号|個人情報保護委員会](http://www.dentsu.co.jp/news/release/2017/0726-009334.html)

改正個人情報保護法における定義の変更点

改正後は、「個人識別符号」という新しい言葉が加わりました。これは、直接的に氏名や住所などの個人情報を表していなくても、その情報単体で個人を特定できる情報のことです。

「個人識別符号」には、以下のような情報が該当します。

身体の一部の特徴を電子計算機のために変換した符号

DNA・顔・虹彩・声紋・歩行の動き・手指の静脈・指紋・掌紋

サービス利用や書類において対象者ごとに割り振られる符号

旅券番号・基礎年金番号・免許証番号・住民票コード・マイナンバー・各種保険証などの公的な番号

これらは、政令と規則で個別に指定されます。

参考:
個人情報保護法の基本|個人情報保護委員会事務局

改正個人情報保護法のポイント

定義が明確になった上で、次は内容の改正ポイントをみていきましょう。

すべての事業者へ適用

今回から、小さい規模(5,000人以下の個人情報を扱う事業者)でも、個人情報保護法が適用されます。

対策に関してガイドラインを策定しているため、これまで適用外だった方は改めて確認してみてください。

参考:
個人情報の保護に関する法律についてのガイドライン(通則編)|個人情報保護委員会

適切な対応の上での個人情報の活用

個人情報の利用目的を変更する場合の要件が緩和されました。本人の同意を得れば、新しい目的に利用できます。

更に、規律にのっとり特定の個人を判別できないよう情報に加工を加えれば、「匿名加工情報」として個人情報の対象から外れ、本人の同意がなくとも別の目的に利用できます。

適正な個人情報の流通

オプトアウト手続きの厳格化

オプトアウト手続きとは、あらかじめ本人に通知し拒否されない限り、「要配慮個人情報」を除いた個人情報を第3者に提供する場合、本人の同意を得る必要がなくなる手続きのことです。

つまり、事前に「第3者に提供する可能性があります。拒否する場合はこの手続きをしてください」と案内していれば、本人の同意を得ているとみなされます。

「要配慮個人情報」とは、以下の個人情報を指します。

・人種、信条、社会的身分
・病歴、犯罪歴、犯罪被害歴
・その他本人に不当な差別や偏見などの不利益が生じないよう、取り扱いに配慮を要するもの

今回から、オプトアウト手続きを通して個人情報を第3者に提供する場合、その項目を個人情報保護委員会へ提出することが義務付けられました。個人情報保護委員会は、その内容を公表します。

トレーサビリティ(追跡可能性)の確保

個人情報を第3者に提供した場合、その提供者の氏名などの記録を一定期間保存しておくことが義務付けられました。また提供を受けた側も、提供者の記録を保存する必要があります。

個人情報データベース等不正提供罪

個人情報を扱う業務に従事する人、または従事していた人が、不正な利益のために個人情報を提供・盗用する行為を処罰する規定が新設されています。

個人情報のグローバル化

日本に住んでいる方の個人情報を取得した外国の事業者にも個人応報保護法が適用されます。また、「個人情報保護委員会の規則にのっとって体制を整備した場合」「個人情報保護委員会が認めた国の場合」「本人の同意を得た場合」、個人情報を外国の第3者に提供することも可能です。

まとめ:改正個人情報保護法を正しく理解しよう

改正個人情報保護法は、いち消費者としても知っておきたい法律です。本人は、事業者に対して自分の個人情報の開示を求めることも可能です。事業者は、顧客であり消費者でもある立場を理解することで、より安心感のある企業体制や事業構築ができるのではないでしょうか。

正しい知識をもって、双方にとってメリットのある事業発展を目指していきましょう。