速報!さくらユウワ通信 「個人情報保護法の改正」

個人情報保護法の改正

 2005年に制定された個人情報の保護に関する法律(以下、「個人情報保護法」)が大きく改正され、平成29年5月30日の施行が予定されています。改正の内容は多岐に及びますが、企業が、早期に対応しなければならない事項についてご紹介します。

5,000人要件の撤廃

現行法では、5,000人を超える個人情報を保有する事業者のみが個人情報保護法の適用の対象でしたが、改正法では、保有している個人情報が5,000人以下の事業者であっても、適用の対象になります。

第三者提供を行う場合の手続き

 現行法では、企業が個人情報を第三者に提供する場合には、その提供の記録の作成は義務付けられていませんでしたが、改正法では提供の記録の作成が義務付けられます。

第三者提供を受ける場合の手続き

 改正法では、個人情報を第三者に提供する場合のみならず、第三者から個人情報を受ける場合にも確認・記録する新たな義務が新設されます。

オプトアウト手続きの厳格化

 個人情報を第三者に提供する際には、原則として本人の同意が必要になります。ただし、現行法では、あらかじめ本人に対して、第三者への提供が利用目的であることや、提供の方法、本人の希望により第三者提供を停止することなどを事前に本人に通知し、又は知りえる状態に置いていれば、本人の同意がなくても個人情報を第三者に提供できるというオプトアウト手続きという例外がありました。
 改正法では、オプトアウト手続きによる第三者提供について、事業者の届け出義務が新設され、オプトアウト手続きが規則に従う必要があるなど新たな規制が加えられており、オプトアウト手続きを行っている企業や、行おうとしている企業は、対応が必要になります。

外国にある第三者への個人情報の移転に関する規制の新設

 現行法では、外国にある第三者に対する個人情報を提供することについて、特段の規定を設けていませんでしたが、改正法では、新たに規制を設けたため、外国にある第三者に個人情報を提供する可能性がある企業には、新たな対応が必要になります。

「個人情報」の定義の変更

 改正法では、「個人識別符号」という概念が新設されました。個人識別符号とは、指紋・掌紋データや容貌データ、DNAの塩基配列など「特定の個人の身体の一部の特徴」を変換した符号によって本人認証ができるようにしたもの、または旅券番号や免許証番号、住民票コードなど個人に割り当てられる符号をいいます。
 現行法は、このような情報単独では個人情報とは扱われていませんでしたが、今回の改正により、個人識別符号に該当する情報も、単独で個人情報に該当することになります。
 従来から、個人識別符号に該当する情報と、その他の個人情報を結びつけて取り扱っている場合には、特に新たに対応する必要はありませんが、個人識別符号に該当する情報と、その他の個人情報を結びつけず、別に管理しているなどの場合には、対応が必要になります。

「要配慮個人情報」の新設

 改正法では、「要配慮個人情報」という概念が新設されました。要配慮個人情報とは、心身の機能障害や健康診断結果、刑事事件に関する手続きが行われたことなど、本人に不当な差別や偏見などが生じないように特に配慮が必要な情報をいいます。
 これらの個人情報については、本人の同意がある場合や、法令に基づく場合など一定の場合を除いて、取得が禁止されます。
 また、これらの個人情報は、その他の個人情報と異なり、オプトアウト手続きによる第三者提供をすることができません。
要配慮個人情報を取り扱う企業は、このような規制に対応する必要があります。
 詳しくは下記のURLの「個人情報の保護に関する法律についてガイドライン」をご覧ください。
https://www.ppc.go.jp/files/pdf/guidelines01.pdf

【熊本本部:内山 和明】

PDFはこちらをクリック

           .