一昨年,2017年5月30日に改正個人情報保護法が施行されました。
個人情報を保護する法律については,1988年に,行政機関の保有する個人情報について法律が定められていました。
民間部門を対象とする法律は,その15年後2003年になり,ようやく「個人情報の保護に関する法律(個人情報保護法)」として制定され,2005年に全面施行されいました。
しかしその後の社会情勢の変化は著しいものがあり,さらなる対応が必要となりました。具体的には,
① ITによるデータ蓄積の増大,ビッグデータの利活用の必要性
② 漏えい事件の多発
③ マイナンバー通知開始
などの情勢変化がありました。個人情報保護法も,これらに対応した内容にするため,法改正が行われ,2015年に改正法が国会で可決制定,2017年5月30日に改正法が施行されました。
主な改正内容としては,以下のとおりとなっています。
(1)個人情報の定義の見直し
「個人識別符号」という用語・概念を個人情報として追加
⇒マイナンバーや運転免許証の番号などを個人情報として列挙しています
「要配慮個人情報」の新設
⇒病歴や犯罪歴など差別を生じさせるおそれのある個人情報については,特別の配慮を必要としています
(2)個人情報取扱事業者の範囲拡大
取り扱う個人データが5,000件以下の小規模な個人や団体にも法律が適用されることとなる
⇒企業,法人以外にも,個人事業主,自治会・PTAなどの団体にも個人情報保護法が適用されることになりました
(3)個人情報の利用目的の制限緩和
「匿名加工」により取得時の利用目的以外の目的で利用できるようにするなどの規定整備
⇒いわゆる「ビッグデータ」などの活用を図るため
(4)個人情報の保護体制の強化
トレーサビリティの確保
オプトアウトの徹底・届出化
提供罪の新設
⇒情報漏えいを防ぎ,漏えいした場合も漏えいの理由や追跡を可能にしました
(5)個人情報のグローバル対応
国境を越えた法律適用
⇒海外の事業者に情報を提供する場合などの規律を整備しています
(6)個人情報取扱事業者の監督権限が各主務大臣から「個人情報保護委員会(内閣府の外局)」に一元化
⇒従来は,それぞれの分野の監督官庁,例えば医療機関なら厚生労働省の監督にあったものが,内閣府の外局である委員会に監督権限が統一されました
改正後の法律で,個人情報取扱事業者(個人情報保護法が適用される者)に課せられる義務としては,
(1)個人情報
① 利用目的の特定・目的外利用の禁止(15条,16条)
② 適正な取得・取得時の利用目的の通知(17条,18条)
(2)個人データ(個人情報のデータベースを構成する個人情報)
① データ内容の正確性確保と安全管理措置(19条,20条)
② 従業者や委託先の監督(21条,22条)
③ 第三者提供の制限・提供に係る記録の作成等(23~26条)
(3)保有個人データ(個人データのうち事業者が開示等の権限を有し6か月超保有する個人情報)
① 公表・開示(27条,28条,32条,33条)
② 訂正・利用停止等の求め(29条,30条)
などが規定されています。
従来よりホームページなどでプライバシーポリシーを公表されている事業者の方々についても,その内容を改正法に対応したものにアップデートしていただくことが必要です。
(その2に続きます)