7,472view
個人情報保護法とは?改正ポイントと改正の社会的背景を解説!
この記事で分かること
- 個人情報保護法は、2017年に改正されました。
- 今回の改正では「定義の明確化」、「個人情報の有用性の確保」が置かれました。
- 改正法では「外国における個人情報保護法の適用に関する規定」も置かれました。
個人情報保護法は、情報通信技術の急速な発展といった環境の変化により新たな環境整備が必要となったことなどを背景に2017年に改正されました。今回の改正では個人識別符号や要配慮個人情報の新設といった「定義の明確化」、匿名加工情報の新設や利用目的の変更の制限の緩和といった「個人情報の有用性の確保」が置かれました。トレーサビリティの確保やオプトアウト規定の厳格化といった「個人情報の適正な流通の確保」や、統一性のある管理の実現のための「個人情報保護委員会の新設」も今回の改正の主要なポイントです。改正法では小規模事業者も適用対象となる「5000件要件の撤廃」や個人情報のグローバル化に対応するため「外国における個人情報保護法の適用に関する規定」も置かれました。
個人情報保護法改正の背景
今やコンビニのATMに行けば銀行口座からお金を引き出せますし、現金を携帯せずともクレジットカードで買い物ができます。こうした利便性はすべて個人情報を管理・活用することで実現しています。けれども、不正漏洩や悪用などの問題が起こっているのもまた事実。
そこで個人情報の取り扱いについて取り決めたのが個人情報保護法ですが、2017年に改正されています。まずは個人情報保護法とは何か、また改正の背景や改正ポイントなどを簡潔に解説します。
個人情報保護法とは
個人情報保護法とは個人情報について取り決めた法律です。最近耳にすることは多いものの、どんなものか知らない人も多いでしょう。個人情報保護法とはどういった法律なのでしょうか。
個人情報の管理・利用は我々の暮らしに必要であるが弊害もある
現代日本では、クレジットカードがあれば買い物ができるので現金を持ち歩く必要もありません。また交通系ICカードひとつでほぼ日本中で乗車できます。
そしてこのような利便性は、個人情報がネットを介して銀行や店舗などの間で瞬時にやり取りされることで実現しています。ですから個人情報の利用そのものは、この高度情報社会の現代日本においては必要不可欠なものであり、有益と言えるわけです。しかし他方で、個人情報の流出や不正漏洩、改ざん・悪用などの問題が生じているのも確かです。
そこで個人情報を利用することの有益性とその弊害の両側面を考慮しながら、個人情報を取り扱う際に守るべきルールついて取り決め、様々な不利益を防止する目的で制定されたのが個人情報保護法です。
改正個人保護法が2017年から全面施行となった
けれども、個人情報保護法が成立してから10年が経ち、IT技術の進歩などにより環境は大きく変化しました。その結果、法制定当初は想定し得なかった問題が生じたわけです。そこで改正法が2017年から全面施行されることとなります。
改正の背景は
個人情報保護法が制定されてから10年が経過し、情報通信技術は急速な発展を遂げました。
例えば今やスマートフォン一台あれば、場所や時間を問わずネットに接続し情報にやり取りができます。このように法制定当初は想定し得なかった環境の変化によってユーザーの利便性も増していますが、その一方でパーソナルデータの不正使用や漏洩などの問題も生じているのも事実です。またサイバー犯罪の手口も年々巧妙化しています。
改正のポイントは
そこでこうした情報通信技術の利便性を活かしつつ、個人の権利利益を保護するために改正は行われたのです。
改正のポイントは複数ありますが、大きく「個人情報などの用語の定義の明確化」「個人情報の有用性の確保」「個人情報の適正な流通の確保」「個人情報保護委員会の新設」などに分けることができます。次章から詳しく解説していきます。
個人情報保護法の改正のポイント
つまり改正個人情報保護法は個人情報の取り扱いについて安全性を確保しつつ、様々な情報の利活用を進めるという2目的の実現を目指すものなのです。ここからは改正のポイントを解説していきます。
定義の明確化
改正法ではそれまで不明瞭だった「個人情報」の定義や範囲を明確にしました。
「個人識別符号」の概念の導入
改正前の個人情報保護法では特定の個人を識別できる情報を個人情報としていました。個人の特定ができれば、個人の権利侵害が起こる可能性があるためです。
しかし技術の進歩により以前では特定の個人の識別に繋がる情報ではなかったものも、個人の識別に足り得るようになりました。つまり情報が個人情報に当たるのか否かが曖昧なケースが増加したのです。
そこで改正法では、新たな用語のカテゴリー「個人識別符号」を規定し、これを独立した個人情報として扱うことが規定されました。個人識別符号に該当するものは、DNA配列・指紋・静脈・虹彩など体の一部の特徴“生体情報”とマイナンバーや運転免許番号などの“個人を特定するために割り振られた番号”などです。
「要配慮個人情報」の新設
また“要配慮個人情報”が新設された点も特筆すべきポイントです。改正前の法律ではあらゆる個人の情報の内、特定の個人を識別できる情報を一律に『個人情報』として大きな括りで扱っていました。
しかし改正法では人種や信条・病歴・犯罪歴・犯罪被害歴などについて特に配慮が必要な個人情報を、新たなカテゴリー「要配慮個人情報」に含めて、より慎重に扱うことを取り決めたのです。
個人情報の有用性の確保
改正法では、適正な条件下での個人情報の有用性の確保ができるよう取り決めました。
「匿名加工情報」の新設
改正前の法律では規制対象となる行為も不明瞭でした。そのため例えば事業者間で顧客情報を含む膨大な量のデータのやり取りをしたり、1つの広範囲なデータに統合することが許されるのかが明確でなかったわけです。
改正法ではビッグデータ((膨大、多様を特徴とする情報)に含まれる個人情報を特定の個人を識別することができず、かつ復元ができないように再構築すれば(匿名加工)、そのビッグデータを複数の事業者で利用することができるよう規定しています。この再構築された情報を“匿名加工情報”と呼びます。
匿名加工情報との取り扱いを通常の個人情報よりも緩やかに規定することで、自由な利用・流通を可能にしたわけです。
利用目的の変更の制限の緩和
また通常の個人情報については、取得時に明示した利用目的を変更する場合の制限が緩和されました。
つまり利用目的の変更が、改正前より容易になったのです。変更前の利用目的と関連性があるとみなされる範囲内での変更が認められます。
個人情報保護法の改正での施策
さらに今回の改正では、情報漏洩に対処するための施策や、個人情報保護法のより統一的な運用のための施策も盛り込まれています。
適正な流通の確保
今回の改正では”個人情報の適正な流通の確保”も盛り込まれています。これは個人情報の売買を仲介する“名簿業者対策”の規定と言えます。
トレーサビリティの確保
そもそも情報漏洩事件の背後には個人情報の売買を仲介する“名簿屋”の存在があります。つまり入手した個人情報を名簿屋に流せば高額な利益を得ることができるとの考えから、情報漏洩事件が起こってしまうわけです。そのためかねてより違法ルートでの個人情報の流通の発生を防ぎ、適正な流通を確保するための対策が急がれていたのです。
そこで改正法では名簿業者を個人情報取り扱い業者と位置づけ、第三者に個人情報を提供する場合、本人への確認や記録、またそれらの保存を義務付けました。そうすることによって個人情報の流通過程を追跡(トレース)することが可能になります。これを“トレーサビリティの確保”と言います。
オプトアウト規定の厳格化
ところで個人データを第三者に提供する場合原則本人への同意が必要ですが、“オプトアウト”すれば提供が可能になります。
ここで言うオプトアウトとは「第三者への提供を利用目的とすること」「提供する個人データの項目」「提供の手段」「本人が求めた場合提供を停止すること」などの情報を事前に本人に通知する、もしくは本人が知りえる状態に置いていれば、同意がなくても個人データを第三者に提供できる制度です。
改正法ではこのオプトアウト規定の厳格化も規定されています。個人データに要配慮個人情報が含まれる場合、それは本人にとってデリケートな要素を内包するものであるため同意なく提供されれば不利益を被る可能性があります。そこで要配慮個人情報はオプトアウト手続きによる第三者提供を認めないとする扱いに相成ったのです。
「個人情報データベース等提供罪」の新設
更に改正法では「個人情報データベース等提供罪」も新設されています。これにより不正な利益を得る目的で個人データベース等を第三者に提供する行為は、処罰の対象になります。
個人情報保護委員会の新設
加えて、改正法では内閣府の外局として“個人情報保護委員会”を新設しました。個人情報保護法の運用などを独立した組織が行うことで、より統一性のある管理をするためです。
独立した組織が法を運営することで統一性のある管理を目指す
内閣府の外局として、新たに“個人情報保護委員会が設置されました。これは個人情報保護法の運用などを、各省から独立した組織が行うことで、より統一性のある管理の実現を狙ったものです。
個人情報保護法の押さえておきたいポイント
このように今回の改正では時代に即した規定が追加されています。最後にその他の重要な改正ポイントや、改正個人保護法について企業が押さえておきたいポイントを紹介します。
小規模取扱事業者への対応‐5000件要件の撤廃
これまでは事業に用いる個人情報データの保有数が5000件を超える事業者のみを個人情報保護法の適用対象としていました(5000件要件)が、今回の改正でこのルールを撤廃し、小規模事業者も適用対象となります。
小規模事業者は法の適用対象外だった
改正前の個人情報保護法では小規模事業者を保護するために、事業に用いる個人情報データの保有数が5000件を超える事業者のみが個人情報保護法の適用対象でした。
と言うのもそもそも適用対象事業者すなわち、個人情報取扱事業者とみなされる事業者には情報漏洩防止のために安全管理措置など多くの義務が課せられます。そこを小規模事業者にまでこうした義務を課すことにすると経営を圧迫し倒産してしまう恐れがあるためです。
5000件要件を撤廃し小規模事業者も適用対象とした
情報漏洩が起こった場合の損害の大きさは事業所の規模ではなく、漏洩した情報の内容によって決まるものです。更に近年我が国において個人情報保護の重要性が浸透しており、小規模事業者に対して安全管理措置をとることを求めてもそれはもはや過度な負担とは言えなくなってきているのです。
このような背景から5000件要件が撤廃され、実質的にはほぼすべての事業所が個人情報保護法の適用対象になったのです。従ってこれまでは適用対象外だった事業所も注意が必要です。
域外規定
今回の改正で、外国における個人情報保護法の適用に関する規定が置かれました。これを域外規定と言います。
個人情報についてもグローバル化対応が必要になった
近年ではグローバル化も進み国外から国内に在住する人に製品やサービスが提供する事業者も増えました。
しかし改正前の法では国内においてのみ効力を有したので、海外にて個人情報が悪用されてもそれを取り締まることができなかったのです。そこで今回の改正では、国外から製品やサービスが提供する事業者に関しても個人情報保護法の適用対象とすることを取り決めました。
国境を超えた法の適用・外国事業者への第三者提供
まず、個人情報保護委員会の規則に則った方法である、もしくは本人の同意を得ている場合、外国の企業に対する個人データの第三者提供が原則認められることが規定されています。
また企業が国内に居住する人に製品やサービスを提供する際も基本的には個人情報保護法の適用対象となります。海外に拠点がある企業は、このことをしっかりと頭に入れておく必要があります。
改正個人情報保護法をしっかり把握しておこう
今回、個人情報保護法が改正されました。情報漏洩を防ぐにはすべての事業者が改正部分だけでなく、法の全体像から詳細までを把握しておくことが肝心と言えます。