Vol.36 個人情報保護法が改正されると、どうなるの?

平成15年に成立し、17年から全面施行された「個人情報保護法」。施行から今年で10年が経過しました。ビッグデータの活用など情報を取り巻く技術や社会はこの10年で大きく変化し、その状況に鑑み今年9月に改正法が成立し、公布されました。
今回のミラサポ総研では、「個人情報保護法」改正を担当する内閣官房 情報通信技術(IT)総合戦略室 山本 和徳参事官、大石 真梨子主査に、改正のポイントや中小企業・小規模事業者にかかわる変更点をうかがいました。
※本記事は平成27年10月9日時点の取材を基に執筆・掲載しています。

個人情報の取扱いにおいて基本的な考え方を定めたもの

FIXME

ミラサポ事務局:「個人情報保護法」とは、どのような法律なのでしょうか?

個人情報の取扱いに関する基本的な考え方を定め、事業者のみなさまがどのように個人情報を取扱えばよいか、取扱わなければならないのか、個人情報を取扱う上でのルールを定めた法律です(行政機関による取扱いについては、別途定めた法律があります)。

個人情報は利活用することで、非常に世の中の役に立ちます。そのような有用性に配慮しながら、適切に取扱い、個人の権利・利益を保護することが必要です。「個人情報保護法」は、そのルールを示したものになります。

3つの観点で制度を改正

FIXME

ミラサポ事務局:今回、「個人情報保護法」を改正するに至った経緯をお聞かせください。

「個人情報保護法」は施行から今年で10年。
この10年を振り返りますと、中小企業・小規模事業者のみなさまも、給与管理や顧客管理、電子取引など、個人情報を取り扱う業務や情報の内容が変わってきているのではないでしょうか。

IT技術の飛躍的な進歩により、大量のビッグデータのうち、個人の行動・状態などに関するパーソナルデータを集めて分析し活用するなど、個人情報の取扱いにおいて大きな変化が起きています。このような変化において、個人情報の範囲は曖昧になってきており、また、事業者においては、どのような措置をとれば個人情報を利活用できるのか分からず、躊躇してしまうという状況があります。

一方で、消費者の立場からは、個人情報をきちんと保護してもらわないと不安だという思いが強まっています。そこで、個人情報の利活用の促進と、保護の要請とを併せて検討し、これらのグレーゾーンを解消しなくてはなりません。

また、事業者においては事業・業務の形態が多様化し、業種横断的な事業活動も増えてきました。
しかしながら「個人情報保護法」の所管は消費者庁、運用は各省庁が行うこととなっており、このような縦割りの運用では対応できない事案も出てきています。大規模な個人情報漏えい事案も出てきており、制度を所管する組織により、一元的に運用していく体制の必要性が叫ばれています。

さらに、近年国境を越えた情報のやり取りにおいて、量・速度・質が変化しています。ヨーロッパやアメリカをはじめ、経済活動が密接な国々の制度と照らし合わせ、情報のグローバル化に伴う制度の見直しも必要です。

このような状況を受け
•個人情報の利活用の促進と保護との要請を踏まえたグレーゾーンの解消
•制度の実施体制についての振り返り
•個人情報保護制度の国際的な整合
この3点を踏まえ、制度の改正を行いました。
今後も技術の進歩、世の中のニーズに即して、3年ごとに必要な制度の見直しを行っていきます。

保護を図りつつ、安全かつ適切に利活用を行うために

FIXME

クリックすると拡大します

ミラサポ事務局:では、具体的な改正内容のポイントをお聞かせください。

大きく5つのポイントをお伝えします。

1つ目は「定義の明確化等」です。
まず個人情報であるか否か、現在グレーゾーンにある情報を明確化します。例えば、技術の進展により記録・活用されるようになった、指紋認証や顔認証データのような身体の一部の特徴をデータ化した文字や、旅券番号、運転免許証番号のような個人に割り当てられた番号などがありますが、これらは「個人識別符号」として、それ単体でも個人を特定できる個人情報であると明らかにしました。具体的に何が「個人識別符号」に該当するかについては、追って政令で示し、明確にしていきます。
また、国際的にも配慮されている人種、信条、病歴、犯罪の経歴などを含む個人情報を「要配慮個人情報」として、一般的な個人情報よりも大事に取り扱うべきであると示しました。具体的に何が「要配慮個人情報」に該当するかについては、法律で定めているもののほか、追って政令でも示し、明確にしていきます。

2つ目は「適切な規律の下で個人情報等の有用性を確保」することです。
個人情報をビッグデータとして事業活動に活用できないのでは、経済活動を抑制してしまいます。しかし、事業者によっては個人情報を不適切に扱ってしまわないかという不安があり、活用を躊躇している場合もあります。そのような不安を払しょくするために、個人を特定できないよう個人情報を加工した情報を「匿名加工情報」として、それを適切に取り扱うための枠組みを作りました。このように加工し、安全に管理してくださいというルールを示しますので、そのルールに則って、データを収集、分析し、ビジネスに活かしてほしいと思います。

3つ目は「個人情報の流通の適正さを確保」することです。
第三者と個人データをやり取りする場合において、誰に情報を渡すか、誰から受け取った情報なのか、適切に情報がやり取りされたことの記録と保存、確認をお願いします。例えば個人データを受け取る場合においては、やり取りする相手の氏名・名称などを確認すると共に、その相手がその情報をどのように取得したのかを必ず確認してください。なお、その際には、同一会社間での反復、継続したやり取りについてはまとめて記録すること、メールでのやり取りについてはメール送受信時のログの活用など、事業者のご負担に配慮していく予定です。
この仕組みを入れることで、不正に収集された個人情報の流通が発生しないよう、その抑止を図ります。

4つ目は「個人情報保護委員会の新設」です。
来年(平成28年)1月に「個人情報保護委員会」が立ち上がり、個人情報保護に関する業務を一元的に行っていきます。

最後に5つ目は「個人情報の取扱いのグローバル化」に関する規定整備です。
海外にいる第三者に個人情報を提供する場合の規定や、国境を越えた法の適用の範囲の規定などを整備しました。

来年1月の委員会の設置から、段階的に改正法の実施に向けて取組が始まり、1年程度をかけて新ルールの適用が始まります。1月以降に政令、委員会規則、ガイドラインでより具体的な内容や方針を提示していきますので、確認していただきたいと思います。
併せて、順次説明会やセミナーも行っていきますので、ぜひご参加ください。

これまでどおり、適切に扱えばOK!

FIXME

ミラサポ事務局:改正による中小企業・小規模事業者への影響について、お聞かせください。

これまで、取扱う個人情報の量が少ない事業者は法律上の義務規定の適用が除外されていましたが、改正により、1件でも個人情報を取扱っている事業者は義務規定を守っていただくことになります。つまり、1人でも従業員がいる場合、1件でも顧客情報を扱う場合は、義務規定の適用対象者となります。

ただし、適用対象になることで、新しく、ことさら大変な対応をお願いするものではないと考えます。これまでも従業員や顧客に係るさまざまな情報を大切な情報として、適切に取り扱ってきたことと思います。その取扱いのルールをこの機会に振り返っていただき、適切に保管しているか、不備がないかを確認していただければと思います。

個人情報を入手する場合においても、利用目的についてきちんと通知・公表し、利用目的を超えた活用は行わず、利用目的を変更する場合においては再度通知するなど、これまでも行っていることと思います。このような取組を事業者が行っていただければ、改正後の制度に自然に対応するものとなっています。

個人データの第三者への提供における記録、保存、確認の新しいルールは、情報を悪用した人を委員会が把握し、アプローチするための制度でもあります。ですので、若干ご負担をかけますがご理解いただき、個人情報を事業者間でどう取り扱うのか、情報を提供するときの約束事を確認し、正しくやり取りを行っていただきたいと思います。

今後、中小企業・小規模事業者向けに配慮したガイドラインでわかりやすく具体的な対応を提示していきます。また、中小企業の関連団体、支援機関を通じて理解を促す取組も行っていきます。 実際には、業種、事業の内容、企業規模によって、取り扱われる個人情報や対応の範囲が異なります。よって、この制度においては、政府だけがルールを作るのではなく、事業活動の実態に合わせて運用する枠組みが盛り込まれています。これまでも、制度上、認定個人情報保護団体が作成する業界ごとのルール(個人情報保護指針)がありましたが、改正法ではその位置づけを一段階高め、委員会に届け出ていただき、委員会が公表することとしています。
その観点からは、みなさまが所属する事業者団体などで、業種の特徴に合わせたルールを作っていただくことがスムーズな対応をしていく上で有効であり、積極的にご検討いただけると幸いです。

これから改正後の新しいルールの細部が決まってまいります。ぜひ関心を持ってフォローいただき、中小企業・小規模事業者のみなさんに個人情報の保護と積極的な利活用を図っていただきたいと思います。




すべての特集を見る