AZX弁護士の高橋です。
ブログへの登場は3回目です。テーマは法改正という堅い分野ですが、全ての会社に関わる重要なテーマですので、ぜひご一読下さい!
平成27年9月9日に改正個人情報保護法が公布されました。一部は既に施行済みですが、全面施行されるのは平成29年5月30日とされています。
今回の改正の目玉は、① ビックデータ活用への対応、② トレーサビリティの確保、③ グローバル化への対応、の3点です。
また、小規模取扱事業者の適用除外廃止、個人情報の定義の明確化、及び個人情報のうち「要配慮個人情報」という特別な取り扱いが必要となる個人情報が新たに設けられました。
前編にあたる今回の記事では、まず小規模取扱事業者の適用除外廃止、個人情報の定義の明確化、及び要配慮個人情報に関する改正点を解説した上で、① ビックデータ活用を解説します(② トレーサビリティの確保、③ グローバル化への対応は後編の記事で解説する予定です。)。
※なお、本ブログ記事を投稿した時点において、今回解説する事項は未施行部分に当たります。上記の通り、全面施行は平成29年5月30日とされています。
目次
1 小規模取扱事業者の適用除外廃止等
(1) 個人情報保護法の適用除外の廃止
現行法では、適用対象となる「個人情報取扱事業者」の定義から、過去6ヶ月以内のいずれの時点でも取り扱う個人情報が5000件以下である小規模取扱事業者が除外されていました。これにより、小規模取扱事業者には、これまで個人情報保護法が適用されていませんでした。
しかし、今回の改正では、小規模取扱事業者への適用除外規定が削除されたため、これまで適用を受けなかった小規模取扱事業者も改正後は個人情報保護法の適用を受けることになります。
(2) 個人情報の定義の明確化 ~「個人識別符号」~
現行法では、「個人情報」を、①特定の個人を識別することができるもの及び②他の情報と容易に照合することができ、それにより特定の個人を識別することができるもの(※)、と定義しています。しかし、このような抽象的な定義では規制対象が不明瞭であり、今後期待される個人情報のビッグデータの活用において支障となる懸念がありました。
そこで、今回の改正では、新たに「個人識別符号」という定義を設け、個人情報に該当する情報を「個人識別符号」として政令で列挙できるようにすることで、個人情報該当性の明確化が図られました。「個人識別符号」は、法律上は以下の2つに該当するものと定義されています(法2条2項)。
① 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの(要するに、DNA、顔及び指掌紋等の身体の特徴をデジタルデータ化したもの等が想定されます)
② 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
なお、「個人識別符号」はそれのみで「個人情報」に該当するため(法2条1項)、「個人識別符号」に該当するものについては、上述の個人情報の定義(※)への該当性を判断する必要はありません。
(3) 「要配慮個人情報」
現行法では、個人情報を取り扱う際、利用目的の通知や公表等を適切に行っていれば、個人情報の取得の際に本人の同意を得ることは不要であるとされています。
しかし、病歴や犯罪歴等、差別や偏見の元となるような個人情報については、本人が取得に際して関与できるようにすべきであり、本人の意図しないところで取得できてしまうことは問題があるといえます。そこで、今回の改正では、慎重な取扱いが必要な情報を「要配慮個人情報」と定義し、本人の同意を得ずに取得することを原則として禁止しています。
改正法では、以下の①又は②に該当する記述等が含まれる個人情報が「要配慮個人情報」とされています(法2条3項)。
① 本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実
② 本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令第2条で定める記述等
「要配慮個人情報」については、その他の個人情報と異なり、以下のような特別な規制が設けられています。
(i) 取得の際に本人の同意を得ること(法17条2項)
個人情報の取得時に本人の同意を得ることは通常必要とされていませんが、「要配慮個人情報」については、取得の際に原則として本人の同意を得ることが必要とされています。
(ii) オプトアウト手続きによる第三者提供の禁止(法23条2項)
個人情報は、いわゆるオプトアウト手続を取ることにより、予め本人の同意を得ることなく第三者に提供することができますが、「要配慮個人情報」については、オプトアウト手続きによる第三者提供が禁止されています。
※今回は改正点についての解説記事であるため、いわゆるオプトアウト手続きについての詳細は割愛します。なお、現行法では、オプトアウト手続について、①本人の求めに応じて第三者への提供を停止することとしている場合であって、②23条2項各号事由を本人が容易に知り得る状態に置くことで足りるとしていましたが、実態として本人が十分に認知し得ないとの指摘がなされていました。そこで今回の改正では、オプトアウトの際の「本人が容易に知り得る状態」の具体的な方法が個人情報委員会規則で規定されるとともに、個人情報保護委員会に対する届出を行うことがオプトアウト手続の要件として新たに加わりました(法23条)。
2 ビッグデータ活用への対応
それでは、今回の改正の3つの目玉のうち、①ビッグデータ活用への対応について解説します。
現行法では、ビッグデータとして活用するためのパーソナルデータの加工方法や、加工後のデータの取扱い等が不明瞭であったため、事業者がパーソナルデータを加工したビッグデータの活用を行うことを躊躇してしまうという状況が発生していました。
そこで、今回の改正では、パーソナルデータを加工したビッグデータの活用を促進するため、「匿名加工情報」という定義を新たに設け、加工方法等を明確化するとともに、一定の条件の下で「匿名加工情報」を自由に利用できるような法整備がなされました。
(1) 「匿名加工情報」 とは
「匿名加工情報」とは、個人情報を個人情報の区分に応じて定められた特定の措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元して特定の個人を再識別することができないようにしたものをいいます(法2条9項)。
目的外利用や第三者提供を行う際に求められる本人の同意が不要となるなど、匿名加工情報にすることによって、個人情報である場合に比べて緩やかな規律の下で取り扱うことができるようになります。
(2) 「匿名加工情報」の作成における義務
(i) 匿名加工情報の適正な加工
匿名加工情報を作成するときは、個人情報保護委員会規則第19条各号に定める基準に従って、当該個人情報を加工しなければならないとされています(法36条1項)。
個人情報保護委員会規則19条各号では、おおよそ下記のような加工基準が定められています。
① 特定の個人を識別することができる記述等の削除
Ex. 氏名、住所、生年月日が含まれる個人情報を加工する場合、1)氏名を削除し、2)住所を削除、又は、〇県△市に置き換え、3)生年月日を削除、又は、日を削除し、生年月に置き換える。
② 個人識別符号の削除
③ 情報を相互に連結する符号の削除
Ex. サービス会員の情報について、氏名等の基本的な情報と購買履歴を分散管理し、それらを管理用IDを付すことにより連結している場合、その管理用IDを削除する。
④ 特異な記述等の削除
Ex. 症例数のきわめて少ない病歴を削除。
⑤ 個人情報データベース等の性質を踏まえたその他の措置
Ex. 小学校の身体検査の情報を含む個人データベース等を加工の対象とする場合において、ある児童の身長が170cmという他の児童と比べて差異が大きい情報があり、特定の個人の識別又は元の個人情報の復元につながるおそれがある場合に、身長が150cm以上の情報について「150cm以上」という情報に置き換える。
(ii) 匿名加工情報等の安全管理措置
匿名加工情報を作成したときは、個人情報保護委員会規則第20条で定める基準に従って、加工方法等の情報の安全管理措置を講じなければならないとされています(法36条2項)。加工によって削除された情報や加工方法が判明すれば、作成の元となった個人情報の復元につながり得ることから、このような義務が定められています。
規則20条各号では、おおよそ下記のような基準が定められています。
① 加工方法等情報を取り扱う者の権限及び責任の明確化
Ex. 加工方法等情報の安全管理措置を講ずるための組織体制の整備。
② 加工方法等情報の取扱いに関する規程類の整備、当該規程類に従った加工方法等情報の適切な取扱い、加工方法等情報の取扱状況の評価及びその結果に基づき改善を図るために必要な措置の実施
Ex. ・加工方法等情報の取扱いに係る規程等の整備とこれに従った運用
Ex. ・従業員の教育
Ex. ・加工方法等情報の取扱い情報を確認する手段の整備
Ex. ・加工方法等情報の取扱い状況の把握、安全管理措置の評価、見直し及び改善
③ 加工方法等情報を取り扱う正当な権限を有しない者による加工方法等情報の取り扱いを防止するために必要かつ適切な措置
Ex. ・加工方法等情報を取り扱う権限を有しない者による閲覧等の防止
Ex. ・機器、電子媒体等の盗難等の防止 など
(iii) 匿名加工情報の作成時の公表
匿名加工情報を作成したときは、匿名加工情報の作成後遅滞なく、インターネット等を利用して、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならないとされています(法36条3項)。匿名加工情報が作成されているかどうかや適切な加工がなされているかどうかを本人が確認できるようにするために、このような義務が定められています。
当該匿名加工情報に含まれる個人に関する情報の項目については、例えば、「氏名・性別・生年月日・購買履歴」から、「性別・生年・購買履歴」に関する匿名加工情報を作成した場合、「性別」「生年」「購買履歴」が公表項目になります。
(3) 「匿名加工情報」の取扱いに当たっての義務
匿名加工情報を作成して自ら取り扱うにあたっては、作成元の個人情報の本人を識別する目的で当該匿名加工情報を他の情報と照合してはならないとされています(法36条5項)。
本人を識別する目的で照合することが禁止されるものであるため、例えば複数の匿名加工情報を組み合わせて統計情報を作成することは、ここで禁止される行為にはあたりません。
(4) 「匿名加工情報」の第三者提供の際の義務
匿名加工情報を第三者提供するときは、提供にあたりあらかじめ、インターネット等を利用し、提供する情報の項目及び提供方法について公表するとともに、提供先に当該情報が匿名加工情報である旨を明示しなければならないとされています(法36条4項)。自己の個人情報を元に作成された匿名加工情報が第三者に提供されることを本人が確認できるようにするために、このような義務が定められています。
「提供する情報の項目」の公表については、例えば「氏名・性別・生年月日・購買履歴」から、「性別・生年・購買履歴」に関する匿名加工情報を作成した場合、「性別」「生年」「購買履歴」が提供する情報の項目にあたります。
また、「提供方法」の公表については、例えば「ハードコピーを郵送」、「第三者が匿名加工情報を利用できるようサーバーにアップロード」などの記載が挙げられます。
さらに、提供先への明示方法としては、例えば電子メールを送信する方法又は書面を交付する方法等の方法が挙げられます。
弁護士 パートナー
今回は個人情報保護法の改正のうち、ビッグデータの活用をメインに解説しましたが、概要は把握できましたでしょうか。次回後編では「トレーサビリティの確保」と「グローバル化への対応」に焦点を当てて解説する予定です。