【個人情報保護】法改正にどう対応するか（１）

個人情報保護法の改正について

　個人情報保護法は平成１５年５月に成立し，平成１７年４月１日に施行されました。そのころ私は京都弁護士会の情報問題対策委員会に所属していて，当会の個人情報保護規則の制定に関与させてもらったことが思い出されます。
　今回，個人情報保護法の初めての改正法が平成２７年９月に成立し，平成２９年５月３０日に施行されました。
　中小事業者にとって重要な改正がされていますので，適切に対応することが必要です。
　何回かに分けて，順次，解説していきたいと思います。

２つの改正ポイント

　個人情報保護法に関して，今回，大きく分けて二つの改正がありました。

　一つは，法律の内容そのものの改正で，もう一つは適用範囲の拡大です。

　従来から適用されていた事業所であれば改正前の法律の内容をご承知であると思いますので，そのことを前提に，今回どのように改正されたのかを説明すれば十分かと思います。

　しかし，改正によって，従来は個人情報保護法が適用されていなかった事業所も適用の対象となりますので，，まずは個人情報保護法の概要について簡単に説明しておきたいと思います。改正前の法律を十分にご承知であれば，この部分は飛ばしていただいた方が時間短縮になります。

個人情報保護法の概要

保護される３種類の情報

　個人情報保護法では，保護すべき情報について，①個人情報，②個人データ，③保有個人データという３つの概念を設けています。

個人情報

　このうち一番広い概念が①の個人情報です。これは，氏名，生年月日その他の記述等により，生存する特定の個人を識別することができる情報のことです（第２条第１項）。

個人データ

　この「個人情報」について，特定の個人の情報を検索できるようにされていれば，②の個人データになります（同条第４項，第６項）。検索できる代表的なものはコンピュータを用いたデータベースですが（同条第４項１号），例えば用紙が５０音順に整理して並べてあるだけでも，目次や索引があって特定の個人の情報を容易に検索できるようになっていれば，個人データにあたります（同項２号）。

保有個人データ

　さらに，この「個人データ」のうち，取扱う者に開示，訂正，消去の権限があって６か月を超えて保有する情報が，③の保有個人データになります（同条第７項）。

保護義務の範囲

　このように３種類の情報を定義しているのは，それぞれ取扱いに際しての義務の範囲が異なっているからです。

個人情報の保護

　まず，一番広い個人情報については，①利用目的の特定義務（第１５条），②利用目的の範囲内での取扱い義務（第１６条），③同意を得た適正な手段での取得義務（第１７条），④利用目的の公表・取得に際しての通知義務（第１８条），⑤苦情処理に関する努力義務（第３５条）が定められています。

個人データの保護

　個人データについては，①正確性の確保，不必要な場合の消去義務（第１９条），②安全管理のための措置を設ける義務（第２０条），③従業者に対する監督義務（第２１条），④委託先の監督義務（第２２条），⑤第三者に提供する場合に同意を得る義務等（第２３条～第２６条）が定められています。

保有個人データの保護

　一番狭い保有個人データについては，①データに関する事項の公表・通知義務（第２７条），②本人の求めに応じたデータの開示義務（第２８条），③事実でないデータの訂正義務（第２９条），④利用範囲を超える取扱い，不適正な取得，違法な第三者提供を理由とする利用停止・提供停止義務（３０条），⑤本人からのこれらの求めに応じない場合等におけるその理由の説明義務（第３１条）が定められています。

　以上が，改正前から共通する個人情報保護法の概要です。改正法の内容に入る前に，少なくとも以上について押さえておかれるとよいと思います。
　また，各分野のガイドラインが発行されていますので，利用目的をどのように特定するかなど，具体的な内容についてはガイドラインを参考にされるとよいでしょう。
ex) 経済産業分野を対象 とするガイドライン

　次回からは，改正内容について説明したいと思います。