【個人情報保護】法改正にどう対応するか(1)


個人情報保護法の改正について

 個人情報保護法は平成15年5月に成立し,平成17年4月1日に施行されました。そのころ私は京都弁護士会の情報問題対策委員会に所属していて,当会の個人情報保護規則の制定に関与させてもらったことが思い出されます。
 今回,個人情報保護法の初めての改正法が平成27年9月に成立し,平成29年5月30日に施行されました。
 中小事業者にとって重要な改正がされていますので,適切に対応することが必要です。
 何回かに分けて,順次,解説していきたいと思います。

2つの改正ポイント

 個人情報保護法に関して,今回,大きく分けて二つの改正がありました。

 一つは,法律の内容そのものの改正で,もう一つは適用範囲の拡大です。

 従来から適用されていた事業所であれば改正前の法律の内容をご承知であると思いますので,そのことを前提に,今回どのように改正されたのかを説明すれば十分かと思います。

 しかし,改正によって,従来は個人情報保護法が適用されていなかった事業所も適用の対象となりますので,,まずは個人情報保護法の概要について簡単に説明しておきたいと思います。改正前の法律を十分にご承知であれば,この部分は飛ばしていただいた方が時間短縮になります。

個人情報保護法の概要

保護される3種類の情報

 個人情報保護法では,保護すべき情報について,①個人情報,②個人データ,③保有個人データという3つの概念を設けています。

個人情報

 このうち一番広い概念が①の個人情報です。これは,氏名,生年月日その他の記述等により,生存する特定の個人を識別することができる情報のことです(第2条第1項)。

個人データ

 この「個人情報」について,特定の個人の情報を検索できるようにされていれば,②の個人データになります(同条第4項,第6項)。検索できる代表的なものはコンピュータを用いたデータベースですが(同条第4項1号),例えば用紙が50音順に整理して並べてあるだけでも,目次や索引があって特定の個人の情報を容易に検索できるようになっていれば,個人データにあたります(同項2号)。

保有個人データ

 さらに,この「個人データ」のうち,取扱う者に開示,訂正,消去の権限があって6か月を超えて保有する情報が,③の保有個人データになります(同条第7項)。

保護義務の範囲

 このように3種類の情報を定義しているのは,それぞれ取扱いに際しての義務の範囲が異なっているからです。

個人情報の保護

 まず,一番広い個人情報については,①利用目的の特定義務(第15条),②利用目的の範囲内での取扱い義務(第16条),③同意を得た適正な手段での取得義務(第17条),④利用目的の公表・取得に際しての通知義務(第18条),⑤苦情処理に関する努力義務(第35条)が定められています。

 

個人データの保護

 個人データについては,①正確性の確保,不必要な場合の消去義務(第19条),②安全管理のための措置を設ける義務(第20条),③従業者に対する監督義務(第21条),④委託先の監督義務(第22条),⑤第三者に提供する場合に同意を得る義務等(第23条~第26条)が定められています。

保有個人データの保護

 一番狭い保有個人データについては,①データに関する事項の公表・通知義務(第27条),②本人の求めに応じたデータの開示義務(第28条),③事実でないデータの訂正義務(第29条),④利用範囲を超える取扱い,不適正な取得,違法な第三者提供を理由とする利用停止・提供停止義務(30条),⑤本人からのこれらの求めに応じない場合等におけるその理由の説明義務(第31条)が定められています。

 以上が,改正前から共通する個人情報保護法の概要です。改正法の内容に入る前に,少なくとも以上について押さえておかれるとよいと思います。
 また,各分野のガイドラインが発行されていますので,利用目的をどのように特定するかなど,具体的な内容についてはガイドラインを参考にされるとよいでしょう。
ex) 経済産業分野を対象 とするガイドライン

 次回からは,改正内容について説明したいと思います。