関連するソリューション
サイバーセキュリティ
ID-Ashura/セキュリティサービス
株式会社IDデータセンターマネジメント
上坂 明
こんにちは。IDデータセンターマネジメントの上坂です。
本日扱わせて頂くテーマは、今年4月より施行となりました個人情報保護法について取り上げさせて頂きたいと思います。
施行から2カ月が経過しましたが、あまりご存じでない方もいらっしゃるかと思います。今回はどのような変更があったのかを纏めてみました。
個人情報保護法とは
個人情報保護法(個人情報の保護に関する法律)とは、デジタル社会の進展により、個人情報の利用が拡大していることを鑑み、個人情報の適正な取扱いに関する基本方針を定めた法律となります。対象は個人情報を取り扱う事業者であり、対象事業者は定め個人情報取り扱いに関する義務が課されることとなります。違反した場合は刑事罰が科される場合もあります。
個人情報保護法が対象事業者に課す義務は大まかに以下があります。
- 利用目的の限定義務
個人情報を取り扱うに当たっては利用目的をできる限り特定し、原則として利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
- 利用の通知義務
個人情報を取得する場合には、利用目的を通知・公表しなければならない。
本人から直接書面で個人情報を取得する場合には、あらかじめ本人に利用目的を明示しなければならない。 - 個人情報の適切な管理義務
個人データを安全に管理し、従業員や委託先も監督しなければならない。
- 第三者提供制限の義務
あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない。
- 開示・訂正義務
事業者の保有する個人データに関し、本人からの求めがあった場合には、その開示を 行わなければならない。また、事業者が保有する個人データの内容が事実でないという 理由で本人から個人データの訂正や削除を求められた場合、訂正や削除に応じなければならない。個人情報の取扱いに関する苦情を、適切かつ迅速に処理しなければならない。
改正個人情報保護法
2005年より施行された当法律は2015年に改正(2017年施行)されました。見直し背景については、「急速なデジタル化に伴う適切な個人情報利用指針の整備」、「電磁記的記録や、音声・動画の対象化」があげられ、併せて3年毎の見直し規定が設けられました。今回の改正は、見直し規定に基づくもとなります。定められた背景には以下のものがあります。- 個人情報保護とデータ利活用のバランスをとるため、技術革新に応じた制度改正が必要であった
- 個人情報を利用する様々なサービスやビジネスが、グローバル展開されており、国際的な制度見直しや情勢に配慮する必要がある
- AI・ビッグデータ時代を迎え、個人情報の利用が網羅的に把握しにくい状況にあるなか、適正な利用が図られるよう、環境の整備が必要であった
- 情報通信技術の進展が著しく、柔軟に対応可能とする枠組みが必要であった
そして、今回の改正ですが大枠として纏めると、以下の2点となります。
- 個人情報保護法・行政機関個人情報保護法・独立行政法人等個人情報保護法の一本
- 個人情報の不適切な利用の禁止・罰則の強化。仮名加工情報の創設
1については、「民間事業者・行政機関・行政法人(市役所・公立学校等)」それぞれで適用される法律が異なり、かつ個人情報の定義・監督者も異なるため、管理しづらい状況が問題となっていました。
今後、国や地方等の枠組みを超えたデータ利活用が想定されるなか、現行の法律のままでは個人情報利活用の妨げとなる懸念がありました。
これらを踏まえ、個人情報保護に関する規定・定義を統一し、個人情報保護委員会が一元管理・監督する体制への変更が図られました。
参考:個人情報保護制度見直しの全体像
(1)個人情報保護・取扱いの厳格化
- 6カ月以内に消去される短期データが個人保有データとして定義
- 個人情報の開示請求が書面交付以外(電磁記録提供 等)を指定可能となった
- 情報提供禁止請求権の要件緩和(データ漏洩発生時や不適切なデータの取扱いによる利益損害の恐れがある場合も請求可能)
- 第三者提供記録の開示請求が可能となった(情報流通の記録請求)
(2)事業者の責務
- 個人情報保護委員会への情報漏洩等の報告義務が追加(現行は努力義務)
- 違法・不当な行為につながる個人情報の利用禁止が明文化
(3)認定団体制度の新設
- 事業単位での個人情報保護団体認定が可能に。
(4)データ活用の促進、個人関連情報の取扱い
- 仮名加工情報についての義務緩和(仮名加工情報は一定のルール適用が免除される)
- 個人関連情報のうち、提供先で個人データとなることが想定される場合に、本人確認の義務が追加
(5)法令違反時の罰則強化
- 罰金刑の重罰化
(6)外国の事業者に対する強制力強化
- 日本国内の外国の事業者に対する、立ち入り検査・報告の対象化
上記(4)データ活用の促進について少し補足します。
仮名加工情報とは「個人情報や個人識別符号の一部を削除、または復元が出来ないように置換することで、特定の個人を識別が出来ないように加工した」情報です。例として氏名削除された名簿等が対象となります。
また、仮名加工情報とは別に匿名加工情報があります。両者の違いは以下の通りです。
- 仮名加工情報:他の情報と照合しない限り、個人識別が出来ない情報
- 匿名加工情報:他の情報と照合しても個人識別が出来ない情報
仮名加工情報はその気になれば個人が特定出来てしまう情報と認識下さい。そのため、利用は
社内内部資料などの外部提供しない用途に限られており、本人の同意を得ても第三者への提供が禁止されています。尚、匿名加工情報は第三者への提供・利用に本人同意は不要です。
また、個人関連情報とは「生存する個人に関する情報のうち、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しない情報」を指します。個人関連情報を第三者へ提供する場合、本人の同意が必要となります。これに該当する最たる例としてWebサーバアクセス時に利用されるCookieが挙げられます。
Cookieは単体では特定個人を識別する情報とはなりえませんが、Cookie識別子に紐づけられた閲覧履歴や購入履歴等の顧客マスターデータベースを活用する企業に提供した場合、識別子が紐づけられ、容易に個人識別が可能となる場合があり、個人関連情報として分類されています。
尚、欧州で制定されているGDPR(EU一般データ保護規制)では、Cookieは個人情報として定義されており、Cookieを取得する際に本人同意が必要となります。
最近見慣れたかと思いますが、Webサイトアクセス時、Cookie利用の同意を求めるCookieポップアップは上記規制を受けて広まったものとなります。
参考:個人情報保護法対応チェックポイント
出典(※外部サイト):個人情報保護委員会「改正個人情報保護法対応チェックポイント」
最後に
今回の改正は「個人権利の拡大・保護」、「個人データ利活用推進」を主となります。個人の権利拡大により、企業側はデータの開示請求の対応、個人情報提供が難しくなることによるデータ取扱いの社内ルール整備等の負担が増加していると感じます。
企業によっては保有個人データの破棄を検討する企業も増えるかと思いますが、世界的な個人情報保護の法整備が進むなか、個人情報保護対策は避けられないものではないかと思います。
また、今回の法改正は個人データ利活用の推進を図る一面もあります。個人データ利用ビジネスが世界的に広がるなか、日本でもデータ活用の基盤が整備され、チャンスであるという見方も出来ます。前向きな検討が進むことを願っております。
最後までお付き合い頂き、ありがとうございました。
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。