「平成27年個人情報保護法改正」について〜結局、何が変わったの ?

平成27年3月10日、政府は、「個人情報保護法の改正案」を閣議決定し、その後、平成27年1月26日から招集されていた、第189回国会に議案を提出しました。

その後、この議案(閣法34)に関しては、平成27年5月20日に衆議院で審査/可決、翌21日に審議/可決したので参議院に回されたのですが、参議院では、平成27年8月27日に審査/修正、翌28日に審議/修正となり、回付案が衆議院に提出される事となってしまいました。

しかし、結局の所、平成27年8月28日、衆議院において回付案が受理され、9月3日には賛成多数で修正案が可決されてしまい、最終的には、平成27年9月9日公布となってしまいました。

後は、2年以内の施行待ちと言うのが、現在の状況です。

「個人情報保護法の改正案」、正確な議案件名は「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案」となっており、大きくは、次の2点の改正を目指しています。

しかし、どうして、公官庁が使う名称は、こうも面倒なのでしょうか ? 正式名称は、長すぎて書く気もしません。

【目的】

個人情報の保護を図りつつ、パーソナルデータの利活用を促進することによる、新産業・新サービスの創出と国民の安全・安心の向上の実現及びマイナンバーの利用事務拡充のために所要の改正を行うもの

【内容】

1.個人情報保護法改正
個人情報の保護と有用性の確保に関する制度改正
→ 個人情報の取扱いの監視監督権限を有する第三者機関（個人情報保護委員会）を特定個人情報保護委員会に改組して設置
(1)個人情報の定義の明確化
(2)適切な規律の下で個人情報等の有用性を確保
(3)個人情報の保護の強化
(4)個人情報保護委員会の新設及びその権限
(5)個人情報の取扱いのグローバル化
(6)その他改正事項

2.番号利用法改正
特定個人情報(マイナンバー)の利用の推進に係る制度改正
→ 金融分野、医療等分野等における利用範囲の拡充(預貯金口座への付番、特定健診・保健指導に関する事務における利用、予防接種に関する事務における接種履歴の連携等)

う〜ん・・・案の定、これでは、さっぱり解りません。そこで、今回のブログでは、「個人情報保護法改正」に関して、詳しく説明します。

「番号利用法改正」は、通称「マイナンバー制度」の事ですので、下記の過去ブログをご覧下さい。

★過去ブログ：マイナンバー〜結局、何をすれば良いの ?(http://msystm.co.jp/blog/20150606.html)

本ブログでは、下記6個の内容について説明するとともに、今後、注意すべき点について紹介します。

(1)個人情報の定義の明確化
(2)適切な規律の下で個人情報等の有用性を確保
(3)個人情報の保護の強化
(4)個人情報保護委員会の新設及びその権限
(5)個人情報の取扱いのグローバル化
(6)その他改正事項
(7)法案の骨子
(8)最後に

それでは今回も宜しくお願い申し上げます。

- - - - -

■個人情報の定義の明確化

●個人情報の定義の明確化(身体的特徴等が該当) - 第2条第1項、第2項

『特定の個人の身体的特徴を変換したもの(例：顔認識データ)等は特定の個人を識別する情報であるため、これを個人情報として明確化する。』

●要配慮個人情報(いわゆる機微情報)に関する規定の整備 - 第2条第3項

『本人に対する不当な差別又は偏見が生じないように人種、信条、病歴等が含まれる個人情報については、本人同意を得て取得することを原則義務化し、本人同意を得ない第三者提供の特例(オプトアウト)を禁止。』

「個人情報の定義の明確化」と言う点に関して、現行法では、「個人情報」を次のように定義していました。

【現行法】

『「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。』

しかし、グレーゾーンの内容や個人の権利利益の侵害の可能性や度合は、情報通信技術の進展や個人の主観等複数の要素により、時代とともに変わりますし、また、どの個人情報も一律で良いのか、と言う問題も発生してきたそうです。

そこで、下記のように、特定の個人の身体的特徴を変換したもの等は特定の個人を識別する情報であるため、これを個人情報として明確化したようです。

・指紋認識データや顔認識データ等、身体的特性に関する情報
・旅券番号や端末ID等の個人又は個人の使用する機器等に関する情報
・人種、信条、社会的身分、病歴等の機微(要配慮)情報

また、事業者は、今後、本人の同意を得ない個人情報の取得は原則禁止になりますし、本人の同意のない場合、第三者からの個人情報提供も禁止されます。(オプトアウト除外)

但し、現在保持している「第三者提供の個人情報」を引き続き利用する場合、改正法案2条関係の施行日前に、あらためて本人の同意を取り付けるか、あるいは個人情報保護委員会に届け出を出せば、利用可能となっているようです。

※「オプトアウト」とは、本人の求めに応じて個人データの第三者提供を停止することとしている場合であって、かつ、一定の事項をあらかじめ本人に通知等している場合は、本人の同意を得ずに個人データを第三者に提供することが可能となる仕組み(法第23条第2項）。

- - - - -

■適切な規律の下で個人情報等の有用性を確保

●匿名加工情報に関する加工方法や取扱い等の規定の整備 - 第2条第9項、第10項、第36〜第39条

『特定の個人を識別することができないように個人情報を加工したものを匿名加工情報と定義し、その加工方法を定めるとともに、事業者による公表などその取扱いについての規律を設ける。』

●個人情報保護指針の作成や届出、公表等の規定の整備 - 第53条

『個人情報保護指針を作成する際には、消費者の意見等を聴くとともに個人情報保護委員会に届出。個人情報保護委員会は、その内容を公表』

本条項は、2013年に、JR東日本が、Suica乗降履歴データの販売を発表した際に発生した問題に端を発しています。(正確には日立製作所が発表/その後JR東日本も発売を認めた形になった)

当時、JR東日本は、Suica乗降履歴データを、個人情報保護法に抵触しない形に加工して日立製作所に販売しようとしたのですが、Suica利用者から不安が噴出し、最終的に、発売中止に追い込まれました。(最終的に5万件以上のオプトアウト要請があった)

実際には、トヨタやNTT、ソニー等は、個人情報を加工して販売していたのですが、JR東日本に限っては、下記の瑕疵があり、そのために販売停止になってしまったと考えられています。

・利用者への事前説明を怠っていた
・オプトアウト手続きの周知不足
・データ販売先での情報保護方法が不明確
・データ加工方法が甘く可逆化出来る状態だった(匿名化されていなかった)
・販売データの公共性に問題があった、等

そこで、今回の法改正では、上記の問題点を解決するために、特定の個人を識別する事、およびその作成に用いる個人情報を復元する事ができないように、個人情報を加工したものを匿名加工情報と定義し、その加工方法を定めると共に、その取扱いについての規律を設ける様にしました。

さらに、匿名加工情報を作成する場合は、個人情報保護委員会に届け出を提出しなければならない運用も取り入れ、かつ匿名加工情報の利用目的を変更する場合も、届け出が必要となるようにしました。

一方、規制対象を縮小する条項も組込み、情報の利用方法からみて個人の権利利益を害する恐れが少ないもの(市販の電話帳等)は、個人情報データベース等の規制対象から除外する事としました。

- - - - -

■個人情報の保護の強化

●トレーサビリティの確保(第三者提供に係る確認及び記録の作成義務) - 第25条、第26条

『受領者は提供者の氏名やデータ取得経緯等を確認し、一定期間その内容を保存。また、提供者も、受領者の氏名等を一定期間保存。』

●不正な利益を図る目的による個人情報データベース等提供罪の新設 - 第83条

『個人情報データベース等を取り扱う事務に従事する者又は従事していた者が、不正な利益を図る目的で提供し、又は盗用する行為を処罰。』

この条項は、平成26年7月に発生した、ベネッセホールディングスにおける個人情報データの流出問題に端を発しています。

この条項は、ベネッセホールディングスの子会社社員が、データベースに保存されていた大量の顧客情報を盗み出し、名簿屋に持ち込んで販売してことから、「名簿屋対策条項」とも呼ばれています。

この条項では、個人データを取り扱う事業者は、個人データを販売する場合、および購入する場合も、次の情報を一定期間保存して置かなければならなくなしました。
・販売/購入日時
・販売/購入者
・その他、個人情報保護委員会が定める情報

加えて、個人の機微情報(人種、信条、社会的身分、病歴、犯罪被害を受けた事実及び前科・前歴）が含まれる個人情報については、本人同意を得ない取得を原則として禁止するとともに、利用目的の制限の緩和、および本人同意を得ない第三者提供の特例対象からも除外されることになりました。

そして、個人情報データベース等を取り扱う事務に従事する者、または従事していた者が、不正な利益を図る目的で提供し、又は盗用する行為を処罰する「データベース提供罪」を新設し、これに違反した者は、「一年以下の懲役又は五十万円以下の罰金に処す」事となりました。

- - - - -

■個人情報保護委員会の新設及びその権限

●個人情報保護委員会を新設し、現行の主務大臣の権限を一元化 – (H28.1.1施行時点 )第50〜第65条 (全面施行時点）、第40〜第44条、第59〜第74条

『内閣府の外局として個人情報保護委員会を新設(番号法の特定個人情報保護委員会を改組)し、現行の主務大臣の有する権限を集約するとともに、立入検査の権限等を追加。(なお、報告徴収及び立入検査の権限は事業所管大臣等に委任可。) 』

この条項では、マイナンバー制度に関わった「特定個人情報保護委員会」を改組して「個人情報保護委員会」を新設し、主務大臣に報告徴収や立ち入り検査の権限を委任する事としました。

要は、欧米の真似をして、これまでバラバラだった管理/監督権限を一元化するため、内閣総理大臣の所轄に、委員長1名、委員8名による委員会を新設するようです。

また、必要に応じて、委員長や委員とは別に、専門委員の設置も認めるようです。

これらの関係者が、個人情報取り扱い業者に対して、各種調査、助言、勧告、および命令が出来るとされています。

- - - - -

■個人情報の取扱いのグローバル化

●国境を越えた適用と外国執行当局への情報提供に関する規定の整備 - 第75条、第78条

『日本国内の個人情報を取得した外国の個人情報取扱事業者についても個人情報保護法を原則適用。また、執行に際して外国執行当局への情報提供を可能とする。』

●外国にある第三者への個人データの提供に関する規定の整備 - 第24条

『個人情報保護委員会の規則に則った方法、または個人情報保護委員会が認めた国、または本人同意により外国への第三者提供が可能。』

この条項は、情報通信技術(IT)の進展により、個人情報は、国境を越えてグローバルに流通する時代になっているもの関わらず、情報のグローバル化に対応した制度が整備されていない点に対応したものです。

情報のグローバル化に関しては、具体的に、次のような問題があったようです。
・海外事業者に対して、日本の国内法の適用の可否が不明確になっている
・二国間協力等の実効的な執行協力ができていない。
・保護水準が十分でない国に対してデータ移転を制限できない
・(誠に情けない事に)日本はEUから十分な個人情報保護レベルを満たしていると認定されていない

そこで、大きく、次の点を改正するようです。

●日本国内の個人情報を取得した外国の個人情報取扱事業者についても個人情報保護法を原則適用する
●個人情報保護委員会の規則に則った方法、または個人情報保護委員会が認めた国、または本人同意により外国への第三者提供を可能とする
●委員会は、この法律に相当する外国の法令を執行する外国の当局に対し、その職務の遂行に資すると認める情報の提供を行うことができる

- - - - -

■その他改正事項

●本人同意を得ない第三者提供(オプトアウト規定)の届出、公表等厳格化 - 第23条第2項〜第4項

『オプトアウト規定による第三者提供をしようとする場合、データの項目等を個人情報保護委員会へ届出。個人情報保護委員会は、その内容を公表。』

この条項は、現在、第三者提供のオプトアウト規定が十分に機能していない、と言う問題を受け、オプトアウト規定を用いている事業者を可視化することを目的にしています。

このため、オプトアウト規定による第三者提供をしようとする場合、個人情報取扱事業者は、データの項目等を、個人情報保護委員会に届け出を提出する必要があります。

また、個人情報保護委員会は、その内容を公表しますので、各個人は、自分の個人情報が売買されていることが解りやすくなります。

万が一、自分の個人情報が売買されていることが解り、売買を停止したい場合には、オプトアウトを行うことで、個人情報の売買を停止させることが出来る様になります。

- - - - -

●利用目的の変更を可能とする規定の整備 - 第15条第2項

『個人情報を取得した時の利用目的から新たな利用目的へ変更することを制限する規定の緩和。』

この条項は、経団連等、各種経済団体からの申し出により付加された条項です。

その理由としては、IT技術の進展により、多種多様なデータの蓄積、分析が可能になったので、取得時の利用目的と関連性を有する一定の範囲の目的変更を認めることで、新たな価値創造を可能にしたいと言うことらしいです。

この運用は、正直、現行法でも変更は可能らしいのですが、各省のガイドランで厳格に運用が決めらており、この運用範囲を超える場合は、個別に本人同意を得ることが必要になってしまうので、利用目的変更の制限を緩和しよう、と言うことです。

具体的には、現行法の条文にある「相当の」と言う文言を削除することで、関連性の範囲を勝手に広げようとする、姑息な手段を取るようです。

- - - - -

●取り扱う個人情報が5,000人以下の小規模取扱事業者への対応 - 第2条第5項

『取り扱う個人情報が5,000人以下であっても個人の権利利益の侵害はありえるため、5,000人以下の取扱事業者へも本法を適用。』

本条項は、取り扱う個人情報が少ない小規模取扱事業者でも、個人の権利利益侵害はありえるとして、小規模取扱事業者も、個人情報保護委員会に届け出が必要になる、と言う事です。

まあ、当たり前と言えば「当たり前」ですが・・・

弊社の様な零細企業でも、メルマガを発行するために、新たに定義された個人情報で、メール・アドレスにインデックスを付けて管理しているファイルも個人情報に含まれると定義されましたので、個人情報保護委員会に届け出を提出する必要があると思います。

- - - - -

■法案の骨子

今回提出された議案は、正式には、次のような呼び方をされます。

●提出回次：第189回
●議案種類：閣法34号
●議案名：個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案

この議案による法改正案は、本則7条、附則37条から構成されており、個人情報保護法の改正が定められているのは第1条から第3条までだそうです。

しかし、改正法案3条は技術的な改正であり、事業者においては気にする必要はなく、具体的に業務に関連してくるのは改正法案1条、および2条になるそうです。

●第1条法案
・「マイナンバー法」における個人番号、および特定個人情報の監督機関である「特定個人情報保護委員会」の名称を「個人情報保護委員会」とする
・「マイナンバー法」に関する定めを「マイナンバー法」から「個人情報保護法」に移行させる
・具体的には、現在、消費者庁(消費者制度課個人情報保護推進室)が行っている、基本方針の策定や推進、および個人情報に関する広報啓発業務が移管される
・監督権限は、改正法案2条によって移管される

●第2条法案
・平成27年個人情報保護法改正の中核部分
・これまで説明してきた下記6点が含まれる
(1)個人情報の定義の明確化
(2)適切な規律の下で個人情報等の有用性を確保
(3)個人情報の保護の強化
(4)個人情報保護委員会の新設及びその権限
(5)個人情報の取扱いのグローバル化
(6)その他改正事項
・改正法案2条の施行により、個人情報取扱事業者に新たな義務が課され、個人情報保護委員会に具体的な監督権限が付与される

- - - - -

■最後に

最後に、注意点や今後の対応について説明したいと思います。

個人情報を取り扱う事業者にとって問題となるのは、「オプトアウト規定の除外」だと思います。

加えて、現行法では、取り扱う個人情報の数が5,000件以下の小規模事業者の場合、管理対象から除外されていましたが、今回の改正により、取扱い個数が5,000件以下の事業者も、個人情報保護委員会の監督対象になります。

つまり、個人情報を保有している事業主は、一部除外事業者もありますが、弊社の様な零細企業も含めて、ほぼ全ての事業者が、個人情報保護委員会の監督対象になります。

ちなみに、個人情報取扱い事業者の定義ですが、経済産業省の資料【「個人情報の保護に関する法律について」の経済産業分野を対象とするガイドライン】によると、「個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者(第2条3項)」とされています。

そして、ここで注意して欲しいのは、

◯第1点：データベースは、市販のデータベースに限らず、下記電子媒体となっている点
・メール・ソフトウェアのアドレス帳
・五十音別にリスト化されているファイル
・携帯電話の電話帳

◯第2点：事業に供していると言う事で、法人に限定している訳ではない点と、営利/非営利も問われない点
当然、下記も含まれます。
・個人事業主
・NPO法人

また、下記の事業者は、相変わらず適用除外となっています。

・報道機関が報道活動の用に供する目的
・著述を業として行う者が著述の用に供する目的
・学術研究機関等が学術研究の用に供する目的
・宗教団体が宗教活動の用に供する目的
・政治団体が政治活動の用に供する目的

このため、上記事業者以外で個人情報を保有している事業者は、個人の同意が無い個人情報を保有している場合、次の対応が必要になります。

●あらためて個人から同意を得る
●個人情報保護委員会に届出を提出する

あらためて個人から同意を得るのは、ほぼ不可能だと思いますので、恐らくは、法が施行される平成28年1月1日より以前に、個人情報保護委員会に届出を提出する事になると思いますが・・・

平成28年1月1日時点では、個人情報保護委員会は、監督権限を持っていないので、事前相談も出来ないと思いますし、そもそも、個人情報保護委員会の設置は、平成28年1月1日以降ですから、事前提出も出来ません。

一体、何のための法改正なのか、サッパリ解りません。

さらに、今回の法改正のスケジュールは、附則1条で定められており、改正法案1条は、平成28年1月1日（附則1条2号）となり、改正法案2条の施行日は「公布の日から起算して2年を超えない範囲内において政令で定める日」となっています。(附則1条柱書)

つまり、具体的な法案に関しては、法の施行日が決定しなければ、平成29年6月頃までは、次の通り、何も行う必要が無いと言う事を意味しています。

・改正法による義務も発生しない
・個人情報保護委員会の監督開始時期も未定
・政令によって法の具体的な中身が定義されるまでは何も具体性が無い

全く・・・国会や経済界が大騒ぎをした割には、全然具体性が伴わない法改正と言う訳です。

今後は、個人情報保護委員会の動きを注視し、何か動きがあれな、それに合わせて対応を取るしかないと言うのが実情だと思います。

取り敢えずは、個人情報保護委員会に提出する届け出の内容やフォーマット、および時期等に関する情報収集を行っておけば大丈夫だと思います。

それでは、次回も宜しくお願い申し上げます。

以上

【画像・情報提供先】
・首相官邸ホームページ(http://www.kantei.go.jp/)
・内閣官房ホームページ(http://www.cas.go.jp/jp/houan/189.html)
・内閣官房作成法律案骨子案資料(http://www.sascom.jp/campaign/pdf/sfj2015/sfj2015_a03.pdf)

【株式会社 エム・システム】
本      社　 ：〒124-0023 東京都葛飾区東新小岩8-5-5 5F
 　 　 　 　 　 TEL : 03-5671-2360 / FAX : 03-5671-2361
盛岡事業所　 ：〒020-0022 岩手県盛岡市大通3-2-8 3F
 　 　 　 　 　 TEL : 019-656-1530 / FAX : 019-656-1531
E-mail　 　　： info@msystm.co.jp 
URL　　　　　： http://msystm.co.jp/
   　　　　　： http://msystm.co.jp/excel_top.html
ブログ       ： http://d.hatena.ne.jp/msystem/ 
Facebook　 　： http://www.facebook.com/msysteminc