<ポイント>
◆指紋認識データ、旅券番号などを含む個人情報の定義が明確化された
◆信条、病歴、犯罪歴等「要配慮個人情報」につき特別な取り扱いがされる
◆復元不能な「匿名加工情報」につき加工、取扱いのルールが整備される
個人情報保護法の改正法が昨年の平成27年9月9日公布され、2年以内に施行されることが決まっています。その概要を2回にわたって説明します。
まず現行法では、取り扱う個人情報によって識別される個人の数が5000人を超えなければ「個人情報取扱事業者」にはならず、個人情報保護法による義務付けはありませんでした。
改正法はこの要件を撤廃し、小規模な事業者でも個人情報保護法による義務付けが適用されることになりました。
また改正法では、個人情報の定義を明確化しています。
現行法で個人情報とは「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」とされています。
改正法は「生存する個人に関する情報で、個人識別符号が含まれるもの」という新たな類型を設けました。
「個人識別符号」は新たな概念であり、次の2種類があります。
一つは「特定の個人の身体の一部の特徴を電子計算機のように供するために変換した文字、番号、記号その他の符号」です。指紋認識データや顔認識データがこれに該当するとされています。
もう一つは、サービスの利用者、商品の購入者またはカード等の発行を受ける者ごとに割り当てられるなどして特定の個人を識別できる文字、番号、記号などです。旅券番号、免許証番号がこれに該当するとされています。
詳細は政令で定められることになっています。
そして、いわゆるセンシティブな個人情報を「要配慮個人情報」と定めました。
人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実など、不当な差別、偏見その他の不利益が生じないようにその取扱いについて特に配慮を要する記述等が含まれる個人情報をいいます。
企業などが個人情報を取得するに際しては、法律上は、本人の同意は必要とされていませんが、「要配慮個人情報」については一定の例外のほかは本人の同意なく取得することはできないこととされました。
また、本人の同意がなくとも第三者提供が認められる「オプトアウト」という制度があります。本人からの求めがあれば第三者への提供を停止することを条件に、利用目的等を通知するか容易に知り得る状態にしておけば、本人の同意がなくとも第三者提供してよい、という制度です。
名簿業者などはこの制度を利用すれば適法に個人情報を取得することができます。しかし「要配慮個人情報」については、かかる例外的扱いが認められないものとしました。
そして、パーソナルデータを含むビッグデータの活用など、適正な規制のもと個人情報等の有用性を確保するため、「匿名加工情報」という概念を定めました。
現行法でも「特定の個人を識別することができない統計情報」(経済産業省ガイドライン)などは個人情報には当たらないとされています。
しかし、JR東日本がSuica利用データ(乗降履歴情報)を個人が識別できないようにしてデータ分析事業者に販売したことについて、顧客から反発の声が上がり、その販売が見合わせられることになりました。
そこで、改正法では、個人情報に含まれる情報の一部または全部(前述の個人識別符号の場合)を削除して「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」を「匿名加工情報」と定義づけました。
この加工に関しては、これも改正法で設置された「個人情報保護委員会」の規則で別途定める基準に従わなければならないとしています。
また、個人情報取扱事業者が、匿名加工情報を作成したときは、加工の方法等に関する情報漏えいを防止するために必要なものとして個人情報保護委員会規則で定める基準に従い、安全管理措置を講じなければならないとしています。
また当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければなりません。
匿名加工情報を作成して第三者に提供するときには、そこに含まれる個人に関する情報に関する項目や提供の方法を公表し、その第三者に対しては「匿名加工情報」であることが明示されていなければなりません。自ら加工したのではない匿名加工情報を提供する場合も同様です。
匿名加工情報を作成して自ら当該匿名加工情報を取り扱うにあたっては、その作成に用いられた個人情報の本人を識別するために、他の情報と照合してはなりません。
第三者から提供を受けた匿名加工情報取扱事業者も、その取扱いに際して、個人情報に係る本人を識別するため、加工の方法に関する情報等を取得したり、他の情報と照合したりしてはなりません。
また、匿名加工情報を作成した個人情報取扱事業者、第三者より提供を受けるなどした匿名加工情報取扱事業者は、それぞれ一定の安全管理措置を定め、その内容を公表するよう努めなければなりません。
なお、個人情報保護委員会規則は、ガイドラインと併せ、同委員会で現在検討されています。
次回は、第三者提供(前述の「オプトアウト」の厳格化)やデータベース提供罪の新設等について説明します。