Pマークを持っている企業が知りたい個人情報保護法改正


0I9A853115070150spk_TP_V

はじめまして、こんにちは!

ISO総合研究所の森本と申します。

今回は、「Pマークを持っている企業が知りたい個人情報保護法改正」というテーマについてお話していきたいと思います。

 

まず初めに、個人情報の保護に関する法律(以下個人情報保護法)が改正されたのはご存知でしょうか?

個人情報保護法は、2005年に制定され今年2017年5月30日に法改正されました。

改正された内容の中でも、今回は特にPマークを「取得されている企業の方が知っておきたい内容」について触れていきます。

 

個人情報保護法の改正内容で企業の方が知っておきたい改正内容は4点あります。

 

1点目は、個人情報の適用範囲が変わったこと

2点目は、個人識別符号について

3点目は、要配慮個人情報について

4点目は、匿名加工情報についてです

一つずつ解説していきますのでお付き合いください。

 

最初に、今まで個人情報保護法が適用されていたのは、個人情報を5,000件以上保有している企業のみだったのが、保護法改正により適用範囲が広がりました。

具体的にどうなったかというと、保護法改正により5000件以上の個人情報を保有していなくても個人情報保護法が適用されるようになりました。

ですので、これまで個人情報保護法の適用対象ではなかった小規模事業者も、個人情報保護法の規制を把握し、対応する必要があります。

個人情報を業務で1件でも取り扱っていれば小規模事業の方も改正法を守ってくださいね!ということです。

 

次に個人情報保護法が改正されたことにより覚えておきたいことは、なんといっても個人情報の定義が明確にされたことです。

今までの個人情報と言われるものとは定義が少し変更になり、改正個人情報保護法では、「個人識別符号」という概念が新設されました。

 

個人識別符号とは、指紋・掌紋データや容貌データ等の特定の個人の身体の一部の特徴を変換した符号によって本人認証ができるようにしたものまたは旅券番号や免許証番号、住民票コードなどといった個人に割り当てられる符号のことを言います。

例えば銀行のセキュリティロックで指紋や静脈、虹彩を使用している場合、その指紋や静脈、虹彩の情報が個人識別符号に当たります。

例としては、スマートフォンやPCのロック解除に指紋認証を利用している企業が増えてきていますが、そういった情報も個人識別符号に当たるため、企業で利用目的を明確にして管理していくことが今後Pマークを運用していくに当たって求められていくことになるでしょう。

 

上記の情報は、個人情報保護法が改正される前は単独では個人情報とは扱われず、「特定の個人を識別できる情報」と結びついて初めて個人情報と扱われていました。

 

従来から、個人識別符号に該当する情報と、その他の個人情報を結び付けて取り扱っている場合には、特に新たに対応する必要はありません。

 

一方、個人識別符号に該当する情報と、その他の個人情報を結び付けず、別に管理しているなどの場合には、対応する必要があります。

そのような個人識別符号も個人情報に該当するため、個人識別符号にかかる取扱いの方法を見直すなどの措置をしなければなりません。

 

そして3つ目の要配慮個人情報についてですが、要配慮個人情報という概念が今回の改正で新設されました。

要配慮個人情報とは差別や偏見が生じてしまうような個人情報のことで、例としては、本人の人種(例:肌の色や民族)、信条、社会的身分、病歴(例:特殊な病歴)、犯罪の経歴(例:前科等の情報)、犯罪により害を被った事実、その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報のことです。これらの個人情報は特に気を付けて取り扱わなければいけないので、機微情報と言われることが多いです。

機微情報とは簡単に言うと健康診断の結果や、身体の障害等の差別に繋がったりする可能性のある情報のことです。

ちなみに、要配慮個人情報に該当するが、機微情報に該当しないものとしては、犯罪により害を被った事実等です。機微情報に該当して要配慮個人情報に該当しないものとしては、労働組合への加盟や本籍地の情報などです。

 

個人情報保護法改正の内容で、要配慮個人情報は本人の同意がある場合や、法令に基づく場合などを除いて取得が禁止されているとありますが、プライバシーマークの要求事項でも事業者が機微な個人情報を取り扱う場合については特段の配慮が求められる。

したがってこれらの個人情報の取得、利用及び提供は原則として禁止し、例外的に認めるものとする。とあります。ですので、要配慮個人情報については今まで通りプライバシーマークの要求事項さえ守っていれば何も変更点はないと思っていただいて結構です。

 

要配慮個人情報にあたり、多くの企業が取得している個人情報と言えば健康診断ですが、健康診断は今までと同じように、本人の同意をとって情報取得しているのであれば、特に運用を変える必要はありません。

 

そして最後の4つ目に匿名加工情報のご紹介をいたします。

匿名加工情報とは、個人情報を特定の個人情報を識別できないように加工して得られる個人に関する情報であり、当該個人情報を復元して特定の個人を再識別できないようにした個人情報のことを言います。

例としては、PiTaPaなどのICカードの履歴、ポイントカードの購買履歴などがあります。

匿名加工情報に関しては、個人情報に該当しないので、本人の同意なしで第3者に提供などができます。

例えば、今後、PiTaPaなどのICカードの履歴を提供する場合は、匿名加工情報の加工方法を守ることにより、本人の同意なく個人情報の利用目的として定めた目的以外で利用することや、本人の同意なく第三者に提供することなどが可能になりますので、業務の幅が大きく広がるかも知れません。

 

また、匿名加工情報についてはJIPDECが事例集を公表しておりますので、そちらも是非合わせて読んでみてください!

 

匿名加工情報については提供する際に本人の同意は不要です。

ただし、適正な加工を行わないといけないなどの条件はありますので、気を付けましょう。以下に匿名加工情報について詳しく記載してありますので参考にしてみてください。

http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/tokumeikakou.pdf

 

また、以下に個人情報保護法の改正について詳しく書いてありますので、興味のある方は是非是非ご確認くださいませ!

(https://www.ppc.go.jp/files/pdf/290530_personal_law.pdf)

 

今回の個人情報保護法の改正は2015年以来と久しぶりの改正なので、困惑していらっしゃる方が多いと思われます。

 

しかし、個人情報を適切に取り扱っている企業はそれだけで信用されますので、今回の個人情報保護法改正によって個人情報を取り扱う意識を少しでも上げていただければなと思います。

以上、長々と話しましたが、お付き合いいただきまして、本当にありがとうございました!!!


簡単・即時発行!見積書ダウンロード

メールアドレス