Pマーク担当者必見! ここが変わった個人情報保護法改正の3つのポイント!


こんにちは!Pマーク運用支援コンサルタントの村上です。
いつも当社のブログをご覧いただき、ありがとうございます!

個人情報保護法ってご存知ですか?

さて、いきなりですが皆さんは『個人情報保護法』についてどのくらい知っていますでしょうか?

「今年改正されたのは知っている・・・」
「なんとなく耳にしたことがある・・」

など、内容についてはあまり知らない事が多いのではないでしょうか?

そもそも『個人情報保護に関する法律』、通称『個人情報保護法』とは、どんな法律なのかと言いますと、『個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律』とされています。
また、基本理念を定めるほか、民間事業者の個人情報の取扱いについて規定されています。

この法律の目的としては、「個人情報の有効性に配慮しつつ、個人の権利利益を保護すること」とされています。

今までは机の上に個人情報が記載されている履歴書を放置していても何も言われなかったけれど、今ではちゃんとキャビネットの中に保管しているようになったなど、時代とともに変化していった事がありますよね。

このように高度情報通信社会の進展に伴って、個人情報の利用が著しく拡大していることにより、個人情報の適正な取り扱いに関し、基本理念及び政府による基本方針の作成その他個人情報の保護に関する施策の基本となる事項を定め、国及び地方国興団体の責務等を明らかすること、また、個人情報の取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現が求められています。

(参照:個人情報保護法の基本URL:https://cybozulive.com/2_299602/gwCabinet/view?cid=14140117&currentFolderId=1565294)

実は、この『個人情報保護法』がまた更に時代の変化に伴って昨年3月に改正され、2017年5月30日に施行されました。

そこで!本日は「ここが変わった個人情報保護法改正の3つのポイント!」という事で、『個人情報保護法』が大まかに「どこが変わったのか?」という事を

①「個人情報保護委員会の新設」について
②「個人情報の定義の明確化」について
③「その他の変更箇所」について

の3つのポイントに絞って説明していきます!

①「個人情報保護委員会の新設」について

まず1つ目のポイントは「個人情報保護委員会の新設」です。

個人情報保護委員会とは、昨年発足した「特定個人情報保護委員会」を改組したものです。
マイナンバーの適正な取扱いの確保を図るための業務を引き継ぐとともに、新たに個人情報保護法を所管し、個人情報の有用性に配慮しつつ、その適正な取扱いの確保に関する業務を行います。

民間事業者の監督について、改正前は各分野の主務大臣が個人情報取扱事業者に対し監督権限を持っていたのですが、今回の改正でこの監督権限が個人情報保護委員会に一元化されました。
これは、各分野の主務大臣が権限を持っていると、重要な監督や所管省庁が不明確であるという課題があったためです。

一元化されたことにより、個人情報の事故があった際に報告する場所が一か所になり、分かりやすくなりました。

「個人情報保護委員会」が新設されたことでPマーク担当者の方がしなければならないことが1つ増えていて、Pマークで作成する緊急事態への準備の手順に、この「個人情報保護委員会」を追記する必要があります。

②「個人情報の定義の明確化」について

2つ目のポイントは「個人情報の定義の明確化」です。

今回の改正で、今まで個人情報かどうかグレーゾーンにあった、指紋データや顔認証データなどの身体的特徴等が新たに個人情報の定義に明記されました。

これらは「個人識別符号」といい、特定の個人の身体の一部の特徴を、電子計算機のために変換したものや、旅券番号や運転免許証番号のように個人に割り当てられた文字、番号、記号などの符号がこれに該当します。

また、もう一点明確化されていて、本人の人種、信条、病歴などの本人に対する不当な差別や偏見が生じる可能性のある個人情報を「要配慮個人情報」と呼び、「要配慮個人情報」を取得する際には本人の同意を得ることが義務化されました。
Pマーク制度の言葉で言うと、「特定の機微な個人情報」と同義語になります。

以上の「個人識別符号」と「要配慮個人情報」が今回の改正で明確化されたものになります。

③「その他の変更箇所」について

最後に3つ目のポイントが「その他の変更箇所」です!
ここでは変更箇所として押さえておきたいことが3点あります。

それが、

①個人情報を取扱う事業者の制限の廃止
②オプトアウト規定の利用
③個人情報データベース提供罪

です。

①個人情報を取扱う事業者の制限の廃止

まず、①個人情報を取扱う事業者の制限の廃止についてですが、以前は取り扱う個人情報の数が5,000以下である事業者は規制の対象外とされていました。
しかし、今回の改正でこの制限は廃止され、取り扱う個人情報の数が5,000以下でも、「個人情報を取扱う事業」として明記されることとなりました。

②オプトアウト規定の利用

次に②のオプトアウト規定の利用についてです。

オプトアウト規定とは、あらかじめ本人に対して個人データを第三者提供することについて通知または認識し得る状態にしておき、本人がこれに反対をしない限り、同意したものとみなし、第三者提供をすることを認めることを言います。

今回の改正で、このオプトアウトを利用する場合、個人情報取扱事業者は所要事項を個人情報保護委員会に届け出る事を義務化し、委員会はその内容を公表する必要が生じました。

ちなみに、「要配慮個人情報」についてはオプトアウトによる第三者提供は認められておりません。

③個人情報データベース提供罪

最後に③個人情報データベース提供罪についてです。

個人情報データベース等を、不正な利益を図る目的で第三者提供したり、盗用する行為を、「個人情報データベース提供罪」という法律で処罰されるようになりました。
これは、いわゆる名簿屋対策として制定されました。

不正に取得されていると知っていて、その個人情報データベース等を取得することは犯罪になりますので注意しましょう!

最後に

以上、長々とお話してきましたが、Pマーク制度にてPマークを取得されている皆さんは、実はすでに個人情報保護法の内容について運用されています!

というのも、Pマーク制度は個人情報保護法よりも厳しい観点で審査されているからです。

しかし、今回3つのポイントに絞ってお話しましたが、私自身も個人情報保護法についてはまだまだ勉強中になります!
さらに、近いうちにこの改正によりPマークのガイドラインも変更されると言われています。

まずは落ち着いてもう一度社内のルールについて見直してみるといいかもしれません。


メールアドレス