ようやく、みなさんお待ちかねだった個人情報保護法の改正案が、具体的な条文案のかたちになりました。下記リンク先の新旧対照表P11以降をご覧になると、見やすいと思います。

個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案 新旧対照表

s-PDtaisyouhyou



企業法務に関わる改正ポイントの主だったところを3つだけ、ピックアップしてみます。


1 個人情報の定義の変更

定義規定が変更され、「個人識別符合がふくまれるもの」が個人情報の定義に加わりました(2条1項2号)。では「個人識別符号」とは何か、というと

2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。

一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

という定義(2条2項)。

以前当ブログでも言及したとおり、「個人情報の定義は広がらない」としていた事前報道とは異なり、携帯電話番号のようなかなり身近に取り扱われている番号・記号・符合も、政令で指定しさえすれば個人情報となります。

2 匿名加工情報の新設

そして、政府的にはパーソナルデータの利活用を目指すための目玉としている「匿名加工情報」が、以下の定義で新設されました(2条2項)。

この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

ただし、匿名加工情報であれば自由に取り扱ってよいというものではなく、
・匿名加工情報を作成したとき:そこに含まれる情報の項目
・匿名加工情報を第三者提供するとき:そこに含まれる情報の項目および提供の手段
を、個人情報保護委員会規則に従って公表する義務が設けられ(36・37条)、あわせて他の情報と照合するなどの再識別化も行ってはならないことが法定されました(36・38条)。

3 第三者提供の制限の強化

特にオプトアウト方式で個人データの第三者提供を行う場合について、個人情報保護委員会への届出が新たな義務として法定されました(23条2項)。事業者等から届出があった事実は、個人情報保護委員会が公表することとなります(23条4項)。

2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。

一・二 (略)
三 第三者への提供の方法
四 (略)
五 本人の求めを受け付ける方法

また、個人データを第三者提供した年月日、相手先等の記録保存義務が追加されたことに加え、第三者提供を受けた(個人データを受領した)側にも、
・誰から取得したのか、およびその個人データの取得の経緯を確認する義務
・そのデータの提供を受けた年月日を記録し保存する義務
が新設されました(26条)。


さらに細かいところを見ていくと、利用目的の特定義務について、現行法の15条2項では「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて(利用目的の変更を)行ってはならない」とするところ、「相当の」がさりげなく削除されていたり(15条)、正確性確保義務が拡充される形で利用終了後の個人データに関する遅滞なき消去努力義務が追記されていたり(19条)、外国へ個人データを提供する場合には別途その旨の同意を取得する義務がさらっと新設されていたり(24条)、興味深い点もたくさん見つかるのですが。

まずは、上記3点を抑えて、事業者としてやるべきことをリストアップしはじめるのが良いと思います。