改正個人情報保護法施行迫る!―個人情報の保護に一層の対応を

新年度のスタートで、いろいろな法律やルールの変更が気になります。特に注意すべきことに、2017年5月30日から改正された個人情報保護法が施行されますので、これへの対応が重要です。

技術が進歩し、ものづくりの領域で、またサービス提供の領域で、データの集積が企業の競争に欠かせない状況を生じさせています。多様な消費者について、様々な情報を収集すれば個々の消費者へのサービスは一層消費者個々人に合うようにカスタマイズされます。一方で、個人が自らデータを管理するパーソナル・データ・ストック(PDS)という考え方が生まれつつあるとも言われ、人種、信条、社会的身分、前科前歴、病歴などのセンシティブな個人情報(要配慮個人情報)への関心も高まっています。

マイナンバー制度も開始されて、12桁の数字のみをもって「個人情報」に該当するとされたことからも特定個人の識別性の判断基準を再検討する必要に迫られていたわけですが、改正法では、「個人識別符号」として整理されました。

 

5月施行の要点は

・取り扱う情報が5000人以下の小規模事業者も対象となる。

個人データを第三者へ提供する際の記録作成を義務付ける

・顔データなどの個人識別番号、要配慮個人情報を定義して規制する。

・個人を特定できなくした「匿名加工情報」は本人の同意なしに利用が可能。

特に、第三者への提供記録の義務付けは重要です。名簿業者の個人データ売買への批判の高まりを受け、透明化するのが狙いであり、個人データを提供した日付やデータの項目などを記録し、一定期間保存しなければなりません。第三者への提供に該当しなければ、確認したり記録したりする義務はありません。提供者本人を当事者とする契約などに基づいて個人データを授受する場合には、その書類の記録をもって記録に替えることが可能です。

今回の改正は、ベネッセコーポレーションからの大量の個人情報の情報流出事件にみられるように流出先が名簿屋であったことから、従前はなかなか手付かずのままであったトレーサビィティー義務(上記の第三者提供にかかる記録作成義務)が明確になったことは重要な点です。

 

では、外国にある第三者への提供についてはどうでしょうか。提供、委託、合併等を問いませんが、外国にある第三者への提供についても、本人の同意を基本に考えます。

最近よくあることですが、日本の事業者が国内向けにサービスを展開するにあたり、外国にあるサーバーを用いて、これを外国にある子会社が管理している場合にはどうなるでしょうか?当該の外国子会社においても適用される可能性はあるものと考えられますから、外国のデータ保護法のほか、日本のこの改正法も適用があるということが規定されています。

 

5000人の裾切条項が撤廃され、中小零細事業者にも同法は適用されます。また、既に番号法の施行により、マイナンバーの取扱いに関しても、事業規模に関係なく全事業者に法律上の義務が課せられていますので、個人情報の取扱いについては、ご注意を!顧客からのクレームにも対応にも気を付ける必要があります。取扱いの不安を感じられたら、ご相談なさってください。                                                                                     <池田桂子>