トピックス

2016.02.07
NEWS

改正個人情報保護法ニュース①:改正の概要とスケジュール

(執筆者:渡邉 雅之)
今回から、個人情報の保護に関する法律(「個人情報保護法」)の改正に関するニュースをお伝えします。

1 改正の経緯
(政府におけるパーソナルデータの利活用に関する検討)

□パーソナルデータの利活用に関する制度見直し方針

  平成251220日 高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)決定 

□ パーソナルデータの利活用に関する制度改正大綱
平成26年6月24日 高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)決定

□ パーソナルデータに関する検討会(平成2592日~平成261219日)
事務局:内閣官房IT総合戦略室パーソナルデータ関連制度担当室

(法案の提出と成立)

□「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案」(平成27310日・閣議決定・国会に法案提出)

(この間に、平成27年6月に日本年金機構の情報漏えい事件があり審議がストップ)

□「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」が一部修正の上、成立・公布(平成27年9月9日法律第65号)

 

2 改正の概要

改正個人情報保護法の概要は以下のとおりです。

(1)特定個人情報保護委員会の個人情報保護委員会への改組(平成28年1月1日施行)

□特定個人情報保護委員会を個人情報保護法に関する監督権限も有する独立の委員会として改組。

(2)個人情報取扱事業者に関する規律の改正(平成27年9月9日から2年以内の政令で定める日に施行)⇒平成29年4月施行か?

① 個人情報の定義の明確化

〇個人情報の定義の明確化(身体的特徴や個人に発行される符号等も個人識別符号として個人情報に該当することになる)

〇要配慮情報(いわゆる機微情報)に関する規定の整備

② 匿名加工情報の加工方法・提供方法に関する規律

(3)個人情報の保護の強化(名簿屋対策)

①トレーサビリティの確保(第三者提供における確認義務・記録の作成・保存義務)

②不正な利益を得る目的による個人情報データベース等の提供罪の新設

(4)個人情報のクロスボーダーの取扱い

① 外国にある第三者への個人情報の提供に関する規律

② 外国にいる事業者の国内の個人情報の取扱いに関する規律

③ 外国執行当局への情報の提供

(5)その他の改正

①小規模事業者(事業の用に供する個人情報の保有が過去6か月5000人以下)も個人情報取扱事業者としての規律を受けることになる。

②オプトアウト(本人の同意を得ない個人情報の提供)の取扱いの厳格化

③利用目的の変更の緩和

 

3 改正に至る3つの要請

上記2の改正は、「パーソナルデータの利活用」「EUのデータ保護指令」「ベネッセ事件」という3つの要請が今回の改正につながっています。

(1)パーソナルデータの利活用の要請

〇個人情報に関して個人の特定性を低減させた「ビックデータ」(パーソナルデータ)の取扱いをどうするのか(JR東日本のスイカのビックデータの提供などで問題に)

〇個人情報に該当するかどうか明らかでないもの(指紋データ・顔認識データ、運転免許番号・旅券番号)をどう取り扱うか

〇個人の同意を得ない利活用をどうするか?

⇒改正により、以下の規律を実現

〇「匿名加工情報の作成・提供等に関する規律」

〇「個人識別符号の個人情報化」

〇「利用目的の変更の緩和」

(2)EUのデータ保護指令の要請

EUからの個人データの移転が認められるためには、個人情報保護法に関して「十分性の認定」を受けるため、以下の改正をする必要がある。

〇独立した第三者機関(特定個人情報保護委員会の個人情報保護委員会への改組)

〇要配慮情報の取扱い

〇小規模事業者への法の適用

〇オプトアウトの厳格化

〇越境データ移転についての権限

〇開示請求権の適用の明確化

(3)ベネッセ事件による要請

平成26年(2014年)6月のベネッセの委託先の社員の名簿屋への会員の個人情報の漏えいにより以下の規律が設けられる。

〇トレーサビリティの確保(提供時の確認・記録義務)

〇不正な利益を図る目的の漏えい等の刑事罰