なか2656の法務ブログ

保険会社の社員が、法律などをできるだけわかりやすく書いたブログです


テーマ:
1.はじめに
新聞記事によると、政府は、主に産業界のビッグデータの利活用のために、個人情報保護法の改正法案3月10日閣議決定しました。

これは、内閣府のIT総合戦略本部( 高度情報通信ネットワーク社会推進戦略本部)に設置された諮問会議「パーソナルデータに関する検討会」(座長:宇賀克也・東京大学教授)の平成25年から平成26年までの会議を踏まえてまとめられた、「パーソナルデータの利活用に関する制度改正大綱」(平成26年6月)をもとに、今回の改正法が閣議決定に至ったものです。

■内閣府IT総合戦略本部「パーソナルデータに関する検討会」
・パーソナルデータの利活用に関する制度改定の概要「基本的な考え方」(PDF)
・パーソナルデータの利活用に関する制度改正大綱(PDF)

政府はこの法案を今国会に提出し、早期成立を目指す方針であるそうです。本ブログ記事では、この個人情報保護法の改正法案(以下、「改正法」という)についてみてみたいと思います。

■補足(2015年9月3日)
本日、個人情報保護法およびマイナンバー法の改正法が成立したとのことです。
・マイナンバー、銀行口座と結びつけ 改正法が成立 |日本経済新聞

■個人情報保護法等の改正法案|内閣府IT総合戦略本部
・国会提出法案(第189回通常国会)|内閣官房
・概要(PDF)
・要項(PDF)
・新旧対照表(PDF)

■新聞記事
・ビッグデータ活用へ指針…個人情報保護法改正案|読売新聞
・個人情報保護法:データベース提供罪新設…改正案閣議決定|毎日新聞

2.個人情報の定義の明確化
(1)「個人識別符号」
「個人情報」について、改正法は、現行の、「「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)をいう」(個人情報保護法2条1項)に加えて、「個人識別符号」が含まれるものも、「個人情報」に含まれるとします。

そして、「個人識別符号」とは、①身体的特徴等と、②商品や役務の販売履歴等(パーソナルデータ)とされています。

(2)身体的特徴等
「個人識別符号」のひとつである身体的特徴等とは、「特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した符号であって、当該特定の個人を識別することができるもの」と定義されています。

この身体的特徴等は、具体的には、指紋、顔認証情報、歩き方などを指します。今回の個人情報保護法の改正のために内閣府に設置された諮問会議「パーソナルデータに関する検討会」の会議の過程では、これらの身体的特徴は一時期、「個人情報」とは別に「準個人情報」という新たなカテゴリーを設けて保護しようという議論もなされました。しかし、新たなカテゴリーを新設することは、逆に社会を混乱させるとして、個人情報の枠内に統一されたものです。

(3)商品や役務の販売履歴等(パーソナルデータ)
「個人識別符号」のひとつである商品や役務の販売履歴等(パーソナルデータ)とは、「個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの」と定義されています(かなり長い定義ですね)。

これは具体例としては、個人のPCやスマートフォン・携帯電話等の識別情報(端末ID等)などや、継続的に収集される購買・貸出履歴、視聴履歴、位置情報等を指します。これも「パーソナルデータに関する検討会」などで、「パーソナルデータ」と呼ばれる類型として議論がなされ、結局、個人情報の枠内に含まれるものと統一されたものです。

なおこれはやや余談ですが、たとえば生損保の保険契約における保険証券に記載された、証券番号が「個人情報」に該当するか否かという問題があります。第三者からみれば、意味のない数字の羅列にすぎませんが、保険会社の社内のデータベースで照会をかければ、その証券番号から容易に保険契約者等のお客さまの氏名、住所、年齢などの個人情報を得ることができます。

そのため、現行の個人情報保護法においても、保険契約の証券番号は、個人情報保護法2条1項後段に該当するので、個人情報にあたると解されてきました。(金融庁「『金融分野における個人情報保護に関するガイドライン』(案)への意見一覧」の金融庁回答54番)

このように保険契約の証券番号のようなものは従来より、個人情報保護法2条1項後段により「個人情報」に該当すると解されてきましたが、今回の改正法により新設される、「商品や役務の販売履歴等(パーソナルデータ)」における、「個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載される符号」にも該当するように思われます。

そのため、法改正後は、たとえば保険契約の証券番号、ポイントカードに割り当てられた番号などは、二重の意味で、個人情報に該当することになると思われます。

(4)「要配慮個人情報」(センシティブ情報)の明文化
たとえば本人の人種、思想・信条、政治的見解、病歴、などの情報はみだりに第三者に漏洩してしまうと、例えば就職活動などさまざまな場面で社会的差別を受けるおそれがあります。このような情報は、個人情報のなかでもとりわけ慎重に取り扱うべき「センシティブ情報(=機微情報)」と呼ばれていました。

この点、少しマニアックな話になってしまいますが、たとえば、金融庁が保険会社の業務を監督する法律である、保険業法100条の2が、保険会社に対して、顧客の個人情報の適切な取り扱いを定め、それを受けて、保険業法施行規則53条の10(非公開情報の取り扱い)は、「顧客に関する人種、信条、門地、本籍地、保健医療又は犯罪経歴についての情報」について、保険業の業務の目的外に利用しないことを確保する措置を講ずるよう保険会社に求めています。

また、これを受けて、金融庁の「金融分野における個人情報保護に関するガイドライン」6条も、このセンシティブ情報に関して、保険会社に対して適切な取り扱いを求める規定を置いています。

このように、第三者に漏れてしまうと社会的差別を受けるおそれがとりわけ大きいこれらセンシティブ情報に関し、うえのように細かい法律や監督官庁のガイドラインなどに規定はあったのですが、肝心の個人情報保護法の本体には規定がなかったことから、今回の改正で、センシティブ情報につき、「要配慮個人情報」という名称で個人情報保護法本体に明文化がなされることとなりました(改正法2条3項)。

また、当然のことながら、「要配慮個人情報」(センシティブ情報)については、一定の場合を除き、あらかじめ本人の同意を得ないで取得してはならないとする条文も設けられました(改正法17条2項)。

さらに、今回の個人情報保護法改正の目玉は、個人情報に匿名化の加工処理をした「匿名加工情報」(後述)を、本人の同意なしに第三者提供を認めることですが、しかし、「要配慮個人情報」(センシティブ情報)については、「匿名加工情報」にしたとしても第三者提供はできないとされています(改正法23条2項)。

(5)「匿名加工情報」・「匿名加工情報取扱事業者」
「匿名加工情報」とは、特定の個人を識別できないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものです(改正法2条9項)。

(なお、個人情報保護法改正のための内閣府IT総合戦略本部の諮問会議「パーソナルデータに関する検討会」や、2014年6月に発出された「パーソナルデータの利活用に関する制度改正大綱」においては、「個人が特定される可能性を低減したデータ」等と呼ばれていました。)

これは例えば、たとえば、「顧客ID」「氏名」「住所」「生年月日」「購買履歴」がついているデータを「匿名加工情報」とするためには、「顧客ID」を「仮名ID」など別の記号に変換し、「氏名」は削除し、「住所」は都道府県にし、「生年月日」は誕生年に加工するものです(「パーソナルデータに関する検討会」の第7回の検討会の「資料1-2」9頁における低減データの作成イメージ)。

つまり、このように、個人情報に匿名化の加工処理をして、できるだけ個人が特定される可能性を低減したデータのことを、「匿名加工情報」としました。

この「匿名加工情報」は、個人情報保護委員会規則の定める手続きに従って加工などを適切に行えば、現行の個人情報が義務付けている本人の同意やオプトアウト手続きなどを経ることなく第三者提供をすることができるとされ、これが今回の個人情報保護法改正の最大のポイントです(後述)。

また、「匿名加工情報取扱事業者」とは、匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したもの等を事業の用に供している者と定義されました(改正法2条10項)。

3.匿名加工情報について
(1)匿名加工情報の作成

匿名加工情報取扱事業者は、匿名加工情報を作成するときは、その作成に用いる個人情報を復元することができないように、個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならないとされました(改正法36条1項)。

そして、匿名加工情報取扱事業者が匿名加工情報を作成する際は、個人情報保護委員会規則で定める基準に従い、安全管理措置を講じなければならず、また、これも個人情報保護委員会規則に基づき、当該匿名加工情報に含まれる個人に関する情報の項目を「公表」しなければならないと規定されました(改正法36条2項、3項)。

(2)匿名加工情報の第三者提供
匿名加工情報取扱事業者が匿名加工情報を第三者に提供するときは、個人情報保護委員会規則の定めに従い、あらかじめ、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目および提供の方法について公表するとともに、提供先の第三者に対して、当該提供する情報が、匿名加工情報である旨を明示しなければならないとされました(改正法37条)。

(3)本人の識別行為の禁止・安全管理措置
匿名加工情報取扱事業者は、匿名加工情報を取り扱うにあたって、その作成に用いられた個人情報の本人を識別するために、情報を取得するなどし、または当該匿名加工情報を他の情報と照合してはならないと規定されました(改正法38条)。

また、匿名加工情報取扱事業者は、匿名加工情報の安全管理に必要かつ適切な措置などを講じ、かつ、当該措置の内容を「公表」しなければならないと規定されました(改正法39条)。

なお、この匿名加工情報に関しては、昨年12月の骨子の段階までは、匿名加工情報取扱事業者が作成、第三者提供などをする際には、個人情報保護委員会への届出が必要とされていました。しかし、この改正法案においては、その届出は不要とされ、消費者・国民の側から見ると一歩後退しました。法改正後の実務の運用のあり方が注目されます。

4.個人情報の保護の強化
(1)トレーサビリティの確保
(a)第三者提供に係る記録の作成義務
個人情報取扱事業者は、個人データを第三者に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名等の記録を作成し、一定の期間保存をしなければならないという規定が設けられました(改正法25条)。

これは、先般のベネッセの個人情報漏洩事件のような事件が発生したような場合に、犯人から個人情報が名簿屋へ、そしてまた別の名簿屋へ、と個人情報が転々と流通してしまったわけですが、それを事後に、行政や捜査当局などが、個人情報の流れをチェックできるように、つまり、個人情報の流れを追跡(トレース)できるようにしよう(トレーサビリティ)という制度作りです。

(b)第三者提供を受ける際の確認義務
うえと関連して、今度は、個人情報取扱事業者が、第三者から個人データの提供を受ける場合は、個人情報保護委員会規則に従い、当該個人データの取得の経緯等を確認するとともに、当該個人データの提供を受けた年月日の記録を作成し、一定の期間保存しなければならないと規定されました(改正法26条)。

(2)個人情報データベース等提供罪の新設
現行の個人情報保護法には、企業や従業員が個人情報を漏洩したときに、それをダイレクトに処罰する罰則がなく、社会から批判のあるところでした。

現行法においては、主務官庁が個人情報取扱事業者に対して命令を発し、事業者がそれに違反した場合や、主務官庁が要求したにもかかわらず事業者が報告を行わない場合などに罰則が適用される程度に過ぎませんでした(個人情報保護法56条等)。

そのため、先般のベネッセの個人情報漏洩事件では、犯人のSEは不正競争防止法違反(営業秘密の複製と開示)の容疑で逮捕されたのは記憶に新しいところです。

この点、今回の個人情報保護法の改正法案には、個人情報取扱事業者(法人)およびその役職員がその業務に関して取り扱った個人情報データベース等を自己もしくは第三者の不正な利益を図る目的で提供し、または盗用したときは、1年以下の懲役または50万円以下の罰金に処すという、ダイレクトな罰則が新設されました(個人情報データベース等提供罪・改正法83条)。

なお、2016年1月から施行される、マイナンバー法(番号法)においては、企業およびその従業員などが、個人番号を第三者に提供した場合などは罰則を科せられるという規定が設けられました(マイナンバー法67条・68条・69条等)。

5.個人情報保護委員会の新設
(1)個人情報保護委員会の設置
匿名加工情報の加工方法などを規定する個人情報保護委員会規則(改正法65条)を定める、個人情報保護委員会は、内閣府の外局におかれる独立した第三者機関として新設されます(改正法50条、同53条、内閣府設置法49条3項)。

従来は、それぞれの業界の個人情報取扱事業者の監督は、その主務官庁が行ってきましたが、改正後は、原則として、個人情報保護委員会が監督することとなります。また、認定個人情報保護団体の認定および監督も、個人情報保護委員会が行うこととなります。さらに、匿名加工情報取扱事業者の監督も個人情報保護委員会が行うこととなります。

(2)報告・立入検査・指導・助言
個人情報保護委員会は、必要と認める場合において、個人情報取扱事業者または匿名加工情報取扱事業者に対して、個人情報または匿名加工情報の取扱に関して、報告もしくは資料の提出を求め、またはその職員を個人情報取扱事業者等の事務所等に立ち入らせ、検査することができると規定されました(改正法40条)。

また、個人情報保護委員会は、必要と認める場合に、個人情報取扱事業者または匿名加工情報取扱事業者に対して、個人情報または匿名加工情報の取扱に関して、指導および助言をすることができるとされました(改正法41条)。

6.個人情報の取扱のグローバル化
(1)外国にある第三者への個人データの提供に関する規定の整備
個人情報取扱事業者は、外国にある第三者に個人データを提供する場合は、法令に基づく場合など一定の例外を除き、あらかじめ、外国にある第三者に個人データを提供する旨の本人の同意を得なければならないという条文が設けられました(改正法24条)。

(2)外国の執行当局への情報提供
また、個人情報保護委員会は、個人情報保護法に相当する外国の法令を執行する当局に対して、その職務遂行に資すると認める情報の提供を行うことができると規定されました(改正法78条)。

7.その他規定の整備
(1)利用目的の変更の手続きについて
今般の個人情報保護法の改正にあたって、昨年12月に内閣府より示された骨子においては、匿名加工データの第三者提供を可能とすることと並んで、個人情報の利用目的変更の手続きを、現行は本人の同意が必要であるところ、それをオプトアウト方式に緩和して事業者側の便益を図ろうという2点が大きなポイントでした。

とくに後者の、個人情報の利用目的変更の手続きのオプトアウト方式化は、新聞記事や、産業技術総合研究所情報セキュリティ研究センターの高木浩光先生のウェブサイトなどによると、ヤフージャパンをはじめとするIT企業などの強い意向により、経済産業省情報経済課が昨年12月に強引にごり押ししてきたものとされています。

ここに関しては、消費者側から、「本人が気付かないうちに、自分のデータを勝手に利用されかねない」などの強い批判がなされました。

また、学者の先生方からも、日本の個人情報保護法がベースとする、個人情報保護に関するOECD8原則などに反することとなり、日本の個人情報保護法が世界から孤立しガラパゴス化することになり、ひいては日本の産業界の発展のためにならないとの強い批判がなされました(個人データの越境の問題)。たとえば、産業技術総合研究所情報セキュリティ研究センター高木浩光先生は、ウェブサイトにつぎのような記事を掲載されていました。

・利用目的の変更自由化で世界から孤立へ(パーソナルデータ保護法制の行方 その13)|高木浩光@自宅の日記

また、A.Wada(@senryoAIIT)さまのまとめサイトによると、新潟大学法学部教授の情報法の鈴木正朝先生もこの点につき大いに怒っておられるようでした。
・個人情報保護法改正方向の落とし穴-OECDガイドライン非準拠へ? 

この点、3月10日に閣議決定された個人情報保護法案は、正式に、この個人情報の利用目的変更の手続きのオプトアウト方式化をしないこととしました。これは日本の国民・消費者にとっても、産業界にとってもよいニュースだと思います。

(2)小規模な事業者への対応の改正
現行の個人情報保護法2条3項は、「「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう」と規定しつつ、同項5号で「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」を除外しています。

そして、個人情報施行令2条により、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される個人の数が、「過去6か月以内のいずれの日においても5000を超えないもの」は、この個人情報取扱事業者から除外され、個人情報保護法第4章の15条以下の個人情報取扱事業者に課せられる各種の義務の対象外となってきました。

しかし、今回の個人情報保護法改正法案は、この個人情報保護法2項3号5号を削除することとしており、法律の改正後は、小規模の事業者も含め、すべての事業主が、個人情報取扱事業者としての責務を負うことになります。

なお、2016年1月から本格的に施行されるマイナンバー法(番号法)においても、たとえば従業員を雇用するなど、源泉徴収票等の法定調書を取り扱うすべての事業主・企業マイナンバー法への対応を行わなければならないとされています(マイナンバー法9条3号など)。

(3)データ内容の正確性の確保等
現行の個人情報保護法19条は、「個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならない」との努力義務を置いていました。

これを改正法19条はさらに一歩進め、正確かつ最新の内容に保つ義務に加えて、「利用する必要がなくなったときは、当該個人データを遅滞なく消去する」努力義務をも個人情報取扱事業者に課すこととしました(改正法19条後段)。

この点は、たとえば、金融庁の、「金融分野における個人情報保護に関するガイドライン」と、そのなかの安全管理の部分をより具現化した、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」における、「組織的安全管理」に関する、「2-4(個人データの取扱状況を確認できる手段の整備)」などが、金融機関に対して、個人データの「保管期限」をあらかじめ定め、その期限がきたら、その個人データを廃棄しなければならないと規定していました。

今回の改正法19条は、これらの行政庁のガイドラインなどを法律に明文化したものといえると思われます。

(4)本人同意を得ない第三者提供(オプトアウト規定)の届出、公表等、手続きの厳格化
現行の個人情報保護法23条2項は、たとえば第三者への提供そのものを利用目的としているような場合(同法23条2項1号)などで、本人の求めに応じて個人データの第三者提供を停止することとしている場合(オプトアウト規定)の手続きについて規定を置いていました。

2013年に個人情報に関連して大きな社会問題となった、JR東日本のSuicaの顧客の乗降履歴の第三者提供の問題や、NTT東日本の携帯電話・スマートフォン等のGPSによる顧客の空間位置情報の第三者提供の問題なども、これらの企業は、顧客からの苦情申し出の対応にあたり、自分の個人情報は第三者提供しないでもらいたいという顧客の個人情報は、いわゆるビッグデータから除外するという、このオプトアウト方式による対応を行いました。

今回の改正法案においては、このオプトアウト規定の手続きのさらなる厳格化が行われました。すなわち、個人情報取扱事業者は、オプトアウト方式による個人情報の第三者提供を行うにあたっては、個人情報保護委員会規則に基づき、①あらかじめ本人に通知し、または、本人が容易に知り得る状態に置くとともに、②個人情報保護委員会に届出を行う必要があると規定されました(改正法23条2項)。そしてさらに、③届出を受けた個人情報保護委員会は、個人情報保護委員会規則に基づき、届出に係る事項を「公表」しなければならないと規定されました(改正法23条4項)。

なお、ここで出てくる、「本人が容易に知り得る状態」とは、現行の個人情報保護法23条等の解釈として、個人情報取扱事業者(企業)が、自らのウェブサイトにアップロードすることでよいと解されています(宇賀克也『個人情報保護法の逐条解説[第4版]』112頁)。

しかし、企業や官庁などの個人情報取扱事業者が自らのウェブサイトに、本人に対する連絡事項等を掲示したとしても、本人が日々それらのウェブサイトをチェックしているとは思えず、それにどれだけの実効性があるのか大いに疑問があります。この点、改正法23条4項は、③の、個人情報保護委員会の側からの公表という制度を新たに設けました。この制度が有効に機能することが期待されます。

(5)開示等が民事上の権利であることの明確化
現行の個人情報保護法は、本人が個人情報保護取扱者に対して、本人に関する保有個人データの「開示」を請求することができ、また、その保有個人データが事実でない場合など、一定の場合には、その保有個人データの「訂正、追加又は削除」(訂正等)「利用の停止又は消去」(利用停止等)を求めることができると規定していました(個人情報保護法26条、27条)。

現行の個人情報保護法におけるこれらの訂正等および利用停止等の規定は、行政規制であると解されてきました。しかし、個人情報がプライバシーのひとつである以上は、民事上の権利行使が可能であることを明確化すべきだとの考え方が、2014年6月に内閣府の高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)から発出された「パーソナルデータの利活用に関する制度改正大綱」に盛り込まれました。

そこで、改正法は28条以下で、この訂正等および利用停止等の条文の構成を全体的に見直しました。そして、本人が個人情報取扱事業者に対して、訂正等または利用停止等の請求を行い、それが個人情報取扱事業者に到達した日から2週間を経過すれば、本人は民事訴訟を提起できることを明文化しました(改正法34条)。

■過去の個人情報保護法改正などに関するブログ記事
・内閣府が個人情報保護法改正法案の概要を発表/利用目的変更・匿名加工データの第三者機関への届出

・ガラパゴス化する日本の個人情報保護法/パーソナルデータ大綱と海外との問題

・パーソナルデータの利活用に関する制度改正大綱について/個人情報保護法改正・ビッグデータ

・マイナンバー法(番号法)への民間企業の対策

・マイナンバー法(番号法)への民間企業・金融機関の実務対応

平成27年改正個人情報保護法のしくみ



一問一答 平成27年改正個人情報保護法 (一問一答シリーズ)



個人情報保護法の逐条解説 第5版 -- 個人情報保護法・行政機関個人情報保護法・独立行政法人等個人情報保護法



ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ





法律・法学 ブログランキングへ
にほんブログ村 政治ブログ 法律・法学・司法へ
にほんブログ村
AD
いいね!した人

なか2656さんの読者になろう

ブログの更新情報が受け取れて、アクセスが簡単になります

AD

ブログをはじめる

たくさんの芸能人・有名人が
書いているAmebaブログを
無料で簡単にはじめることができます。

公式トップブロガーへ応募

多くの方にご紹介したいブログを
執筆する方を「公式トップブロガー」
として認定しております。

芸能人・有名人ブログを開設

Amebaブログでは、芸能人・有名人ブログを
ご希望される著名人の方/事務所様を
随時募集しております。