来春をめどに、改正個人情報保護法が施行されます。本日は主な改正のポイントについてまとめます。
(1)適用除外の廃止
これまでの個人情報保護法は、保有個人データ5000人以下の事業者には適用されていませんでした。中小事業者に個人情報取り扱いについての制約を課すには、負担が重い、という理由によるものでしたが、今回の改正で、この適用除外は廃止されました。今後は中小規模の事業者も、本法に基づく対応を行わなければなりません。
(2)「個人情報」の範囲の拡大
「生存する個人に関する情報であって、個人識別番号が含まれるもの」が本法の定義する個人情報に加えられました。いわゆるマイナンバーや、基礎年金番号、運転免許証に付された固有の番号などがこれに該当します。
(3)「匿名加工情報(ビッグデータ)」の新設
特定の個人を識別できないように個人情報を加工たものを「匿名加工情報」と定義し、事業者がこれを活用できるようになりました。匿名加工情報の作成時には、公表等の義務が課されます(36条4項)。なお、どのような加工を施せば、匿名加工情報となるか、については、ガイドラインが発表されていますが、追加でガイドラインができる可能性があり、注視が必要です。
(4)第三者提供のルールの厳格化
第三者提供については、現行法にも定めがありますが、記録の作成、保管義務が課され(25条、26条)、不正な提供について適用される、「データベース等不正提供罪」が新設されました(83条)。
(5)センシティブ情報の取り扱い
人種、信条、社会的身分、病歴、犯罪歴などのいわゆる「センシティブ情報(機微情報)」のうち政令で定めるものを、「要配慮個人情報」と定義し(2条3項)、取得や第三者提供には、原則として本人の同意を要する、つまり、別のいい言い方をすると、通常の個人情報では認められる「オプトアウト方式(本人の求めがあれば削除ができる状態に置くこと)」による第三者提供が、要配慮個人情報では認められないこととなりました(23条2項)。
今回の改正により、全事業者に個人情報保護法の適用が及ぶことになりました。なぜいま全面適用なのか、はっきりとしたきっかけがあるようには思いませんが、一時期ヒステリックな感のあった個人情報保護の社会的ニーズも、落ち着いてきたことは確かで、個人情報を重要な営業上の資産ととらえ、有効活用を図る、という本来の法の趣旨(1条)に沿う改正ではないか、と思います。
すかっり小金井公園も冬景色になりました。お歳暮、年賀状、大掃除・・・師走っぽくなってきました。
