平成29年5月30日に施行される改正個人情報保護法においては、各官庁に分散していた監督権限が個人情報保護委員会に一元化され、現在各主務官庁が定めている個人情報保護に関するガイドラインは廃止となり、個人情報保護委員会の定めたガイドラインに一元化されます。
ただし、金融分野に関しては、個人情報保護委員会・金融庁共担の新しい金融分野ガイドラインおよび新しい実務指針が施行されることとされています。(以下、現行の金融分野における個人情報保護に関するガイドラインを「旧・金融分野ガイドライン」、5月30日施行以降のガイドラインを「金融分野ガイドライン」とします。)
2.要配慮個人情報とセンシティブ情報(機微情報)との関係
現行の個人情報保護法にはセンシティブ情報に関する規定は存在しませんでした。しかし、金融庁の旧・金融分野ガイドラインなどでは、原則、「機微(センシティブ)情報」について、取得、利用または第三者提供を行わないことを規定していました。(旧・金融分野ガイドライン6条1項)。
この点、本年5月30日から施行される改正個人情報保護法は、センシティブ情報を「要配慮個人情報」として明文規定を置いています(法2条3項)。要配慮個人情報は、一定の例外を除いて、あらかじめ本人の同意を得ないで取得することが禁止されています(法17条2項)。
また、同じく本年5月30日から施行される金融分野ガイドラインにおいては、改正個人情報保護法上の要配慮個人情報(法2条3項)ならびに、「労働組合への加盟」、「門地」、「本籍地」、「保険医療及び性生活(これらのうち要配慮個人情報に該当するものを除く)」を、「機微(センシティブ)情報」と定義しています(金融分野ガイドライン5条1項、下の図参照)。
つまり、新金融分野ガイドラインの「機微(センシティブ)情報」は、改正個人情報保護法の「要配慮個人情報」と旧・金融分野ガイドラインの「機微(センシティブ)情報」(以下「センシティブ情報」という)を合わせたものです。
そして、新・金融分野ガイドラインの各規定の規定ぶりのとおり、センシティブ情報は、原則として、取得、利用または第三者提供が禁じられるというように、取得にあたって本人の同意が必要とされる「要配慮個人情報」よりも事業者に対する行為規制が厳しいものとなっています。
3.新たな金融分野ガイドラインにおけるセンシティブ情報の取扱い
(1)原則
一般の改正個人情報保護法の「要配慮個人情報」は、原則として、あらかじめ本人の同意を得ない取得を禁止しています(法17条2項)。
しかし、いったん取得すると、利用制限は事業者の特定した目的以外にとくに法定されておらず、個人データである要配慮個人情報については、オプトアウト方式による第三者提供の禁止(法23条2項柱書かっこ書)がある点のみ、通常の個人データと異なることになります。(宇賀克也『個人情報保護法の逐条解説 第5版』162頁)
一方、金融分野ガイドラインにおいては、センシティブ情報については、原則として、取得、利用または第三者提供のいずれも禁止されます。
(2)例外
この原則に対して、例外は広く認められています。改正個人情報保護法17条1項1号の「法令に基づく場合」は、海外の法令も含まれると考えられうるとされています(渡邉雅之「改正個人情報保護法の金融実務への影響」『銀行実務』2017年3月号63頁)。
また、法23条5項は、「委託、事業承継、共同利用において、個人データである要配慮個人情報の提供を受けるとき」について、これらの場合は法23条5項により「第三者」に該当しないと規定しているので、センシティブ情報の取得、利用、第三者提供も認められるとされています(渡邉・前掲64頁。)
■参考文献
・渡邉雅之「改正個人情報保護法の金融実務への影響」『銀行実務』2017年3月号61頁
・宇賀克也『個人情報保護法の逐条解説 第5版』162頁
・和田洋一「「金融分野における個人情報保護に関するガイドライン等」の概要」『金融法務事情』2062号17頁
 |
 |
法律・法学ランキング
にほんブログ村