個人情報保護法(個人情報の保護に関する法律)
平成15年に個人情報保護法が制定され、その後、情報関連技術の進展や経済のグローバル化、消費者が情報機器を利用することが日常的になるなどの社会環境の変化により、個人に関する情報の種類や取扱量が拡大しています。位置情報や購入履歴、交流サイト(SNS)でのやり取りなどの個人に関する情報「パーソナルデータ」の利活用が可能になり、個人情報の保護を図りつつ活用促進されることが期待されています。
そういった状況を背景に、平成27年9月に個人情報保護法が改正され、平成29年5月に全面施行されています。
「個人情報」「個人データ」「保有個人データ」とは
「個人情報」
生きている個人についての情報です。
氏名や生年月日、住所、電話番号など特定の人を見分けることができるものなので、一つの情報だけでは見分けられなくても、他の情報と容易に照合することができ、それにより個人を特定できれば、その情報も個人情報になります。
今回の改正により、解釈があいまいだった身体的特徴等(個人識別符号)を含む情報は個人情報であると明確化されました。また、人種、身分、病歴、犯罪歴などの機微情報である「要配慮個人情報」の規定を新設し、原則として本人同意を得て取得することを義務化しました。
*「個人識別符号」
1.DNA、指紋など身体の一部の特徴を電子計算機用に変換した符号
2.免許証番号、マイナンバー、基礎年金番号などサービス利用時などに対象者に割り振られる符号
「個人データ」
個人情報を検索できるように体系化したもの(個人情報データベース)に含まれる個人情報
「保有個人データ」
取扱事業者が開示、訂正等の権限を持つ個人データ(6カ月以内に消去するものを除く)
民間事業者が守るべき主なルール
個人情報をデータベース化して事業活動に利用している民間事業者(個人情報取扱事業者:営利・非営利は問わない。改正後は、取り扱う個人情報が5000人以下の事業者にも適用)は、以下のようなルールを守って個人情報等を取り扱わなければなりません。なお、報道機関、著術や学術研究、宗教、政治目的の取扱は、法律の対象から一部除外されます。
【取得前のルール】
- 個人情報の利用目的を特定します。
- 特定した利用目的をあらかじめ公表する必要があります。
【取得のルール】
- 個人情報を本人から直接取得する際には、前もって利用目的を明らかにしなければなりません。間接的に取得した場合は、速やかに利用目的を通知または公表する必要があります。
- 偽りその他の不正な手段で個人情報を取得することは禁止されています。
- 要配慮個人情報を取得する場合は本人の同意が必要です。
【安全管理のルール】
- 取得した個人情報は、漏洩等を防ぐために適正かつ安全に管理し、正確で最新の情報に保たなければなりません。
【利用のルール】
- 利用目的の範囲内で利用します。
- 利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合は同意を得る必要があります。
*改正後、関連性があると認められる場合は利用目的を変更することもできます(通知または公表が必要)。
- 個人情報を第三者に提供する場合は、原則として予め本人の同意が必要です。
【本人関与のルール】
- 本人は個人情報取扱事業者に対して、開示、訂正等、利用停止等の請求をすることができます(保有個人データが対象)。
- 個人情報の取り扱いについての苦情は、適切・迅速に処理しなければなりません。
平成27年改正のポイント
匿名加工情報の新設と取り扱いルールの規定 ~パーソナルデータの利活用促進~
匿名加工情報とは、個人情報を個人として識別できず、復元できないようにしたもの。
【作成時のルール】
- 適正な加工を行うこと、安全措置を講じること等が必要です。
【第三者への提供、取得時のルール】
- 匿名加工情報であると明記して提供すること、本人を識別する行為の禁止等などが定められています。(第三者提供に際して本人同意の義務はありません)
個人情報の流通の適正確保のための規定の整備
- オプトアウト(本人の同意を得ない第三者提供)を行う事業者は個人情報保護委員会への届け出が必要です。
- トレーサビリティの確保のため、取得の経緯の記録、第三者提供した個人情報について年月日や提供先を記録することなどが必要です。
- 個人情報データベース提供罪(不正な利益を目的とした提供、盗用)が新設されました。
グローバル化への対応
- 外国において日本国内の個人情報を扱う場合も、利用目的の制限など一定の条項が適用されます。
- 外国にある第三者へ提供する場合は、原則本人同意を得ることが必要です。
個人情報保護委員会の設置
- 個人情報の有用性に配慮しつつ、その適正な取り扱いを確保するために設置された独立性の高い機関です。これまで所管分野ごとの主務大臣が行っていた行政処分権限が個人情報保護委員会へ一元化されています。
*マイナンバー法に関する業務も管轄しています。