改正個人情報保護法、4月1日施行

4月1日から、「改正個人情報保護法」が施行されます。個人情報に対する意識の高まりや、技術革新を踏まえた保護と利用のバランス、越境データの流通増大に伴うリスクへの対応などを踏まえ、法改正を行なうものです。

改正にあわせるように、Webサービスなどでプライバシーポリシーの改定も相次いでいますが、基本的には個人情報を扱う企業のデータの扱いを厳格化するものです。ユーザー側で準備することはあまりありません。

情報漏洩時は本人への通知が義務化

従来、個人情報を取り扱う企業において、個人情報の漏洩が発生した場合、「個人情報保護委員会」に報告し、本人に通知するよう努める、とされていました。個人情報漏洩が発生しても、個人への個別の通知は義務ではなかったのです。

個人情報保護委員会とは、個人情報の適正な取扱いを確保するために設置された独立性の高い機関とされ、個人情報に関わるさまざまな業務を行なっています。

改正により、個人の権利利益を害する恐れが大きい事態については、個人情報保護委員会へ報告したうえで本人への通知が義務化されます。

対象となるのは、下記の4つです。

・要配慮個人情報が含まれるもの
・財産的被害が生じるおそれがあるもの
・不正の目的をもって行なわれた漏洩等が発生した場合
・1,000人を超える漏洩が発生した場合

上記のうち、上から3つまでは、件数にかかわらず報告の義務が発生します。なお、個人情報保護委員会への通知については、3～5日以内に報告する必要があります。

本人への通知については、速やかに行なうこととされ、概要、個人データの項目、原因などの内容を文書や電子メールなど、本人にわかりやすい方法で伝えます。本人への通知が困難な場合は、ホームページ等での公表や問い合せ窓口の設置などで対応することも可能です。

海外へのデータ提供はより厳しく

外国の第三者へ個人データを提供する場合、これまでも本人の同意や、基準に適合する体制を整備した事業者であること等が条件となっていましたが、改正後はさらに詳細な条件が追加され、より基準が厳しくなります。

本人の同意が必要なことは変わりませんが、移転先の所在国の名称と、その国での個人情報保護に関する制度、移転先が行なう個人情報保護のための措置について情報提供が必要になります。

その他、情報の移転先で適正な取扱いがされているか、年に1回以上定期的な確認を行なうことや、問題が生じた場合の対応方法を定めておくなどの必要があります。また、個人情報を提供する本人が個人データの取扱いや保管方法などについての情報提供を求めた場合、応じる必要があります。

さらに、安全管理のために講じた措置についても公表する義務が追加されています。

また、個人データの開示請求もデジタル対応します。従来は書面による交付が原則でしたが、デジタルデータで交付可能になります。方法は、CD-ROM等の媒体の郵送、電子メール、Webサイトからのダウンロードなどを選択できます。

個人情報の利用停止条件が拡充

従来、個人情報について、利用停止・消去ができるのは、目的外利用や不正取得の場合に限定されていました。第三者提供の停止ができるのも、第三者提供義務違反の場合限定でした。

改正後は、利用する必要がなくなった場合、重大な漏洩が発生した場合、本人の権利または正当な利益が害されるおそれがある場合も利用停止・消去の請求が可能になります。

具体的には、ダイレクトメールを停止したあと本人が情報の消去を請求した場合や、クレジットカード番号を含む個人データが漏洩した場合などです。また、退職した従業員の情報を自社ホームページに掲載しつづけ、本人の不利益に繋がる場合等も利用停止・消去の対象となります。

新設された項目も

新設された項目としては、「不適正利用の禁止」や「個人関連情報」、「仮名加工情報」の3項目があります。

不適正利用の禁止は、違法または不法な行為を助長する等の不正な方法によって個人情報を利用してはならないことを明確化しました。例えば、採用選考を通じて個人情報を取得した事業者が、性別、国籍等の特定の属性のみで差別的扱いを行なうために個人情報を利用する場合などが挙げられます。

個人関連情報は、生存する個人に関する情報で、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しないものを指します。例えばWebサイトの仕組みであるCookie等を利用して収集された個人のWebサイトの閲覧履歴や、商品購買履歴、サービス利用履歴、個人の位置情報などが該当します。

もし、個人情報のみをもつA社と個人関連情報(匿名情報)のみをもつB社が提携し、お互いの持つ情報を関連づけることで、個人情報と関連情報を結び付けることが可能になる場合、原則として本人の同意が必要になります。

仮名加工情報は、他の情報と照合しない限り、特定の個人を識別できないように個人情報を加工して得られる個人に関する情報です。名前を仮のIDで表示したり、クレジットカード番号など、不正利用の可能性がある情報を非表示にするなどが該当します。こうした加工を行なうことで、利用目的変更の制限や漏えい等の報告や本人への通知、開示・利用停止の請求対応からは免除されます。また、作成元の個人情報は残したまま運用も可能です。ただし仮名加工情報を第三者提供はできません。