16.02.13 | 企業の法制度

"

マイナンバー法が2015年10月５日に施行され、各世帯に通知カードが配布され、社会で大きな関心を呼んでいます。実は、その間隙を縫うように、昨年９月に個人情報保護法の改正がなされました。
同法が2005年4月からの完全施行後10年となった昨年の3月に通常国会に提出された改正案は、マイナンバー法の改正案と、個人情報保護法の改正案とを一括したものでした。昨年９月３日に成立し、９日に公布されました。個人情報保護法が成立してから初めての実質的な改正で、その内容は多岐にわたっており、個人情報を取り扱う各事業者にとって重要な改正です。施行は公布日から２年を超えない範囲内にて政令で定める日とされています（ただし「個人情報保護委員会」の設置は2016年1月1日から開始されています）。

ここでは、今回改正された個人情報保護法のポイントを紹介し、今後の影響と対策を述べてみます。

"

"

■何が改正されたのか
今回の改正法の主なポイントは下記のとおりです。

（１）個人情報の定義の明確化、（２）要配慮個人情報の厳格取り扱い、（３）個人情報データベース等からの除外事例の明確化、（４）適用対象範囲の縮小化、（５）5000件要件の撤廃、（６）匿名加工情報、（７）利用目的の制限の緩和、（８）個人情報保護指針、（９）オプトアウト規定の厳格化、（１０）トレーサビリティの確保、（１１）データベース提供罪の新設、（１２）個人情報保護委員会の新設、（１３）個人情報の取扱いのグローバル化、（１４）請求権の裁判規範化、等。 

この中で実務的にもっとも大きな影響が生じるのは、（５）の「取り扱う個人情報が5,000人以下の事業者にも個人情報保護法を適用するという部分だと思います。これまでは、そういった小規模取扱事業者は、同法の適用対象となる「個人情報取扱事業者」から除外して適用されず、ガイドラインなどで努力義務とされていただけでした。しかし今回の改正で、この適用除外規定が削除されたため、2年以内の改正法施行後は、保有個人情報の数に全く関係なく、全ての事業者が「個人情報取扱事業者」として同法の適用を受けることになります。

■個人情報の定義の明確化
今回の改正法においては、個人情報の定義規定を改正して、「個人識別符号」に関する規定を新たに入れ、それが個人情報保護法の対象であることを明確にしました。

つまり、「個人情報」とは、生存する個人に関する情報であって、①「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む）」、もしくは②「個人識別符号が含まれるもの」のいずれかに該当するものとしました。すなわち、①は実質的な変更はないものの、②の「個人識別符号が含まれるもの」を個人情報として新たに類型化したものです。

この「個人識別符号」とは、法2条2項で1号・2号に類型を設け、そのいずれかに該当する「文字、番号、記号その他の符号のうち政令で定めるもの」としました。1号は、特定の個人の身体の一部の特徴を電子計算機のために変換した符号で、指紋認識データや顔認識データなどが例として挙げられています。2号は、対象者ごとに異なるものとなるように役務の利用、商品の購入または書類に付される符号で、旅券番号や運転免許証番号などが例として挙げられています。詳しくは政令で指定することとなっているため、政令等での指定の動きには注意が必要です。

■要配慮個人情報の厳格取り扱い
これまでは、機微情報（センシティブ情報）に関する規定がありませんでしたが、新たに改正法で「要配慮個人情報」という概念が導入され、本人の同意がない場合は、その取扱いが原則禁止となりました。今後、この種の個人情報については特別な取り扱いが必要となります。

「要配慮個人情報」とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」をいいます。要するに、これらは、通常は他人には知られたくない情報で、個々人のプライバシーに大きく関連するため、すでに実務面では原則取得禁止としている例も少なくありませんでした。各省庁のガイドラインでは、これについて規定し一定の規制をしていました。今回の改正はそれを法律のレベルで明確に規制したものです。

まず、これらについての適正な取得が義務付けら、法で定める一定の場合を除いては、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはなりません。取得する場合は、あらかじめ本人の同意が必要となります。本人の同意なく取得できるのは、法令に基づく場合や、人の生命身体又は財産の保護のために必要がある場合であって本人の同意を得ることが困難であるときなど一定の場合です。

また、あらかじめ本人の同意を得ないで個人データを第三者に提供することができる規律（オプトアウトの特例）についても、要配慮個人情報の場合については、その方法は取れないこととなりました。「要配慮個人情報」を取り扱う場面は、職員の雇用管理情報などがあると思われますが、この点の対応は十分に行う必要があります。

■適用対象範囲の縮小化
現行法では「個人情報データベース等」の定義として、「個人情報を含む情報の集合物であって、電子計算機を用いて検索することができるように体系的に構成したもの」としていました。改正法のこの部分では、「利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。」という規定を入れて、政令でもって適用対象となる範囲を狭めることができるようになりました。

これは、以前から、この範囲が明確でないために、個人情報に対する過剰すぎる反応が多く見られたことから、個人情報の性質及び取扱いの態様を踏まえて適用除外とすべき場面があると言われてきました。この点が検討されてきた結果、適用除外の対象を取り扱い情報の単位で規定することが適当と判断され、具体的には、利用方法から見て、個人の権利利益を害するおそれが少ないものとして政令で定めるものを個人情報データベース等から除外することとしたものです。 

国会での議論によると、この個人情報データベース等から除外するものとしては、例えば、既に公になっている市販の電話帳をそのまま使う場合のように、たとえ漏えいがあっても、その行為により個人の権利利益を侵害する危険性が少ないものなどが例としてあげられています。また、自治会等の保有する名簿については既に公になっているものとは言えず、漏えいがあった場合に個人の権利利益が侵害される危険性が存在しうるため、除外対象にするかどうかについては、取り扱う自治体の負担や個人情報の保護の必要性等を勘案しつつ、慎重に検討するとされています。今後、どのようなものが例外となっていくかが注目です。

■5000件要件の撤廃
個人情報保護法の適用対象である個人情報取扱事業者について、現行法では、「個人情報取扱事業者」の定義の中で、「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」という規定があり、その規定にもとづいて、政令たる施行令で、取り扱い個人情報人数が5000を超えない者と定め、これに該当する小規模取扱事業者については法律適用の対象外としていました。

しかし、今回の改正において、この規定が削除され、その結果、5000人以下の取扱事業者も適用対象となりました。ただ、これまでも法律の適用がなくとも、ガイドラインでは、「ここに規定されている遵守事項を守ることが望ましい」としてきたことから、これまでも同じように対応をしてきたところが多いと思われるので、それを引き続いて行えば足ります。

ただし、大規模事業者と同じレベルの安全管理措置を行うことが困難なことも事実です。このため、そういった小規模事業者の過度な負担を避けるため、改正法附則11条において、個人情報保護委員会は、事業者等が講ずべき措置の適切かつ有効な実施を図るための指針を策定するに当たっては、この法律の施行により小規模取扱事業者が新たに個人情報取扱事業者となることに鑑み、特に小規模の事業者の事業活動が円滑に行われるよう配慮するものとする、と規定されました。今後、施行までの間に個人情報保護委員会から小規模事業者向けのガイドラインが出されることと思われるので、情報集収をし、早めの対策をとられた方がよいと言えます。

なお、マイナンバー法に関する事業者用ガイドラインでは、従業者数が100人以下の中小規模事業者においては、特例的に安全管理措置義務が一定程度緩和されています。しかし、このガイドラインでは、従業者数が100人以下でも、個人情報保護法上の「個人情報取扱事業者」に該当する場合には上記の特例適用から除外しています。今回の法改正により、上記の「5,000件」要件が撤廃されたことで、たとえ従業者数が100人以下でも「個人情報取扱事業者」に該当することとなる結果、マイナンバー法の中小規模事業者の特例の適用を受けることができなくなる可能性があります。今回改正法の施行までの間に、上記改正法附則11条が、このマイナンバー法の中小規模事業者の特例との関係も含むかどうかは不明ですが、今後の動向によっては、新たな「特例」が示されるのかもしれません。今後、この点の動きに注視しつつ、現時点でできる限りマイナンバーに対する安全管理措置を講じるよう努めることが必要と思われます。

■匿名加工情報
改正法では、目玉の一つとして「匿名加工情報」についての規定を新設し、本人の同意なく目的外利用や第三者提供を可能としました。近年の高度に発展した情報通信技術によって、多種多様で膨大ないわゆるビッグデータの収集・分析が可能となり、そういったデータの有効利用が社会にとって有用であるという声が大きくなりましたが、他方で、その範囲の曖昧さのため、個人情報及びプライバシーの保護に不安があるとの声も大きくなっていました。今回の改正は、ビッグデータを有効に活用しようという経済的要請がある一方で、その収集や第三者提供などが無規則になされると不当に個人情報が侵害されるおそれがあることから、その利用についての規律を定めました。

このような匿名加工情報を事業で活用をするに際し匿名加工情報を取り扱う場合は、個人情報保護委員会規則で定める基準を精査し、それに従って行う必要があります。また、同規則の定めるところによってその匿名加工情報に含まれる個人に関する情報の項目等を公表しなければならないことにも十分留意しなければなりません。

■利用目的の制限の緩和
個人情報の利用目的変更について、現行法では、「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない」と規定されていますが、改正法では、「相当の」という文言を削除しました。これは、事業者による厳格な対応を緩和して機動的な目的変更を可能にしたものです。つまり、企業などが取得した個人に関する情報の利用目的を、本人の同意なく事後に変更可能にするもので、一部の消費者向けの事業を展開する企業が求める内容が盛り込まれたとみられます。この点については、政府側からは、変更前の利用目的と関連性を有すると合理的に認められる範囲について、その詳細とか具体例につきガイドライン等で明確化をしていく予定になっています。 

■個人情報保護指針
個人情報保護法は、個人情報の取扱いにおける最低限の法的義務を定めたものですが、業界・事業分野が違えば、それぞれの特性によって状況が異なることから、そこでの自主規制ルールによることが望ましいとされています。これまでは、苦情処理等を行う民間団体である認定個人情報保護団体がありますが、改正法では、認定個人情報保護団体が個人情報保護指針を定める場合、消費者を代表する者その他の関係者の意見を聴くように努めなければならないとし、作成したときや変更したときの届出、公表などが定められました。 

■オプトアウト規定の厳格化
現行の個人情報保護法では、本人が第三者提供をやめることを求めた場合に事業者がこれに応じるなど一定の事項を本人に通知又は本人の容易に知り得る状態に置いた場合には、本人の事前同意なく第三者提供できるとする、いわゆる「オプトアウト方式」が認められています。しかし事前通知ではなく、単に容易に知り得る状態に置かれただけの場合、本人はそれに気づきにくい面がありますので、この点を改め、オプトアウト方式で第三者提供をしようとする場合は、データの項目等を個人情報保護委員会に届け出ることを義務づけ、個人情報保護委員会は、届けられた内容等について一覧性をもって公表することとしました。

■トレーサビリティの確保
個人情報の第三者提供にあたり、提供する者に対しては提供先等に関する記録の作成及び保存が、受領者に対しても提供者等に関する記録の作成及び保存が、それぞれに義務づけられました。これによって個人情報漏えいが起きた際にすばやくその情報の流通経路を把握し、勧告、命令等に適切に対応できるようにしたものです。

■データベース提供罪の新設
改正法では、個人情報取扱事業者の役員、代表者又は管理人、もしくはその従事者又は従事していた者が、不正な利益を図る目的で提供し又は盗用する行為に対して、1年以下の懲役又は50万円以下の罰金に処する規定が新たに設けられました。

■個人情報保護委員会の新設
今回の改正で、監督機関として、内閣府の外局となる「個人情報保護委員会」を新設し、現在複数の所管省庁にまたがる事業者への監督権限もここに集約しました。報告を求め、立ち入り検査もできるようになりました。この委員会は、2016年1月1日に業務を開始しています。 

■個人情報の取扱いのグローバル化
（１）外国事業者への第三者提供
改正法では、一定の条件を満たさない外国の第三者に個人情報を提供する場合は、「外国にある第三者に提供を認めること」について本人からあらかじめ同意を得なければならないとしました。
（２）国境を越えた適用と外国執行当局への情報提供
これは域外適用と執行協力を新設したものです。これまでは、外国にいる事業者による個人情報の取扱いには適用されないものとされていましたが、情報通信技術の発展によって情報の移転が国際的になっている状況から、日本国内の個人情報を取得した外国の個人情報取扱事業者についても個人情報保護法を原則適用することとしました。 

■請求権の裁判規範化（開示、訂正等、利用停止等）
現行法では、本人から開示の求め、訂正等の求め、利用停止等の求めがあった場合、個人情報取扱事業者はこれに応じる義務がありますが、その裁判規範性を否定する裁判例があったため、裁判規範性があることが明確化しました。

■影響と今後の課題
今回の改正では、個人情報の定義について、従来の氏名、生年月日などが含まれる情報に加え、指紋データやＩＤ番号など個人識別符号が含まれる情報が明記されたほか、新たに差別、偏見などが生じないよう取り扱いに特に配慮を必要とする「要配慮個人情報」の導入の規定が盛り込まれました。また、何をおいても、義務規定の対象をこれまで除外されていた５０００件以下の小規模個人情報データベースの取扱事業者に拡大しました。オプトアウト規定の厳格化や、トレーサビリティの確保なども新たな義務となります。このように、個人情報を巡る規制がより拡大、複雑化したともいえます。引き続いて注意を払いつつ、各事業者では対応を進めていく必要があります。

"