Category Archives: 個人情報保護法

様子見の匿名加工情報

昨日に引き続き個人情報保護法関連です。
昨日が全面施行日であったことから、予想どおりメディアなどで取り上げられています。
一言で個人情報保護法の改正といってもその内容は様々あります。改正関連の見出しですが、「匿名加工」という文字をよく目にする印象があります。

今回の改正では個人情報を保護することはもちろんですが、個人情報の利活用についても行われています。
その際たるものが、匿名加工情報の制度の導入です。

匿名加工情報とは、特定の個人を識別することができないように個人情報を加工したもの。をいいます。
匿名加工情報は、本人の同意なく外部に提供することができるようになります。

私的な印象なので確証はありませんが、匿名加工情報の取扱い等にスポットが当てられるということは、世の中としては、個人情報は収集するよりも利用する段階に至っているのではないでしょうか。

日常の生活を省みても、クレジットカードは以前からありますが、ポイントカードやスイカなどのいわゆる電子マネーの利用が多くなっているのは、間違いないでしょう。
これらのカードはほとんどの場合、登録時などに個人情報を登録しています。よって、利用すればするほど、カード登録者の利用履歴が蓄積していきます。
グーグルなどは10億人を超す個人情報を世界中から収集しているといわれています。

今回の改正により、自前で収集してきた情報に加え、他者が有する情報を購入するなど、匿名加工情報マーケットが活性化するのではないでしょうか。

自分の利用履歴が、自分と分からないように加工され販売されると聞くと、なんだか釈然としない感情を持たれる方もいらっしゃるかもしれません。「情報の提供元は自分なのに…。」と。
上述のクレジットカードなどは、ほとんどの場合ポイントがつきます。
ポイント=情報提供料、と収集側は考えているのかもしれません。

利用段階に入っていると思われる個人情報の取り扱いですが、実際にはまだ手探りの段階のようです。
法律が施行され「利用できる」となり、そのガイドライン等も示されていますが、より具体的な事例が存在しないためです。
また、法律とは無関係に、利用される個人の感情にも配慮が必要といわれています。

本日全面施行、改正個人情報保護法

本日2017年5月30日、2015年9月に成立した改正個人情報保護法が全面施行されました。
2016年1月には一部施行されたものの、成立から1年半を経ての全面施行です。この間は周知期間、準備期間ということだったと思うのですが、如何でしょうか。準備万端という事業者は少ないのではないでしょうか。
準備ができていようとなかろうと、全面施行となったからには、個人情報による取扱には、新法が適用されます。

改正個人情報保護法は、

  • 身体的特徴も個人情報として明確化
  • 人種、信条、病歴等が含まれる個人情報の取得は、本人の同意が原則義務化。本人の同意を得ない第三者への提供を禁止
  • 取り扱う個人情報が5000人分以下の事業者も本法を適用
  • 匿名加工情報の取り扱いを規定

など、様々な改正が行われています。

改正の内容などは、メディアなどが取り上げたりするのではないでしょうか。
個人情報保護委員会のホームページにもガイドラインなどが掲載されています。
本ブロクでも、過去に改正個人情報保護法を題材としたものがありましたので、新たに「カテゴリー」を作成してみました。
当時の状況と変わっているところがあるやも知れませんが、ご興味ある方はご覧ください。

さて、本日全面施行なのですが、ネット上では早速いろいろなトピックが出ているようです。

  • 情報開示における過剰な萎縮に拍車をかける恐れがある
  • 匿名社会が深刻化する

などといったものがありました。

これらを踏まえると、改正により個人情報の取り扱いが厳格化→個人情報の取得が難しくなる。といったイメージがあるように思えます。
それぞれの立場による主張はあると思いますが、最も重要なのは個人情報の情報元となった個人の意向になるのではないでしょうか。

自分の情報が自身のあずかり知らぬところで出回っているとしたら、心地よいものではありません。
個人情報は、その個人に帰属する。当然のことですが、これが大前提なのだと思います。

個人情報保護法改正のまとめ

数回に分けて見てきました個人情報保護法の改正ですが、ここでまとめです。

  1. 定義の明確化
    • 個人情報の定義の明確化
      特定の個人の身体的特徴を変換したものなどは特定の個人を識別する情報であるため、これを個人情報として明確化する
    • 要配慮個人情報
      本人に対する不当な差別や偏見が生じないように、人種、信条、病歴等が含まれる個人情報については、本人同意を得て取得することを原則義務化し、本人同意を得ない第三者提供の特例(オプトアウト)を禁止
    • 個人情報等データベース等の除外
      個人情報データベース等から、利用方法からみて個人の権利利益を害する恐れが少ないものを除外
    • 小規模取扱事業者への対応
      取り扱う個人情報が5000人分以下の事業者も本法を適用
  2. 適切な規律の下で個人情報等の有用性を確保
    • 匿名加工情報
      特定の個人を識別することができないように個人情報を加工したものを匿名加工情報と定義し、その加工方法を定めるとともに、事業者による公表などその取り扱いについての規律を設ける
    • 利用目的の制限の緩和
      個人情報を取得した時の利用目的から新たな利用目的へ変更することを制限する規定の緩和
    • 個人情報補助指針
      認定個人情報保護団体が個人情報保護指針を作成する際には、消費者の意見等を聴くとともに、個人情報保護委員会に届出。個人情報保護委員会は、その内容を公表
  3. 個人情報の流通の適正さを確保
    • オプトアウト規定の厳格化
      オプトアウト規定による第三者提供をしようとする場合、データの項目等を個人情報保護委員会へ届出。個人情報保護委員会は、その内容を公表
    • トレーサビリティの確保
      受領者は提供者の氏名やデータの取得経緯等を確認、記録し、一定期間その内容を保存。また、提供者も受領者の氏名等を記録し、一定期間保存
    • データベース提供罪
      個人情報データベース等を取り扱う事務に従事する者又は従事していた者が、不正な利益を図る目的でその個人情報データベース等を第三者に提供し、又は盗用する行為を処罰
  4. 個人情報保護委員会の新設及びその権限
    • 個人情報保護委員会
      内閣府の外局として個人情報保護委員会を新設し、現行の主務大臣の有する権限を集約するとともに、立入検査の権限等を追加
  5. 個人情報の取り扱いのグローバル化
    • 外国事業者への第三者提供
      個人情報保護委員会の規則に則った方法、または個人情報保護委員会が認めた国、または本人同意により外国への第三者提供が可能
    • 国境を越えた適用と外国執行当局への情報提供
      物品やサービスの提供に伴い、日本の住居者等の個人情報を取得した外国の個人情報取扱事業者についても本法を原則適用。また、執行に際して外国執行当局へ情報提供を可能とする
  6. 請求権
    • 開示、訂正等、利用停止等
      本人による開示、訂正等、利用停止等の求めは、裁判所に訴えを提訴できる請求権であることを明確化

個人情報保護委員会とは

個人情報保護法の改正に伴い個人情報保護委員会か設置されています。

改正前は各分野の主務大臣がそれぞれ

  • 個人情報取扱事業者に報告徴収、助言、勧告、命令等
  • 認定個人情報保護団体の認定と取り消し、同団体に対する報告徴収、命令等

を行っていたのが、個人情報保護委員会が内閣府の外局として新設され、現行の主務大臣の有していた権限が一元化されます。また、立入検査の権限等が追加されました。

なお、報告徴収や立入検査等の権限は事業所管大臣等に委任が可能となっていますので、実際の手続きなどは各分野の所管省庁が窓口となるのではないでしょうか。

新旧法律の内容をを見てみると、以下の通りです。

旧法第32条(報告の徴収)

主務大臣は、個人情報取扱事業者に対し、個人情報の取扱いに関し報告をさせることができる。

新法第40条(報告及び立入検査)

個人情報保護委員会は、個人情報取扱事業者等に対し、個人情報等の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、その個人情報取扱事業者等の事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。

罰金もあり

未報告、未提出、虚偽報告、虚偽の資料提出をした場合、又は職員の質問に対して答弁しない、虚偽の答弁をする、検査を拒む・妨げる・忌避する場合には30万円以下の罰金に処されます。これは改正前より設けられています。

個人情報保護委員会の設置による一元化は、いわゆる「縦割り」を解消するものだと思いますので、今後のスムーズな運用を期待したいところです。

グローバル化に伴う個人情報の取り扱い

社会のグローバル化に伴い、個人情報の取り扱いについても、その現状について以下のような課題が認識されるようになりました。

  1. 海外などの域外適用について、海外事業者に対する国内法の適用が不明確
  2. 二国間協力等の実効的な執行協力ができていない
  3. 保護水準が十分でない国に対してデータ移転を制限できていない
  4. 日本はEUから十分な個人情報保護レベルを満たしていると認定されていない

これらに対応するため、

日本国内の個人情報を取得した外国の個人情報取扱事業者についても、個人情報保護法を原則として適用することとし、個人情報保護法の適用範囲は、「国内にある者に対する物品又は役務の提供に関連してその者を本人とする個人情報を取得した個人情報取扱事業者が、外国において当該個人情報又は当該個人情報を用いて作成した匿名加工情報を取り扱う場合についても、適用する。」とされています。

また、個人情報保護委員会は、諸外国のそれぞれについて、個人情報の保護について、日本と同等水準の制度があるか認定し、未認定国については、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならないとしています。

その他、個人情報保護委員会は、日本の個人情報保護法に相当する外国の法令を執行するその外国の当局に対し、その職務の遂行に資すると認める情報の提供を行うことができることとされ、国際間の連携が図られるようになっています。

国際間の連携といえば、税金関係で言えば租税条約があります。

国際間の二重課税の回避、脱税及び租税回避等への対応や、租税に関する情報交換などを目的として、2016年6月1日現在で65条約、96か国・地域の租税条約ネットワークがあります。(財務省HPより)

既にあるのかどうかも判りませんが、個人情報に対する国際間連携として「個人情報条約」の締結ということもあるのかもしれません。

個人情報の利用目的

個人情報の取り扱いは、まず個人情報を取得することから始まります。

この個人情報を取得する時の基本的なルールですが

  1. あらかじめ利用目的をできる限り特定する
  2. 利用目的の範囲内で個人情報を取り扱う
  3. 個人情報は適正な方法で取得する
  4. 取得する際には利用目的の通知・公表等を行う

の4つになります。

利用目的の特定

法律には利用目的を「できる限り特定しなけらばならない。」と規定されています。また、利用目的を変更する場合には「変更前と関連性を有する範囲を超えてはならない。」とされています。
なお、利用目的の変更については、要件が緩和されています。以前「変更前の利用目的と相当の関連性を有する」という規定でしたが、このうち「相当の」の文言が削除されました。この「相当の」が示す範囲はどこまでなのか分かりませんが、変更可能な範囲が増えたのは間違いありません。

利用目的の範囲内での取り扱い

あらかじめ本人の同意を得なければ、利用目的の範囲を超えて個人情報を取り扱ってはならないとされています。

適正な方法で取得

不正な手段により個人情報を取得してはならないとされていると共に、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならないとされています。

利用目的の通知・公表等

利用目的に関して、あらかじめの公表や本人に対する明示、又は速やかに本人に通知・公表することが義務付けられています。
また、利用目的を変更した場合にも、本人に対する通知や公表が義務付けられています。

個人情報取扱事業者

改正によって「個人情報取扱事業者」の範囲も変更されています。

改正前では、その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6月以内のいずれの日においても5,000を超えない者は、個人情報取扱事業者から除かれていました。

しかし、今回の改正でこの除外規定が削除され、その結果、ほとんどの事業者が個人情報取扱事業者に該当することになりました。

この背景には、インターネットの急速な普及などにより、取り扱う個人情報に係る個人の数が少なくても個人の権利や利益を侵害する危険性が高まっているためとされています。

なお、この個人情報取扱事業者に該当するのは、情報処理やソフトウェア開発等をしている会社ばかりが対象ではなく

  • メールソフトのアドレス帳
  • 仕事で携帯電話の電話帳
  • ソフトウェア等でリスト化された従業者や顧客台帳
  • 五十音順に整理し、インデックスを付してファイルしている登録カード

などを業務に使っている会社は、個人情報取扱事業者に該当します。

また、個人情報取扱事業者は法人に限定されず、営利・非営利も問わないため、個人事業主やNPO・自治会等の非営利組織であっても該当します。

ガイドライン待ち

今回の改正で中小企業等が個人情報を保護する義務が生ずることは分かりましたが、具体的には何をすればよいのでしょうか。

経済産業省のパンフレットでは、各義務規定の具体的な履行方法は、事業規模や個人情報の利用の態様に応じた適切な方法であれば足りるとしており、個人情報保護委員会において、中小企業がとるべき措置をガイドライン等で明示する予定となっていますので、それを見ながらということになるのではないでしょうか。

改正個人情報保護法_概要

個人情報保護法が改正され2017年の9月には全面施行されます。

ほどんどの事業者がこの法律の適用対象となるため、税理士事務所を営む私も例外なく対象となります。

「知りませんでした」では通用しないので、自身が理解するためにも少しずつ勉強し、備忘録のつもりでアップしていこうと思います。

そもそも何がかわったのか?

「個人情報保護法の改正のポイント」としての扱いは、以下の通りでした。

  1. 定義の明確化等

    • 個人情報の定義の明確化(身体的特徴等が該当)
    • 要配慮個人情報(いわゆる機微情報)に関する規定の整備
    • 個人情報データベース等から権利利益を害するおそれが少ないものを除外
    • 取り扱う個人情報が5,000人分以下の事業者に対しても法を適用
  2. 適切な規律の下で個人情報等の有用性を確保

    • 利用目的の変更を可能とする規定の整備
    • 匿名加工情報に関する加工方法や取扱い等の規定の整備
    • 個人情報保護指針の作成や届出、公表等の規定の整備
  3. 個人情報の流通の適正さを確保

    • 本人同意を得ない第三者提供(オプトアウト規定)の届出、公表等厳格化
    • トレーサビリティの確保(第三者提供に係る確認及び記録の作成義務)
    • 不正な利益を図る目的による個人情報データベース等提供罪の新設
  4. 個人情報保護委員会の新設及びその権限

    • 個人情報保護委員会を新設し、現行の主務大臣の権限を一元化
  5. 個人情報の取扱いのグローバル化

    • 国境を越えた適用と外国執行当局への情報提供に関する規定の整備
    • 外国にある第三者への個人データの提供に関する規定の整備
  6. 請求権

    • 本人の開示、訂正等、利用停止等の求めは請求権であることを明確化

ざっと並べてみても、私たちにとっては「取り扱う個人情報が5,000人分以下の事業者に対しても法を適用」というのが、この法律の肝になりますね。

情報自体の取り扱いにについては、より明確に厳しくなっている印象を受けます。

また、グローバル化も視野に入っていますね。情報が国外のサーバーに保管されるなんてことは、今や日常なのでしょう。
保管場所が国外であるために、法律が適用できないといったことへの対策がされているのかもしれません。

次回から詳細を見ていきたいと思います。

新・個人情報

個人情報保護法の改正により「個人情報」の定義が変わり、より明確化されるようになりました。

個人情報

改正前の「個人情報」とは、

生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

とされていました。これが改正後では、改正前の定義に「個人識別符号が含まれるもの」が追加され類型化されることとなりました。

この「個人識別符号」とは、

  • 身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号
  • サービスの利用者や個人に発行される書類等に割り当てられた文字、番号、記号その他の符号

をいい、前者は指紋認識データや顔認識データ、後者は旅券番号や免許証番号が該当します。

要配慮個人情報

「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害の事実など、本人に差別や偏見などの不利益が生じないように、その取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいい、これが新たに定義されました。そしてこの要配慮個人情報は、本人同意を得ない取得を原則禁止し、本人の同意のない第三者提供の特例(オプトアウト規定)からも除外されています。

3つの概念

以上が「個人情報」となりますが、個人情報保護法では、保護が必要な情報を「個人情報」「個人データ」「保有個人データ」の3つの概念に分け、概念ごとに実施しなくてはならない義務が定めれられています。

個人データとは

個人情報のうち特定の個人情報を検索できるように体系的に構成したものをいい、いわゆるデータベースです。

保有個人データとは

個人データのうち開示、訂正、消去等の権限を有し、かつ、6ヶ月を超えて保有するものをいいます。

情報と義務

個人データや保有個人データは個人情報を元にしていますが、個人情報よりも個人データ、個人データよりも保有個人データの方が、守るべき義務の範囲が広がります。

イメージとしては以下の通りとなります。

  • 情報・・・・・・個人情報>個人データ>保有個人データ
  • 守るべき義務・・個人情報<個人データ<保有個人データ

個人情報保護法の改正

個人情報保護法の改正法が2015年9月に成立しました。

この改正法の正式名称は「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」といいます。正確を期すためとはいえ、いつもながら何とかならないものかと思います。

この改正法ですが、2016年1月に一部施行され、全面施行は成立から2年以内となっていますので、遅くとも2017年の9月には全面施行となります。
猶予期間を設けるので、しっかり対応してほしいという政府の考えがみてとれます。

改正法の内容は多岐にわたります。経済産業省で資料などをアップしていますが、そのうちの1つである「改正個人情報保護法の概要と中小企業の実務への影響(説明資料)」は60ページを超えるものでした。
そんなの読んでいる時間は・・・となりそうです。
とはいうものの全く知らないというわけにも行きませんので、少しずつでも勉強していくことになりそうです。

説明資料にもある通り今回の改正は「中小企業の実務に影響」してきます。

その主だったものは、これまで過去6ヶ月以内5,000人以下の個人情報しか取り扱っていなかった事業者は「個人情報取扱事業者」から除外され、法による義務はありませんでした。

しかし、今回の改正で法による義務かせられることになりました。

今まで関係ないと思っていた法律がいきなり適用されるようになりますので、制度の理解と具体的な対応を取らざるを得なくなりました。

大企業であれば、対応する資金と人材を確保することも容易ですが、中小企業となるとそうは行きません。
個人情報というとマイナンバーが矢面に立ち、こちらはあまり注目されていなかった感がありますが、影響の度合いはかなり大きいものに思えます。

さいたま市緑区の税理士 渡辺税務会計・KWAT

埼玉県さいたま市緑区東浦和1-8-18-303

営業時間 平日9:00~18:00

関東信越税理士会浦和支部所属

お問い合わせはこちらから

免責事項

当サイトに掲載する情報に関しまして、細心の注意、調査を行って掲載しておりますが、当サイトのすべてに関して、誤りや変更などに伴うくい違いが含まれる場合もございます。従いまして、これらの正確性および完全性を保証するものではありません。当サイトで公開している情報もしくは内容をご利用されたことで、利用者もしくは第三者の方が直接又は間接的に被害を生じた場合について、当人は一切責任を負うものではありません。