石田陽子 
こんにちは! ルシダスの文系サイドを担当するライター、石田です。
皆さん、個人情報ってずいぶん前に改正されたんですよ。
ご存じでした?
……そんな私自身も最近までよくわからず、「よっしゃ、個人情報保護法改正の内容をきちんと把握しよう!」と思い立って調べたことを、ブログ記事にして共有してみることにしました。
改正個人情報保護法は、平成29年5月30日から全面施行されます。
改正の本来の主旨は、ビッグデータ時代に向けてプライバシー保護もしっかりやりつつ、データをどんどん有用活用できるように法整備しよう、ということですから、マーケ的には大枠であっても把握しておきたいところです。
そのためのポイントを、いくつかピックアップしてみました。
改正ポイント1. 監督機関が変更
それまで、個人情報取扱業者の監督権限は各分野の主務大臣にありましたが、「個人情報保護委員会」という機関に一元化されました。
改正ポイント2.データベースの規模を問わずすべての業者が対象
それまで、取り扱う個人情報が5000件以下の小規模事業者は、個人情報保護法の対象から除外されていましたが、改正の全面施行をもって、データベースの規模にかかわらず、すべての事業者が対象となります。
ですので、利用条件の説明義務や安全管理、第三者に譲渡する際の規定など、もろもろのルールを遵守する義務が生じます。
改正ポイント3.個人情報の定義がより明確に
次の2つの定義に大きく分けられます。
1) 当該情報に含まれる氏名、生年月日その他の記述により、特定の個人を識別することができるもの
文書、図画もしくは電磁的記録で記載されたもの、あるいは音声や動作その他の方法を用いて表されるものが含まれます。
他の情報と容易に照合ができ、特定の個人を識別することができるもの、だそうです。
2) 個人識別符号が含まれるもの
- 身体の一部の特徴を電子計算機のために変換した符号(DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋など)
- サービス利用や書類において対象者ごとに割り振られる符号(旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証等)
改正ポイント4.名簿事業者への規制の強化
主に名簿事業者対策として(それ以外の事業者は個別の判断となる)、オプトアウトに関わる届け出や公表等が厳格化されました。
このため、利用目的や第三者提供する個人データの項目などの詳細を、所定の様式で個人保護委員会に提出する義務が生じました。
また、個人情報の中でも「要配慮個人情報」と呼ばれるもの(人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害歴、等)にオプトアウトは適用されなくなります。
改正ポイント5.外国の第三者に譲渡する場合の規定
「あらかじめ本人の同意を得ている」「外国の第三者が自国での個人保護基準に適合する体制を整備している」「外国の第三者が、個人保護委員会が認めた国に所在する」のいずれかに該当する必要があります。
さらに、該当する外国の第三者が、適切かつ合理的な方法(例:委託契約やグループ企業の内規・プライバシーポリシー等)により、個人情報保護法の趣旨に沿った措置を講じている、などの条件が課せられます。
改正ポイント6. 匿名加工情報の利用規定を新設
ビッグデータ時代を見据えた対応です。
匿名加工情報(特定の個人を識別できないよう情報を加工して、復元できないようにした情報)の利活用の規定が新設されました。
匿名加工情報の作成方法としては「特定の個人を識別することができる記述等(例:氏名)の全部または一部を削除すること」「個人識別符号の全部を削除すること」など、最低限の規定が設けられています。
不安な場合は法律家に相談を
以上、いろいろと改正があったわけですが、今後、それらを自社のビジネスに適用することになった場合、判断しづらいケースも出てくるかと思います。
そんなときはルシダスにでもご相談いただければ、施策面でのアイディア出し、あるいは戦略面でのご提案は可能です。
……が、法の正確な解釈や適用をめぐる疑問点はやはり、貴社の法務担当者や、顧問弁護士など外部の法律家にご相談いただいた方がよいでしょう。
以上、ご参考になりましたら幸いです。
メルマガ登録
マーケターやマーケティングにご興味のある方へ。些細なことから「おっ」と思う注目の事柄まで、読んでお得な情報をメールで配信中!気になる方は今すぐご登録を!