改正個人情報保護法のポイントと実務への影響(2017年4月17日)

改正個人情報保護法のポイントと実務への影響

弁護士　田中　敦

1　はじめに
本年5月30日から、いよいよ改正個人情報保護法（以下「改正法」といいます）が全面施行されます。改正法には、従来の5000件要件の撤廃のみならず、数多くの重要な改正点が含まれます。
改正法には、2つの重要なポイントがあります。1つは、大手通信教育事業者の大規模な漏えい事件等を背景として、個人情報の保護を大幅に強化していることです。もう1つは、ビッグデータ等の利活用へのニーズの高まりを受け、個人情報を加工して作成された匿名データ等の利活用の促進が図られています。
以下では、主な改正点をご紹介し、事業者に求められる改正法への対応について簡単に述べます。
2．個人情報の保護の強化
（1）個人情報に関する定義の新設
改正法では、個人情報の類型として「、個人識別符号」と「要配慮個人情報」が新たに定義されました（改正法2条2項、同条3項）。
個人識別符号は、遺伝子情報、指紋、住民票コード、旅券番号等、当該情報単体から特定の個人を識別し得る情報をいい、個人識別符号を含む情報は常に改正法上の個人情報として取り扱われます。
要配慮個人情報は、人種、信条、病歴、犯罪歴等、その取り扱いに特に配慮を要する情報を含む個人情報をいいます。要配慮個人情報を取得し又は第三者へ提供するには、その都度本人の同意を得る必要があり、オプトアウトによる第三者提供は認められません（改正法17条2項、23条2項）。
これらの定義の新設により、各事業者には、保有する個人情報の性質に従って、
それぞれ適切な管理を行うことが求められます。

（2）トレーサビリティ確保の義務
前述の大手通信教育事業者の漏えい事件では、大量の個人情報が、本人の知らない間に、名簿業者を通じて社会に流通していたことが大きな問題となりました。
これを受け、改正法では、トレーサビリティ確保のために、個人データ（個人情報データベース等を構成する個人情報）の第三者提供にあたり、提供者、受領者双方へ、第三者提供にかかる一定事項の記録の作成・保存義務が定められました。
個人データを第三者へ提供した場合、提供者は、速やかに、提供年月日、当該第三者の氏名や住所等の記録を作成し、一定期間保存しなければなりません（改正法25条1項、同条2項）。また、第三者から個人データの提供を受けた場合も、受領者は、速やかに、当該第三者の氏名や住所等、個人データ取得の経緯を確認したうえ、それら事項と提供年月日の記録を作成して保存する必要があります（改正法26条1項、同条3項、同条4項）。

（3）オプトアウト規定の厳格化
前述の大手通信教育事業者の漏えい事件では、オプトアウトによる第三者提供の手続が形骸化し、自己の個人情報が名簿業者により第三者提供されていたことを多くの本人が認識していなかったことも問題視されました。
このため、改正法では、本人による関与を確保するために、オプトアウトによる第三者提供を行う個人情報取扱事業者は、従前のオプトアウトの要件に加えて、提供される個人データの項目や本人の求めの受付方法等のオプトアウトに関する一定事項を、個人情報保護委員会へ届け出ることが義務付けられました（改正法23条2項）。
個人情報保護委員会は、本人が容易に知り得るよう、各事業者から届け出られた事項をウェブサイトで公表することとなります（同条4項）。

（4）データベース等提供罪の新設
改正法では、違法な個人情報の提供を未然に防止するため、データベース等提供罪が新設されました（改正法83条）。個人情報取扱事業者やその従業員等が、業務に関して取り扱った個人情報データベース等を自己もしくは第三者の不正な利益を図る目的で提供し又は盗用したときは、1年以下の懲役又は50万円以下の罰金に処されます。
今後、故意による個人情報の不正流出事件が生じた場合には、違反行為者にはデータベース等提供罪が適用され、刑事罰が科されるおそれが大きいと考えます。
3．個人情報を利用して作成されたデータの利活用
改正法で定義が新設された「匿名加工情報」とは、個人情報の一部の記述等を削除することで、特定の個人を識別できないよう加工された情報をいいます（改正法2条9項）。
匿名加工情報を取り扱う事業者は、本人の同意を得ることなく、匿名加工情報データベース等を第三者へ提供することができます。
もっとも、匿名加工情報は、個人情報そのものよりも危険性が低いとはいえ、元の個人情報への復元等により本人の利益を害するおそれがないとはいえません。そのため、匿名加工情報を作成し又は第三者提供する事業者には、加工方法の漏えい防止のための安全管理、匿名加工情報に含まれる個人に関する情報の項目の公表義務等、本人への配慮のための一定の義務が課されます（改正法36 条各項、37 条）。
改正法により、匿名加工情報に該当する情報は本人の同意なく第三者提供できることが明確化され、個人情報を加工して作成されたビッグデータの利活用が促進されることが期待されています。他方で、匿名加工情報を利用する事業者には、不十分な加工により本人が特定されてしまう事態等が生じないよう、改正法が定める義務を十分に理解し、遵守することが求められています。