fbpx

情報セキュリティにまつわる
お役立ち情報を発信

改正個人情報保護法の法的ポイントを整理しておきましょう【Pマークの基礎知識】

30_1

古端です。

本年からスタートし、いよいよ5月30日に全面施行が決定した「改正個人情報保護法」にですが、近頃はいろいろな書物が出版されておりますが、どれも難しい表現が多くわかりずらいというお声を一部のお客さまからお聞きしました。

全体ではとてつもない量の法律文章なので、主な改正点を中心に法的なポイントを整理しておきたいと思います。

Pマークの取得に関する基礎知識として解説させていただきます。

一、そもそも「個人情報」の定義とは?

生存する個人に対する情報であって、氏名、生年月日等により特定の個人を識別することが出来るもの(他の情報と照合することによって特定の個人を識別できるものも含む)をいいます。

改正個人情報保護法(以下 改正法)では、更に「個人識別符号」が含まれるものも個人情報であるとされております。(改正法2条1項)。

個人識別符号とは、①身体の一部の特徴に関するデータ、及び②個人が一定のサービスを利用したり商品を購入したり、何らかの書類の発行を受ける際にその個人を識別できるように割あてられる固有名詞や名称をいいます(改正法2条2項)。

①の例としては指紋データや顔認識データなどの生態系の認証情報データで、②の例としてはパスポートや運転免許証の番号、住基カードの番号などです。

また改正法では、特定の個人を識別することが出来ないように個人情報を加工して得られる個人の情報であって当該個人情報を復元することが出来ないようにしたものを「匿名加工情報」として新たに定義し、本人の同意なく目的外利用や第三者提供を可能とする枠組みを導入しました(改正法2条9項)。

ただし、匿名加工情報の作成や第三者提供については、一定の基準に従う必要があり、その取扱いについては様々な義務が規定されております(改正法36~39条)。

二、個人情報保護法とは?

個人情報保護法は、個人情報データベース等(個人情報の集合体であって、特定の個人情報が体系的に構成されて容易に検索できるようになっているもの)を事業の為に利用している事業社(個人情報取扱事業者)を規制している法律です。

三、では、その「個人情報取扱事業者」の義務って?

①利用目的を特定すべき義務(15条)、目的外利用の制限(16条)、利用目的の通知・公表(18条)については、改正法でも基本的な変更はない為、ここで詳しくは省略します。

②不正取得の禁止(17条)
個人情報取扱事業者は、本人を騙したり、脅迫したりして個人情報を取得してはならない事はもちろん、利用目的を偽って個人情報を取得することも許されておりません。
そして改正法では、本人の人種、信条、社会的身分、病歴、前科、前歴、犯罪被害の事実など、不当な差別・偏見などが生じないように配慮を要する情報を特に「要配慮個人情報」として規定し、事前の本人の同意なく得ることなく取得すること自体が原則として禁止されています(改正法2条3項、17条2項)。

③正確性確保(19条)
上記①及び②の義務は、個人情報一般に関する義務ですが、以下は「個人データ」に関する義務です。
個人データとは、個人情報データベース等に含まれている個人情報であって、容易に検索できるように構成されているものを指します。
個人情報取扱事業者は、その利用目的の達成に必要な範囲内で、個人データを正確且つ最新の内容に保つ必要があります。
改正法では、更に利用の必要がなくなった個人データについて遅延なく消去するよう努めなければならない旨が新たに明記されました(改正法19条)。
尚、安全管理処置に関する義務(改正法20~22条)は、元の保護法から何ら変わりはありません。

④第三者提供の制限(改正法23条)
個人情報取扱事業者は、本人の事前の同意なく、第三者に対して「個人データ」を提供する事(つまり第三者提供)が禁止されております。
改正法では、更に第三者提供をした時は、提供した年月日、当該第三者の氏名又は名称等に関する記録を作成し、その記録を一定の期間保管しなければなりません(改正法25条)。

四、監督、罰則などは何がある?

①改正法では、内閣府の外局として「個人情報保護委員会」が新たに新設され、従来の主務大臣の権限を集約し、監督の一元化が図られます(改正法59~74条)。
同委員会は、個人情報取扱事業者に対し、必要な報告や資料の提出を求め、または、当該事業者の事務所その他必要な場所に立ち入り、質問や検査をする権限を有します(改正法40条)。
この立ち入り検査の権限は、従来の主務大臣には無かったものです。
上記の報告、資料提出を拒んだり、偽ったりした場合は30万円以下の罰金に処せられます。

②また、従来の主務大臣による勧告、中止その他の是正命令についても、個人情報保護委員会がその権限を有することになります(改正法42条)。
個人情報保護委員会の命令に違反した場合は、6月以下の懲役または30万円以下の罰金に処せられます(改正法84条)。

③改正法では新たに、情報漏洩に係った内部行為者について、罰則規定が設けられました。
事業者または従業員(元従業員を含む)が、その業務に関して取り扱った個人情報データベース等を、自己もしくは第三者の不正な利益を得る目的絵提供し、または盗用した時は、1年以下の懲役または50万円以下の罰金に処せられます(改正法83条)。

以上です

まとめ

いかがでしたでしょうか。

Pマークの取得に関する基礎知識として解説させていただきました。

他にも細かい改正点や元々あった条文でも個人情報保護委員会が出来たことで重要になった部分は多々ありますが、とりあえずは上記を押さえておけば“とりあえずは”良いのでは思います。

また、個人情報取扱事業者が従来の「5000件以上の個人情報を扱う事業者」から「1件以上」になったことで、つまりは全ての事業者が個人上取扱事業者になることもお忘れなく!

 

・こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る