改正個人情報保護法のポイントは？ Pマークにおける注意点は？ その1

5月30日に改正個人情報保護法が全面施行されました。プライバシーマーク（Pマーク）を取得済みかどうかにかかわりなく事業で取得した個人情報の適正な管理に取り組んでいる会社は今回の改正法の施行に注目しているに違いありません。

改正個人情報保護法とは平成17年4月に施行された個人情報保護法を昨今の社会環境や情報技術の進展に合わせて改正したもので、今からおよそ2年前の平成27年9月に公布されました。

プライバシーマーク（Pマーク）の要求事項は個人情報保護法と密接に関連しているためプライバシーマーク（Pマーク）取得会社は特に個人情報保護法の改正点を把握している必要があります。

では今回と次回の記事で改正個人情報保護法のポイントを6つほど見ていくことにしましょう。

個人情報の定義が明確に　～個人識別符号～

従来の個人情報保護法は個人情報を「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などにより特定の個人を識別することができるもの」と定義していました。

改正後も個人情報の範囲は変わらないのですが、新たに「個人識別符号」という定義が加わりました。

個人識別符号とは以下の2つを指します。

一つ目は身体の一部をデータ化した符号で、具体的には顔認証データや指紋認証データ、虹彩、声紋、歩行の態様、手指の静脈などを個人を特定する情報としてデータ化したものなどです。

二つ目は役務の利用や書類において一人一人に割り振られる符号で、具体的には基礎年金番号、免許証番号、住民票コード、マイナンバーなどが挙げられます。

これらのデータはこれまで個人情報保護におけるグレーゾーンとなっていましたが、今回の改正により個人を特定できる個人情報として取り扱うべきものとされるようになりました。

個人情報の定義が明確に　～要配慮個人情報～

改正個人情報保護法によれば、「要配慮個人情報」とは人種、信条、病歴など本人に対する不当な差別または偏見が生じる可能性のある個人情報のことです。このような情報はそれ以外の個人情報よりも一層慎重に取得し、取り扱うべきことが今回の改正によって定められました。

具体的には要配慮個人情報を取得する際に本人の同意を得る必要があること、また本人の同意を得ない第三者提供の特例の禁止が改正法に盛り込まれています。

個人情報を取り扱うすべての事業者が対象に

“保有する個人情報の数が5,000以下の事業者”はこれまで個人情報保護法が適用されませんでしたが、今回の改正により個人情報を取り扱う”すべての事業者“が個人情報保護法の対象とされることになりました。

小さな会社であっても、あるいはほんの数件の顧客情報や従業員情報しか持っていない会社であっても、個人情報を業務で利用している限り個人情報保護法が適用されることになります。

まとめ

これまで個人情報保護法とはあまり縁のなかった企業様の中には今回の改正をきっかけに個人情報の取り扱いの見直しやプライバシーマーク（Pマーク）の取得を検討するところもあることでしょう。

ユーピーエフは改正個人情報保護法に対応した形でのプライバシーマーク（Pマーク）の取得や更新を全力でお手伝いいたします。まずはどうぞ一度お問い合わせください。
https://upfsecurity.co.jp/pmark/#contact_box

★こちらの記事もおすすめです！
→【シャレにならない新ルール（ＥＵの個人情報保護）【GDPRでISMS取得も有効な対策】】