2017/11/15 改正個人情報保護法の概要
弁護士 55期 齊 藤 潤一郎
1 2005年に制定された個人情報の保護に関する法律(個人情報保護法)が改正され、2017年5月30日より施行されました。本記事をご覧いただいている時点では、既に改正法対応済みの事業者の方も多いと思いますが、改正法の内容について重要と思われる点を中心に紹介したいと思います。
1) 個人情報取扱事業者の範囲の変更
個人情報保護法の適用のある「個人情報取扱事業者」とは、「個人情報データベース等を事業の用に供している者」と定義されるところ、改正前は個人情報データベース等を構成する個人情報に係る個人の数が5000人を超えない者が除外されていました。この点、改正法においては当該除外規定がなくなります。よって、小規模な事業者であっても個人情報保護法の適用があることになりました。
ちなみに、「個人情報データベース等」とは、個人情報を含む情報の集合物で、特定の個人情報が検索可能なように体系的に構成されたものとされており、メールアドレス帳、従業員がパソコンを用いて名刺情報を整理した電子ファイル、50音順に並べられた顧客名簿などが該当します。小規模な企業であっても、このような顧客名簿や従業員名簿等を使用していることが一般的と思われますので、改正法により、事業者でありながら個人情報保護法の適用がないケースというのはかなり稀になると思われます。
個人情報保護法に違反した場合には、個人情報保護委員会による勧告、命令の対象となり、命令に違反した場合には罰則の適用もあり得るので、これまで適用対象外であった事業者も個人情報保護法に係る一定の対応が必要となります。
2) 個人データを第三者に提供する場合、第三者から提供を受ける場合の記録作成義務
個人データを第三者に提供するに際しては、原則として本人の同意が必要であり、逆に本人の同意があれば特別な手続を要せずに当該個人データの提供及び受領をすることが可能でしたが、改正法によって提供する側及び受取り側に記録の作成が義務付けられました。
ただし、法第23条第1項各号に規定される場合、法第23条第5項の委託や合併、共同利用に伴い第三者提供される場合は除外されており、また、当該第三者提供が本人に代わってなされている場合は記録作成義務の対象外とされています。上記の対象外とされる場面に該当するか否か、どのような場面であれば「本人に代わって」といえるのか等は、評価的な判断が必要な部分もあり、具体的なケースで記録作成が必要か否かの判断に悩むこともあると思われます。
3) 要配慮個人情報に関する規定の新設
個人情報を取得する場合、利用目的の公表等の手続は必要であっても、取得に係る本人の同意までは必要ありませんでした。改正法においては、「要配慮個人情報」を取得するにあたっては、本人の同意が必要とされています。「要配慮個人情報」には、心身の機能障害、健康診断結果、刑事事件手続が行われた事実など、不当な差別や偏見が生じないために配慮が必要な情報(いわゆるセンシティブ情報)が該当しますが、当該規定の適用に関しても、「要配慮個人情報」該当性のほか、何をもって「取得」と考えるかなど、評価的な判断を要する事項もあるので、判断が難しいケースに遭遇することもあるかもしれません。
2 以上、個人情報保護法の改正点のうち重要と思われる点をピックアップしましたが、改正点はこれだけではないので、詳細については、個人情報保護委員会のガイドラインその他をご参照ください。また、個人情報保護法関係の相談に対応していると、法令が求める趣旨と乖離した過度な対応をしている場面に多く遭遇しますし、逆に、個人情報の第三者提供の場面について何でも「委託」で説明を付けているなど、杜撰な対応になっている場面を見かけることもあります。個人情報保護法の対応に関して、常識的な観点から考えて何かおかしい、何か違和感があると感じる場合には、前提となる法令の趣旨や適用・解釈を勘違いしている場合もありますので、適宜ご相談いただくことをお勧めします。