個人情報に関する法制度が、ここにきてまた大きく変化しようとしています。
平成28年を迎え、大きな変化の一つであるマイナンバー制度の本格的な運用が開始されました。民間企業としても、マイナンバーの取扱いに十分留意すべきであることは、以前のコラムでも取り上げたところであります。
ついついマイナンバー制度に目を取られがちですが、平成27年9月3日、個人情報保護法等の改正法が成立し、間もなく施行を迎えようとしております(平成27年9月9日から、2年以内の政令で定める日)。
主な改正点は以下の通りです。
① 「個人情報」概念の明確化
改正法により、従来、グレーゾーンであったものが、明確に保護の対象となりました。例を挙げれば、「顔認証データ」等も、「個人識別符号」として、保護の対象になります。
また、「要配慮個人情報」の概念が新設され、個々人のプライバシーに大きくかかわる情報を、その本人の同意なく取り扱うことが原則禁じられます。
② 適正な規律の下での個人情報等の有用性を確保
個人情報を取り扱う事業者は、「匿名加工情報」に関して、本人の同意なく目的外利用や第三者提供することが可能となります。しかし、「匿名加工情報」に当たるからといって自由に取り扱って良いわけではなく、規則に従い、様々な手続を踏まなくてはならないことに注意が必要です。
③ 個人情報の流通の適正を確保
個人情報を取り扱う事業者が、第三者との間で個人データの授受を行う場合、データの項目等を個人情報保護委員会に届け出ることが義務づけられます。
また、授受に際しては提供者、受領者、データの取得経緯等を確認し、記録の上、一定期間保存しておく必要があります。
④ 個人情報保護委員会の新設
新設される個人情報保護委員会によって、個人情報を取り扱う事業者は必要な報告、資料の提出を求められ、あるいは、立入り検査を受ける場合が出てきます。
⑤ 各種請求権
改正法では、個人データの開示・訂正・利用停止等について、本人による裁判上の行使が可能な請求権とされます。
⑥ 小規模取扱事業者の除外規定の廃止
取り扱う個人情報が5000件以下の事業者につき、個人情報取扱業者から除外する旨の定めが廃止され、そのような事業者についても個人情報保護法の規制を受けることになります。
このように、改正点は多岐にわたりますが、個人情報保護の重要性がますます高まってきていることにより、個人情報を扱う民間企業の義務・責任が、さらに厳しいものとなっていることが看て取れます。
注目すべきは、小規模取扱事業者の除外規定が廃止されたことにより、個人情報の保有人数の少ない中小企業についても、個人情報保護法の規制が及ぶことになったことです。例えば、料理教室、手芸教室、個人経営塾など、多岐に渡る企業が、法規制の対象になり得るものといえます。
今日、個人情報保護がこれだけ声高に叫ばれている以上、企業が必要な対策を怠れば、企業イメージの失墜を招き、企業の存続に致命的なダメージを受けることが、容易に想定されます。
個人情報保護対策がまだまだ不十分であるとお考えであったり、ご不明な点等がありましたら、当事務所までお気軽にご相談下さい。