改正個人情報保護法

【はじめに】

個人の権利利益を保護することを目的として、平成１７年４月に施行された個人情報保護法が改正され、平成２９年５月３０日に全面施行されました。

ここでは、平成２９年５月３０日に全面施行された「改正個人情報保護法」について、

どのような点が改正されたのか、お客様への影響などにポイントを絞って説明します。

※個人情報保護法についての詳細は、以下の個人情報保護委員会のホームページをご参照願います。

・個人情報保護委員会ＨＰ https://www.ppc.go.jp/personalinfo/

４. 改正個人情報保護法

43 （１）改正内容のポイント１．適用対象の拡大

２．「要配慮個人情報」という概念の新設

３．個人情報の定義の変更（「個人識別符号」の追加）

４．開示等に関する請求権の明示５．罰則の強化

６．個人情報の消去に関する努力義務の追加７．「認定個人情報保護団体」の権限強化

８．監督主体の変更（「個人情報保護委員会」への統一）

４. 改正個人情報保護法

１．適用対象の拡大

従来、過去6か月以内の個人情報の取扱件数が5,000件に満たない場合、その事業者は法律の適用対象外でした。しかし、今回の改正によりその条文が削除されたため、個人情報を1件でも取り扱う場合、漏れなく個人情報取扱事業者となり、法律が適用されることとなります。

なお、中小規模事業者についてはガイドライン上で特例的に緩和された安全管理措置の手法が示されていますが、マイナンバー法と同じく「委託を受けて個人データを取り扱う者」は中小規模事業者にあたらないとされており、委託を受けて業務を行っている会計事務所は該当しません。

４. 改正個人情報保護法

45 ２．「要配慮個人情報」という概念の新設

従来の個人情報保護法では、個人情報の種類に応じた個別の取り扱いルールは規定されておらず、

全て一律でした。しかし、その種類によっては差別や偏見を生じさせる恐れがあることから、

今回その一部を「要配慮個人情報」として定義し、取り扱いについて本人が関与できるような特別なルールを設けることとなりました。

具体的には、取得にあたって原則として本人の同意が必要であること等が規定されています。

会計事務所の業務に関して言うと、顧問先から取得する医療費の明細書の内容（病院等を受診したという事実及び薬局等で調剤を受けたという事実）が「要配慮個人情報」に該当することが、個人情報保護委員会のQ&Aに明言されています。

◇「要配慮個人情報」とは

・人種、信条、社会的身分、病歴、前科、犯罪被害情報

・その他本人に対する不当な差別、偏見が生じないように特に配慮を要するものとして政令で定めるもの。

○身体障害・知的障害・精神障害等があること

○健康診断その他の検査の結果、保健指導、診療、調剤情報

４. 改正個人情報保護法

３．個人情報の定義の変更（「個人識別符号」の追加）

個人情報の定義として、新たに「個人識別符号」が追加されました。この「個人識別符号」は単体で個人情報として取り扱われ、従来の個人情報と同一の管理が求められることとなります。

パスポート番号、運転免許証をはじめとする公的番号が記載された書類のコピーを顧問先等から証跡として収集し、保管している場合は注意が必要です。今後は名称等との組み合わせではなく、

公的番号それ単体で個人情報と見なされますので、仮にそれ以外の部分がマスキングされていても、

名称等が記載されている書類と同様の安全管理措置を講じて取り扱うようにしましょう。

◇「個人識別符号」とは、

○特定の個人の身体の一部の特徴を認証用途に変換した情報例：指紋認証データ、顔認証データ

○個人に割り当てられた公的番号

例：旅券番号、運転免許証番号、マイナンバー

４. 改正個人情報保護法

４．開示等に関する請求権の明示

従来個人情報の本人による情報開示、訂正、利用停止等の「求め」とされていた文言が「請求」に変更され、請求権が明示されたことで、より強い法的拘束力を持つようになりました。

さらに、その対応期限は従来具体的に定められていませんでしたが、今回の改正により、２週間以内と明示されています。

２週間以内に対応できなかった場合、訴訟に発展するリスクがありますので、迅速に対応できるよう、

日頃から個人情報を検索可能な状態で管理するよう徹底しましょう。

なお、利用停止等（停止または消去）の請求は法律に反する取得・利用が行われた場合のみ有効であるため、適切に取得・利用している限りにおいて、法律上その対応は不要です。

４. 改正個人情報保護法

５．罰則の強化

「個人情報データベース等提供罪」が新たに創設され、個人情報データベース等（※）を自己もしくは第三者の不正な利益を図る目的で提供、または盗用した場合の罰則が規定されました。

○国からの命令に違反した場合 ⇒ ６ケ月以下の懲役又は３０万円以下の罰金

○虚偽の報告等をした場合 ⇒ ３０万円以下の罰金

○従業員等が不正な利益を図る目的で個人情報データベース等を提供、又は、盗用した場合 ⇒ １年以下の懲役又は５０万円以下の罰金（☆従業員等を雇用している事業者にも罰金）

※「個人情報データベース等」とは

名簿のように個人情報を含む情報の集合物であって、電子媒体・紙媒体を問わず、特定の個人情報を検索することができるように体系的に構成したもの。

尚、所得税確定申告書等を作成するためのシステムに個人情報を保存して利用するなど、個人情報データベース等を事業の用に供していると考えられるため、一般的には、税理士は個人情報取扱事業者に該当すると考えられます。

４. 改正個人情報保護法

49 ７．「認定個人情報保護団体」の権限強化

「認定個人情報保護団体」とは、個人情報の適切な取り扱いの確保を目的として、事業者の指導等を担う国の認定を受けた民間団体です。本団体は様々な業界毎に存在しており、業界の特性に応じた具体的な個人情報の取り扱い方法を定めた「個人情報保護指針」を作成することとされています。

所属する個人情報取扱事業者は、個人情報保護法に加え、その指針を遵守する必要があります。

平成29年5月時点で税に関する個人情報保護団体は存在しませんが、今後の動向を注視しておくことが重要です。

６．個人情報の消去に関する努力義務の追加

従来の個人情報保護法の中では個人情報の消去の義務については明記されていませんでしたが、

利用する必要がなくなった時は遅滞なく消去するよう努めなければならないという努力義務が明記されました。

万が一漏えいした場合の被害を最小化するためにも、利用目的毎にしっかりと管理することが、

自社および大切なクライアントにとってのリスクヘッジとなります。また、消去にあたっては、

復元不可能な方法で処理することが重要です。

４. 改正個人情報保護法

８．監督主体の変更（「個人情報保護委員会」への統一）

従来個人情報管理の監督主体は各省庁の大臣（主務大臣）に任命されており、事業分野毎に異なるガイドラインが38種類も存在するという大変複雑な体制になっていました。

しかし、今回の改正によってその主体が「個人情報保護委員会」に統一され、共通のガイドラインが作成されたため、事業者にとってシンプルで分かりやすい体制になったと言えます。

さらに、本変更に合わせて平成28年1月より、「特定個人情報保護委員会」も「個人情報保護委員会」に改組されました。今後は、マイナンバーも含め個人情報の取り扱いに関しては、全て「個人情報保護委員会」のホームページで確認することができるようになります。

※個人情報保護委員会事務局の個人情報保護法の基本より抜粋

４. 改正個人情報保護法

（２）達人シリーズでの対応

ドキュメント内「法人税の達人」操作研修会 (ページ 41-51)

【はじめに】

個人の権利利益を保護することを目的として、平成１７年４月に施行された個人情報 保護法が改正され、平成２９年５月３０日に全面施行されました。

ここでは、平成２９年５月３０日に全面施行された「改正個人情報保護法」について、

どのような点が改正されたのか、お客様への影響などにポイントを絞って説明します。

※個人情報保護法についての詳細は、以下の個人情報保護委員会のホームページを ご参照願います。

・個人情報保護委員会ＨＰ https://www.ppc.go.jp/personalinfo/

４. 改正個人情報保護法

43

（１）改正内容のポイント １．適用対象の拡大

２．「要配慮個人情報」という概念の新設

３．個人情報の定義の変更（「個人識別符号」の追加）

４．開示等に関する請求権の明示 ５．罰則の強化

６．個人情報の消去に関する努力義務の追加 ７．「認定個人情報保護団体」の権限強化

８．監督主体の変更（「個人情報保護委員会」への統一）

４. 改正個人情報保護法

１．適用対象の拡大

４. 改正個人情報保護法

45

２．「要配慮個人情報」という概念の新設

従来の個人情報保護法では、個人情報の種類に応じた個別の取り扱いルールは規定されておらず、

全て一律でした。しかし、その種類によっては差別や偏見を生じさせる恐れがあることから、

今回その一部を「要配慮個人情報」として定義し、取り扱いについて本人が関与できるような特別 なルールを設けることとなりました。

具体的には、取得にあたって原則として本人の同意が必要であること等が規定されています。

◇「要配慮個人情報」とは

・人種、信条、社会的身分、病歴、前科、犯罪被害情報

・その他本人に対する不当な差別、偏見が生じないように特に配慮を要するものとして政令で 定めるもの。

○身体障害・知的障害・精神障害等があること

○健康診断その他の検査の結果、保健指導、診療、調剤情報

４. 改正個人情報保護法

３．個人情報の定義の変更（「個人識別符号」の追加）

個人情報の定義として、新たに「個人識別符号」が追加されました。この「個人識別符号」は 単体で個人情報として取り扱われ、従来の個人情報と同一の管理が求められることとなります。

パスポート番号、運転免許証をはじめとする公的番号が記載された書類のコピーを顧問先等から 証跡として収集し、保管している場合は注意が必要です。今後は名称等との組み合わせではなく、

公的番号それ単体で個人情報と見なされますので、仮にそれ以外の部分がマスキングされていても、

名称等が記載されている書類と同様の安全管理措置を講じて取り扱うようにしましょう。

◇「個人識別符号」とは、

○特定の個人の身体の一部の特徴を認証用途に変換した情報 例：指紋認証データ、顔認証データ

○個人に割り当てられた公的番号

例：旅券番号、運転免許証番号、マイナンバー

４. 改正個人情報保護法

４．開示等に関する請求権の明示

従来個人情報の本人による情報開示、訂正、利用停止等の「求め」とされていた文言が「請求」に 変更され、請求権が明示されたことで、より強い法的拘束力を持つようになりました。

さらに、その対応期限は従来具体的に定められていませんでしたが、今回の改正により、２週間以 内と明示されています。

２週間以内に対応できなかった場合、訴訟に発展するリスクがありますので、迅速に対応できるよう、

日頃から個人情報を検索可能な状態で管理するよう徹底しましょう。

なお、利用停止等（停止または消去）の請求は法律に反する取得・利用が行われた場合のみ有効で あるため、適切に取得・利用している限りにおいて、法律上その対応は不要です。

４. 改正個人情報保護法

５．罰則の強化

「個人情報データベース等提供罪」が新たに創設され、個人情報データベース等（※）を自己 もしくは第三者の不正な利益を図る目的で提供、または盗用した場合の罰則が規定されました。

○国からの命令に違反した場合 ⇒ ６ケ月以下の懲役又は３０万円以下の罰金

○虚偽の報告等をした場合 ⇒ ３０万円以下の罰金

○従業員等が不正な利益を図る目的で個人情報データベース等を提供、又は、盗用した場合 ⇒ １年以下の懲役又は５０万円以下の罰金（☆従業員等を雇用している事業者にも罰金）

※「個人情報データベース等」とは

名簿のように個人情報を含む情報の集合物であって、電子媒体・紙媒体を問わず、特定の個人情報 を検索することができるように体系的に構成したもの。

４. 改正個人情報保護法

49

７．「認定個人情報保護団体」の権限強化

所属する個人情報取扱事業者は、個人情報保護法に加え、その指針を遵守する必要があります。

平成29年5月時点で税に関する個人情報保護団体は存在しませんが、今後の動向を注視しておく ことが重要です。

６．個人情報の消去に関する努力義務の追加

従来の個人情報保護法の中では個人情報の消去の義務については明記されていませんでしたが、

利用する必要がなくなった時は遅滞なく消去するよう努めなければならないという努力義務が 明記されました。

万が一漏えいした場合の被害を最小化するためにも、利用目的毎にしっかりと管理することが、

自社および大切なクライアントにとってのリスクヘッジとなります。また、消去にあたっては、

復元不可能な方法で処理することが重要です。

４. 改正個人情報保護法

８．監督主体の変更（「個人情報保護委員会」への統一）

従来個人情報管理の監督主体は各省庁の大臣（主務大臣）に任命されており、事業分野毎に異なる ガイドラインが38種類も存在するという大変複雑な体制になっていました。

しかし、今回の改正によってその主体が「個人情報保護委員会」に統一され、共通のガイドライン が作成されたため、事業者にとってシンプルで分かりやすい体制になったと言えます。

４. 改正個人情報保護法

（２）達人シリーズでの対応

個人の権利利益を保護することを目的として、平成１７年４月に施行された個人情報保護法が改正され、平成２９年５月３０日に全面施行されました。

※個人情報保護法についての詳細は、以下の個人情報保護委員会のホームページをご参照願います。

（１）改正内容のポイント１．適用対象の拡大

４．開示等に関する請求権の明示５．罰則の強化

６．個人情報の消去に関する努力義務の追加７．「認定個人情報保護団体」の権限強化

今回その一部を「要配慮個人情報」として定義し、取り扱いについて本人が関与できるような特別なルールを設けることとなりました。

・その他本人に対する不当な差別、偏見が生じないように特に配慮を要するものとして政令で定めるもの。

個人情報の定義として、新たに「個人識別符号」が追加されました。この「個人識別符号」は単体で個人情報として取り扱われ、従来の個人情報と同一の管理が求められることとなります。

パスポート番号、運転免許証をはじめとする公的番号が記載された書類のコピーを顧問先等から証跡として収集し、保管している場合は注意が必要です。今後は名称等との組み合わせではなく、

○特定の個人の身体の一部の特徴を認証用途に変換した情報例：指紋認証データ、顔認証データ

従来個人情報の本人による情報開示、訂正、利用停止等の「求め」とされていた文言が「請求」に変更され、請求権が明示されたことで、より強い法的拘束力を持つようになりました。

さらに、その対応期限は従来具体的に定められていませんでしたが、今回の改正により、２週間以内と明示されています。

なお、利用停止等（停止または消去）の請求は法律に反する取得・利用が行われた場合のみ有効であるため、適切に取得・利用している限りにおいて、法律上その対応は不要です。

「個人情報データベース等提供罪」が新たに創設され、個人情報データベース等（※）を自己もしくは第三者の不正な利益を図る目的で提供、または盗用した場合の罰則が規定されました。

名簿のように個人情報を含む情報の集合物であって、電子媒体・紙媒体を問わず、特定の個人情報を検索することができるように体系的に構成したもの。

平成29年5月時点で税に関する個人情報保護団体は存在しませんが、今後の動向を注視しておくことが重要です。

利用する必要がなくなった時は遅滞なく消去するよう努めなければならないという努力義務が明記されました。

従来個人情報管理の監督主体は各省庁の大臣（主務大臣）に任命されており、事業分野毎に異なるガイドラインが38種類も存在するという大変複雑な体制になっていました。

しかし、今回の改正によってその主体が「個人情報保護委員会」に統一され、共通のガイドラインが作成されたため、事業者にとってシンプルで分かりやすい体制になったと言えます。