個人情報保護法の基本
個人情報保護委員会事務局
目次
1.はじめに
2.個人情報保護法とは?
3.改正個人情報保護法のポイント
4.個人情報とは?
5.事業者が守るべきルール
6.ビッグデータ時代への対応
7.お役立ち情報
1
1. はじめに
○平成29年5月30日から、
個人情報を取り扱うすべての事業者に
個人情報保護法が適用されます!
○改正個人情報保護法の全面施行後
(平成29年5月30日以降)の
取扱いについてご説明します。
2
○個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律
○基本理念を定めるほか、民間事業者の個人情報の取扱いについて規定
個人情報保護法の目的
第1条この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、 個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情 報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにす るとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適 正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実 現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護す ることを目的とする。
2.個人情報保護法とは
3
●改正のポイント●
1.個人情報保護委員会の新設
個人情報取扱事業者に対する監督権限を各分野の主務大臣から委員会に一元化。
2.個人情報の定義の明確化
①利活用に資するグレーゾーン解消のため、個人情報の定義に身体的特徴等が対象となることを明確化。
②要配慮個人情報(本人の人種、信条、病歴など本人に対する不当な差別又は偏見が生じる可能性のある個人情報)の 取得については、原則として本人同意を得ることを義務化。
3.個人情報の有用性を確保(利活用)するための整備
匿名加工情報(特定の個人を識別することができないように個人情報を加工した情報)の利活用の規定を新設。
4.いわゆる名簿屋対策
①個人データの第三者提供に係る確認記録作成等を義務化。(第三者から個人データの提供を受ける際、提供者の氏名、 個人データの取得経緯を確認した上、その内容の記録を作成し、一定期間保存することを義務付け、第三者に個人データ を提供した際も、提供年月日や提供先の氏名等の記録を作成・保存することを義務付ける。)
②個人情報データベース等を不正な利益を図る目的で第三者に提供し、又は盗用する行為を「個人情報データベース等不正 提供罪」として処罰の対象とする。
5.その他
①取り扱う個人情報の数が5000以下である事業者を規制の対象外とする制度を廃止。
②オプトアウト(※)規定を利用する個人情報取扱事業者は所要事項を委員会に届け出ることを義務化し、委員会はその 内容を公表。(※本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止する場合、本人の同意を得ることなく第三者に個人データを 提供することができる。)
③外国にある第三者への個人データの提供の制限、個人情報保護法の国外適用、個人情報保護委員会による外国執行当 局への情報提供に係る規定を新設。
○平成27年9月 改正個人情報保護法が成立(施行は平成29年5月30日)
3.改正個人情報保護法のポイント
4
○改正法の一部施行により、平成28年1月1日に個人情報保護委員会設置
○主務大臣が有している監督権限を改正法の全面施行時に個人情報保護委員会
へ一元化
◯◯省 ××省 △△省
A社 B社 C社
保護委員会個人情報
A社 B社 C社
改正前(主務大臣制) 改正法の全面施行後
民間事業者の監督体制
監督
重畳的な監督、所管省庁が不明確
といった課題 一元的な監督体制
監督 監督 監督 監督 監督
個人情報保護条例
(対象:地方公共団体等) 行政機関個人情報保護法
(対象:国の行政機関) 独立行政法人 個人情報保護法
(対象:独立行政法人等)
公的機関の監督体制*
※公的機関の監督体制は、 個人情報保護法の改正前後 で変更はない。
3.改正個人情報保護法のポイント
5
• ガイドラインでは、安全管理措置について、一般的な義務・手法例とは別に、小規模の 事業者においても履行し得るような手法例を示している。
※ガイドラインにおける「小規模の事業者」とは、
●従業員の数が100人以下の事業者であって、次に掲げる事業者を除く事業者
①取り扱う個人情報の数が5,000人分超の事業者
②委託に基づいて個人データを取り扱う事業者
※安全管理措置として求められる要素の例
「取扱の基本的なルールを決める」、「従業者を教育する」、
「関係者以外が個人データを見れないようにする(漏えい防止含む。)」、
「PC等を用いて利用する場合はセキュリティ対策ソフトウェア等を導入する」 等
○改正法により、取り扱う個人情報の数が5000以下である事業者を規制の対象
外とする制度を廃止
○一方で、改正法の附則において、個人情報保護委員会はガイドラインの策定に
当たって小規模事業者に配慮する旨を規定
3.改正個人情報保護法のポイント
6
個人情報の定義
【改正前】
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別する ことができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別 することができることとなるものを含む。)をいう。
【改正後】
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、 次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電 磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。 次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録 され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を 除く。)をいう。以下同じ。)により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができる こととなるものを含む。)
二 個人識別符号が含まれるもの
※青字:改正部分 下線:変更のない部分
4.個人情報とは
7
○改正法の内容
個人情報の定義の明確化を図るため、その情報単体でも個人情報に該当することとした
「個人識別符号」の定義を設けた。
「個人識別符号」は以下①②のいずれかに該当するものであり、政令・規則で個別に指定 される。
① 身体の一部の特徴を電子計算機のために変換した符号
⇒DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋
② サービス利用や書類において対象者ごとに割り振られる符号
⇒公的な番号
旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、 各種保険証等
※他の情報と容易に照合することで特定の個人を識別することができる情報は、 改正後も現行法と同様に個人情報に該当する。
4.個人情報とは
8
① 個人情報を取得・利用する時のルール
⇒個人情報を取得した場合は、その利用目的を本人に通知、又は公表すること
(あらかじめ利用目的を公表している場合を除く。)
② 個人情報を保管する時のルール
⇒情報の漏えい等が生じないように安全に管理すること
③ 個人情報を他人に渡す時のルール
⇒個人情報を本人以外の第三者に渡すときは、原則として、あらかじめ本人の
同意を得ること
④ 個人情報を外国にいる第三者に渡す時のルール
⑤ 本人から個人情報の開示を求められた時のルール
⇒本人からの請求に応じて、個人情報を開示、訂正、利用停止等すること
9
5.事業者が守るべきルール
10
どのような目的で個人情報を利用するのかについて、具体的に特定する。
特定した目的は、公表しておく。あらかじめ公表していない場合には、本人に
通知、又は公表する。
※個人情報を取得する際に利用目的が明らかであれば逐一相手に伝える必要はあり ません。
取得した個人情報は特定した利用目的の範囲内で利用する。
※商品を配送するためだけに取得したお客様の住所を使って自社の商品の宣伝はでき ません。
すでに取得した個人情報を他の目的で利用したい場合には、本人の同意を
得る。
要配慮個人情報を取得する時は、本人の同意が必要。
⇒詳細は次ページ参照
5.事業者が守るべきルール ① - 取得・利用
11
取得については、原則として事前に本人の同意を得る必要のある情報。
個人情報保護法の改正により新たに導入された定義。
次のいずれかに該当する情報を「要配慮個人情報」とし、一段高い規律とする。
・
人種、信条、社会的身分、病歴、前科、犯罪被害情報
・
その他本人に対する不当な差別、偏見が生じないように特に配慮を要するものと
して政令で定めるもの
◯
身体障害・知的障害・精神障害等があること
◯
健康診断その他の検査の結果
◯
保健指導、診療・調剤情報
◯
本人を被疑者又は被告人として、逮捕、捜索等の刑事事件に関する手続
が行われたこと
◯
本人を非行少年又はその疑いのある者として、保護処分等の少年の保護
事件に関する手続が行われたこと
~ 要配慮個人情報とは ~
安全に管理するための措置をとる。
・紙の顧客台帳はカギのかかる引き出しで保管
・パソコン上の顧客台帳にはパスワードを設定
・顧客台帳を管理するパソコンにウィルス対策ソフトを入れる
など
正確で最新の内容に保ち、必要がなくなったときはデータを消去するよう努める。
従業員に対して、必要かつ適切な監督を行う。
・従業員が会社で保有する個人情報を私的に使ったり、言いふらしたりしないよう、
社員教育を行う
個人情報の取扱いを委託する場合、委託先に対して必要かつ適切な監督を
行う。
12
5.事業者が守るべきルール ② - 安全管理
個人情報を第三者に提供する時は、原則として本人の同意が必要。
例外:①法令に基づく場合
②人の生命、身体又は財産の保護のため(かつ本人の同意を得ることが困難)
③公衆衛生・児童の健全な育成のため(かつ本人の同意を得ることが困難)
④国や地方公共団体等への協力
本人の同意を得ない場合には、以下(1)~(3)の手続をする(いわゆるオプトアウト手 続)。ただし、要配慮個人情報については、この手続による提供は禁止。
(1)本人の求めに応じて、その本人のデータの提供を停止することとする。
(2)以下の①~⑤をHPに掲載するなど、本人が容易に知ることができる状態にしておく。
①第三者提供を利用目的としていること、②提供される個人データの項目、③提供の方 法、④本人の求めに応じて提供を停止すること、⑤本人の求めを受け付ける方法
(3)本人に通知した事項を個人情報保護委員会に届け出る(個人情報保護委員会 はこれを公表する。)。
業務の委託、事業の承継、共同利用は、第三者提供には当たらない。
第三者へ提供した時は、受領者の氏名等を記録し、一定期間保存する。
第三者から個人データを受け取るときは、提供者の氏名等、取得経緯を確認し、受領年月 日、確認した事項等を記録し、一定期間保存する。
⇒詳細は次ページ参照 13
5.事業者が守るべきルール ③ - 他人に渡す場合
記録義務に関する委員会規則の内容
本規定は名簿屋対策が目的のため、一般的なビジネスの実態に配慮して次
のとおり整理する。
◯記録事項として、第三者提供について本人同意がある場合は、提供年月日の 記録は不要とする。
◯記録の保存期間については、原則3年とするが、本人に対する物品等の提供に 関連して本人同意のもとで第三者提供した場合は1年とする。
◯本人との契約等に基づく提供については、既存の契約書等で代替可能とする。
◯反復継続して提供する場合は包括的な記録で足りることとする。
ガイドラインでは、一般的なビジネスの実態に配慮して、次のようなケースでは確認・記録 義務がかからないと整理
・本人による提供と整理できるケース(例:SNS上の個人のプロフィール)
・本人に代わって提供と整理できるケース(例:銀行振込)
・本人側への提供と整理できるケース(例:同席している家族)
・「個人データ」に該当しないと整理できるケース(例:名刺1枚) 等
14
~ 第三者提供時の確認・記録義務とは ~
提供者にとって個人データの場合でも、受領者にとって個人データ に該当しなければ、受領者には確認・記録義務が適用されない。
⇒ガイドライン等により解釈を明示
「第三者提供」に該当しない場合は、確認・記録義務は不適用。
⇒ガイドライン等により解釈を明示
本人を当事者とする契約等に基づき、個人データを授受する場 合は、当該契約等を証する書類の記録をもって記録義務に代 替可能。⇒委員会規則に明示
本人同意による提供は記録事項の緩和。⇒委員会規則に明示 また、包括的な記録作成も可能。⇒委員会規則に明示
実質的に「第三者提供」 ではないと評価できるか。
本人を当事者とする契約 等に基づく、個人データの
提供か。
本人同意による 第三者提供か。 単体の個人データの
提供か。
原則通りのトレーサビリティの適用
NO YES
※平成28年7月29日付委員会資料「改正個人情報保護法第25条・第26条の確認・記録義務の方向性と委員会規則(案)
の対応表」より抜粋 15
~ 確認・記録義務の基本的な考え方 ~
次の①~③のいずれかに該当する必要がある。
① 外国にある第三者へ提供することについて、本人の同意を得る。
② 外国にある第三者が個人情報保護委員会の規則で定める基準に適合する体制を整備 している。
③ 外国にある第三者が個人情報保護委員会が認めた国に所在する。 外国への第三者提供に関する規則の内容
②の「個人情報保護委員会の規則で定める基準に適合する体制」について、一般的なビジネ スの実態に配慮して次に該当するものと整理する。
◯提供を受ける者における個人データの取扱いについて、適切かつ合理的な方法により、個人情報保 護法の趣旨に沿った措置の実施が確保されていること
◯個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けてい ること
ガイドラインでは、規則で定められた基準について、具体的な事例も交えて分かりやすく示している。
・「適切かつ合理的な方法」の例:委託契約やグループ企業の内規・プライバシーポリシー等
・「個人情報保護法の趣旨に沿った措置」の具体例:OECD、APEC等の国際的な枠組みの基準に基づ
・「個人情報の取扱いに係る国際的な枠組み」:「APECの越境プライバシールール(CBPR)システム」いて記載
を記載 16
5.事業者が守るべきルール ④ - 外国の第三者に渡す場合
本人からの請求に応じて、個人情報を開示、訂正、利用停止等する。
(保有個人データに当たる場合のみ)
※保有個人データ:
その事業者に開示等の権限のある個人データ(6カ月以内に消去するものを除く。) 他の事業者からデータの編集作業のみを委託されて渡された個人データなどは、保有
個人データには該当しない。
以下の①~⑤について、HPに公表するなど本人の知り得る状態に置く。
①事業者の名称、②利用目的、③請求手続の方法、④苦情の申出先、
⑤認定個人情報保護団体に加入している場合、当該団体の名称及び苦情
申出先
個人情報の取扱いに関する苦情を受けた時は、適切かつ迅速に対処する。
17
5.事業者が守るべきルール ⑤ - 開示請求への対応
●国の監督
国は事業者に対して、必要に応じて報告を求めたり立入検査を行うことができる。
また、実態に応じて、指導・助言、勧告・命令を行うことができる。
●罰則
○国からの命令に違反した場合
⇒6ヶ月以下の懲役又は30万円以下の罰金
○虚偽の報告等をした場合
⇒30万円以下の罰金
○従業員等が不正な利益を図る目的で個人情報データベース等を提供、
又は、盗用した場合(個人情報データベース等不正提供罪)
⇒1年以下の懲役又は50万円以下の罰金
事業者のルールの遵守状況は個人情報保護委員会が監督する。
監督に従わない場合には罰則が適用される可能性も。
18
~ 罰則 ~
匿名加工情報とは、特定の個人を識別することができないように個人情報
を加工し、当該個人情報を復元できないようにした情報。
個人情報の取扱いよりも緩やかな規律(作成時、第三者提供時の公表
等)の下、自由な流通・利活用を促進することを目的に個人情報保護法の
改正により新たに導入。
匿名加工情報の作成方法の基準を個人情報保護委員会規則で定める。
個人情報 加工 匿名加工
情報
復元 識別できない
匿名加工情報
匿名加工情報の制度
19
6.ビッグデータ時代への対応
「匿名加工情報」に関する規則の内容
匿名加工情報の作成方法に関して、最低限の規律として、次の措置を講ずることを求める。な お、詳細は自主ルールに委ねる。
◯特定の個人を識別することができる記述等(例:氏名)の全部又は一部を削除
(置換を含む。以下同じ。)すること
◯個人識別符号の全部を削除すること
◯個人情報と他の情報とを連結する符号(例:委託先に渡すために分割したデータとひも 付けるID)を削除すること
◯特異な記述等(例:年齢116歳)を削除すること
◯上記のほか、個人情報とデータベース内の他の個人情報との差異等の性質を勘案し、 適切な措置を講ずること
ガイドラインでは、規則で定められた匿名加工情報の作成方法に関する上記の基準等につい て、具体的な事例等も交えて、分かりやすく示している。
その他、匿名加工の手法、データ処理等について、認定個人情報保護団体の自主ルールを 作成する際の参考となる事項、考え方について示す事務局レポートも作成している。
20
6.ビッグデータ時代への対応
認定個人情報保護団体の制度
事業者の個人情報の適切な取扱いの確保を目的として、国の認定を受けた
民間団体。
対象事業者への情報提供、個人情報に関する苦情の処理等を行う。
認定個人情報保護団体
(民間団体)
対象事業者
国認定
消費者 指導・勧告情報提供 苦情処理
認定個人情報保護団体の役割
業界の特性に応じた自主的なルール
(「個人情報保護指針」)を作成する よう努める義務。
また、対象事業者が指針を遵守するよ
う指導・勧告を行う義務。 対象事業者の個人情報の取扱い
に関する苦情を処理する義務。
21
7.お役立ち情報 ① - 認定個人情報保護団体
認定個人情報保護団体は42団体あります。(平成29年2月1日現在) 22
7.お役立ち情報 ① - 認定個人情報保護団体
対 象 事 業 等 分 野 名 称 対 象 事 業 等 分 野 名 称
警備業 一般社団法人 全国警備業協会 介護・福祉 社会福祉法人 岐阜県社会福祉協議会
指定自動車教習所業 一般社団法人 全日本指定自動車教習所協会連合会
手技療法 特定非営利活動法人 日本手技療法協会
証券業 日本証券業協会
医療・介護事業、ソフトウェア事 業及び
冠婚葬祭事業を営む個人及び団体 の事業者
一般社団法人 日本個人情報管理協会
保険業 一般社団法人 生命保険協会 ギフト用品に関する事業 一般社団法人 全日本キ ゙ フ ト 用品協会 保険業 一般社団法人 日本損害保険協会 クレジット事業 一般社団法人 日本ク レ シ ゙ ッ ト 協会 保険業 一般社団法人 外国損害保険協会 印刷・グラフィックサービス工業 公益社団法人 東京ク ゙ ラ フ ィ ッ ク サ ー ヒ ゙ ス 工業会
銀行業 全国銀行個人情報保護協議会 小売業 一般社団法人 日本専門店協会
信託業 一般社団法人 信託協会 経済産業分野 特定非営利活動法人 日本個人・医療情報管理協会
投資信託委託業 一般社団法人 投資信託協会 経済産業分野
公益社団法人 日本消費生活
ア ト ゙ ハ ゙ イ サ ゙ ー ・コ ン サ ル タ ン ト ・相談員協会 証券投資顧問業 一般社団法人 日本投資顧問業協会 経済産業分野 長野県個人情報保護協会
貸金業 日本貸金業協会 結婚情報サービス業 一般社団法人 結婚相談業サ ホ ゚ ー ト 協会 金融先物取引業 一般社団法人 金融先物取引業協会 結婚情報サービス業 結婚相手紹介サ ー ヒ ゙ ス 協会
放送 一般財団法人 放送セ キ ュ リ テ ィ セ ン タ ー 結婚情報サービス業 株式会社IBJ(日本結婚相談所連盟) 電気通信事業 一般財団法人 日本テ ゙ ー タ 通信協会 結婚情報サービス業 ナ ノ ラ イ セ ン ス 結婚専科シ ス テ ム 協議会
プライバシー付与認定事業者が行う事業 一般財団法人 日本情報経済社会推進協会 新聞販売業 大阪毎日新聞販売店事業協同組合
製薬業 日本製薬団体連合会 葬祭業 JECIA 個人情報保護協会
医療 公益社団法人 全日本病院協会 葬祭業 全国こころの会葬祭事業協同組合
医療 一般社団法人 日本病院会 経済産業分野 一般社団法人 ビジネスコンプライアンス
医療・介護 特定非営利活動法人 医療ネ ッ ト ワ ー ク 支援セ ン タ ー 自動車販売業 一般社団法人 日本自動車販売協会連合会 医療・介護・福祉 特定非営利活動法人 検定協議会 自動車登録番号標交付代行業 一般社団法人 全国自動車標板協議会 介護・福祉 社会福祉法人 沖縄県社会福祉協議会 賃貸住宅管理業 公益財団法人 日本賃貸住宅管理協会
●放送機関、新聞社、通信社その他の報道機関
⇒報道の用に供する目的
●著述を業として行う者
⇒著述の用に供する目的
●大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者
⇒学術研究の用に供する目的
●宗教団体
⇒宗教活動の用に供する目的
●政治団体
⇒政治活動の用に供する目的
個人情報取扱事業者のうち、次に掲げる者が、それぞれ定められた目的で、
個人情報等を取り扱う場合は、法の適用除外とされている。
個人情報保護法の適用が除外される事業者
23
7.お役立ち情報 ② - 適用除外
「個人データの円滑な国際的流通の確保のための取組について」
(平成28年7月29日個人情報保護委員会決定)(抄)
個人情報保護委員会において、個人情報の保護を図りつつ、その円滑な越境移転 を図るため諸外国との協調を進めることとし、当面、これまでに一定の対話を行ってき ている米国、EU(英国のEU離脱の影響についてその動向を注視。)については、 相互の円滑なデータ移転を図る枠組みの構築を視野に定期会合を立ち上げる方向 で調整する。
グローバル化に対する個人情報保護委員会の最近の取組
個人データの円滑な移転を確保するため、個人情報保護委員会としての方針
を決定。
24
7.お役立ち情報 ③ -グローバル化への対応
●個人情報保護法に関する質問
個人情報保護法質問ダイヤル
03-6457-9849
受付時間 土日祝日及び年末年始を除く 9:30~17:30 個人情報保護法の解釈についての一般的な質問は下記にお問合せください。
(苦情相談窓口ではありません)
質問・相談のお問合せ先
く わ し く
●事業者の個人情報の取扱いに関する苦情相談
●事業者の苦情受付窓口
●消費生活センター等の地方公共団体の窓口
●認定個人情報保護団体 など
事業者の個人情報の取扱いに関する苦情相談は、以下の窓口にお問合せください。
25
7.お役立ち情報 ④ - お問合せ先
マイナンバー苦情あっせん相談窓口
03-6457-9585
土日祝日及び年末年始を除く 9:30~17:30
個人情報保護委員会では、マイナンバー(個人番号)の取扱いに関する苦情の申出についての必 要なあっせんを行うため、電話による苦情あっせん相談窓口を設置しています。
マイナンバー(個人番号)の取扱いに関する苦情をお持ちの方なら、どなたでもご利用いただけます。
○ 相談窓口にできること
1 苦情の内容を所掌する他の相談窓口の紹介
2 苦情の相手方への苦情の内容の伝達(委員会が必要と認めた場合)
3 番号法に定められた措置等に反する行為があった場合の監督部門への取次ぎ 4 苦情をめぐって、苦情の相手方と争いが生じた場合のあっせん
○ 相談例
1 事業者に苦情を申し立てたが、対応してもらえない。
2 事業者の苦情に対する対応に不満があるが、どうしたらよいか分からない。
3 事業者でマイナンバー(個人番号)が漏えいしており、自分の情報が流出している可能性がある。 4 番号法で定められた措置がなされず、自分の情報が適正に管理されていない。
5 ある事業者でマイナンバー(個人番号)に関する不適切な処理がなされている。
26
7.お役立ち情報 ④ - お問合せ先
愛称:マイナちゃん