改正個人情報保護法の概要
と直近の動向
2016年9月5日
1 改正の経緯
(1)個人情報を取り巻く
環境の変化
(2)グレーゾーン問題
(3)SUICA事件
(4)ベネッセ事件
(5)海外の動向
2
情報通信技術の飛躍的な進展
タブレット端末、スマートフォン等の普及
、Twittert等のSNSの普及
クラウドコンピューティングの一般化、データ保存コストの低下
個人や事業者の活動がグローバル化し、国境を越えてデータが流通
IoT
の進展
⇒
情報が質的・量的に拡大し、多種多様、膨大な情報(ビッグデータ)
がインターネット等に流通。
中でも、有用とされるのが「
パーソナルデータ
」
3
1 改正の経緯
(1)個人情報を取り巻く環境の変化
パーソナルデータ
「個人情報」に限定しない、個人の行動・状態に関するデータ
Web
検索履歴
購買履歴
入出金履歴
GPS
や通信基地局からの位置情報
カーナビ・交通カードから割り出される移動履歴
⇒
新たなサービスやビジネスチャンスにつなげたいというニーズ
一方で、消費者のプライバシーに対する意識の高まり
4
1 改正の経緯
(1)個人情報を取り巻く環境の変化
グレーゾーン問題とは
技術革新に伴って、「個人情報」として取り扱うべきかが曖昧な情報が増えてきたこと5
非個人情報 グレー ゾーン 個人情報 氏名 メール アドレス 購買データ 位置データ クレジット カード番号 情報通信端末ID1 改正の経緯
(2)グレーゾーン問題
Suica
事件
JR東日本が顧客の乗降履歴に一定の匿名化を施した情報を個人情報ではないも のとして、顧客の同意なく第三者提供しようとした。 利用者や専門家から、「個人情報」の定義に該当し違法ではないのか、勝手に自 分の個人情報を使うな、との批判が噴出。 履歴情報から自らの情報を除外する申請を受け付けたところ、5万件以上に。 匿名化状態での本人同意のない流通が、いかなる要件で認められるかが明らかで ない状況の不都合性が意識される。6
1 改正の経緯
(3)Suica事件
ベネッセ事件
2014年7月、ベネッセの委託先従業員により、同社の管理するデータベースから、 約2,895万件の個人情報が不正に持ち出され、名簿屋業者に販売されていたこと が発覚。 従業員は、不正競争防止法違反で立件。 しかし、捜査当局でも、名簿の転売ルートを解明することは困難。7
1 改正の経緯
(4)ベネッセ事件
これまで
OECDプライバシーガイドライン(8原則) 欧州⇒「EUデータ保護指令(※)」 (基本的人権として厳格なデータ保護設計) 米国⇒包括的立法なし 欧州-米国間には「セーフハーバ」近年の動き
米国:「消費者プライバシー権利章典」の法制化の動き EU:「EUデータ保護規則(※)案」の検討8
※「指令」:構成国の立法が必要 (直接の法的拘束力なし) 「規則」:構成国に直接適用される (法的拘束力あり)1 改正の経緯
(5)海外の動向
EU
の「十分性認定」とは
EUデータ保護指令25条 EU域内から個人データを第三国に移転できる場合を、EUから見て十分な水準の保護 措置を確保している場合に限定する制度 十分性認定を得るには以下が重要とされる 「独立第三者機関の整備」・「機微情報に関する規定の整備」・「小規模取扱事業者に対して の法の適用」・「越境データ移転についての制限」・「開示請求権の明確化」 十分性が認められない場合に企業に求められる対応 ① 欧州委員会が認めたSCC(標準契約約款)を用いて契約 ② BCR※(拘束的企業準則)を用いる ③ 本人の同意を取得9
※グループ会社におけるデータ保護の仕組みを 包括的に認定するスキーム1 改正の経緯
(5)海外の動向
2 改正の内容
(1)個人情報の定義の明確化
(2)利活用の促進
(3)個人情報保護強化
(4)グローバル化への対応
10
2 改正の内容
(1)個人情報の定義の明確化
1号型個人情報(2条1項1号) 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述 等(文書、図画若しくは電磁的記録に記載され、若しくは記録され、又は音声、動作そ の他の方法を用いて表された一切の事項)により特定の個人を識別することができるも の(他の情報と容易に照合することができ、それにより特定の個人を識別することがで きることとなるものを含む。) 2号型個人情報 (2条1項2号) 生存する個人に関する情報であって、「個人識別符号」が含まれるもの11
12
「個人識別符号」とは
次のいずれかのうち、政令で定めるもの ① 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、 記号その他の符号であって、当該特定の個人を識別することができるもの ⇒身体の一部の特徴をデジタル化した符号 ② 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てら れ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式によ り記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又 は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若し くは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別 することができるもの ⇒サービスの利用者や個人に割り当てられる符号2 改正の内容
(1)個人情報の定義の明確化
2 改正の内容
(1)個人情報の定義の明確化
ポイント
1号型個人情報(従来型)と2号型個人情報(個人識別符号型)に分解 「個人識別符号」にも2種類あり 身体の一部の特徴をデジタル化した符号 なお、金融庁の実務指針では、「機微(センシティブ)情報に該当する生体認証情 報」とは「機械による自動認証に用いられる身体的特徴のうち、非公知の情報」であ るとされている。 サービスの利用者や個人に割り当てられる符号 「個人識別符号」は最終的には政令で定められる 容易照合性については変更なし13
「匿名加工情報」とは(2条9項) 次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別す ることができないように個人情報を加工して得られる個人に関する情報であって、当該個人情 報を復元することができないようにしたものをいう。 ① 第1項第1号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元すること のできる規則性を有しない方法により他の記述等に置き換えることを含む。)。 ② 第1項第2号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元す ることのできる規則性を有しない方法により他の記述等に置き換えることを含む。 簡単にいうと、個人情報を加工し、 1)特定の個人を識別することができず 2)当該個人情報を復元することができないようにしたもの
14
2 改正の内容
(2)利活用の促進 匿名加工情報
匿名加工情報の作成時の義務 個人情報保護委員会規則で定める基準に従い、当該個人情報を加工する義務 匿名加工情報に関する義務①(匿名加工情報を作成した者/作成・利用の場面 安全管理義務、作成時の公表義務、照合禁止義務 匿名加工情報に関する義務②(匿名加工情報を作成した者/第三者提供の場面) 提供時の公表、明示義務 匿名加工情報に関する義務③(匿名加工情報を取得した者) 提供時の公表、明示義務、照合禁止義務
15
2 改正の内容
(2)利活用の促進 匿名加工情報
16
「要配慮個人情報」とは 本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実 その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱 いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。 (2条3項)2 改正の内容
(3)個人情報保護強化 ①要配慮個人情報
ポイント ①直接取得に同意要、②第三者提供オプトアウト禁止 第三者提供をする側の義務 記録の作成(25条1項) 提供年月日、第三者の氏名又は名称、その他 記録の保存(同2項) 第三者提供を受ける側の義務 確認義務(26条1項) 第三者の氏名又は名称、住所、代表者の氏名、取得の経緯 記録の作成(同3項) 記録の保存(同4項)
17
2 改正の内容
(3)個人情報保護強化 ②トレーサビリティの確保
取り扱う個人情報の数が5000人以下である事業者も改正法の規定を適用 改正附則11条 個人情報保護委員会は、事業者等が講ずべき措置の適切かつ有効な実施を図るた めの指針(ガイドライン)を策定するに当たっては、特に小規模の事業者の事業 活動が円滑に行われるよう配慮するものとする。
18
2 改正の内容
(3)個人情報保護強化 ③小規模事業者の適用除外削除
外国にある第三者への提供制限(24条) 個人情報取扱事業者は、 ①外国(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人 情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるも のを除く。以下この条において同じ。)にある ②第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講 ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとし て個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以 下この条において同じ。) に個人データを提供する場合には、前条第1項各号に掲げる場合を除くほか、あらか じめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この 場合においては、同条の規定は、適用しない。
19
2 改正の内容
(4)グローバル化への対応
ポイント 移転先が、①「外国」かつ②「第三者」の場合、国名レベルで特定した個別同意 が必要 ①「外国」、②「第三者」とも、除外対象は委員会規則で定められる 委託であっても「外国の第三者」であれば、同条の対象 クラウドサーバーへの保存が「外国の第三者」に該当するかどうかは、今後のガ イドライン等を注視する必要あり
20
2 改正の内容
(4)グローバル化への対応
そもそもクラウドサーバーの利用は委託なのか? 特定個人情報保護委員会「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」及び 「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」に関するQ&A Q3-12 「特定個人情報を取り扱う情報システムにクラウドサービス契約のように外部の事業者を活用している 場合、番号法上の委託に該当しますか。」 A3-12 「当該事業者が当該契約内容を履行するに当たって個人番号をその内容に含む電子データを取り扱うの かどうかが基準となります。当該事業者が個人番号をその内容に含む電子データを取り扱わない場合に は、そもそも、個人番号関係事務又は個人番号利用事務の全部又は一部の委託を受けたとみることはで きませんので、番号法上の委託には該当しません。 当該事業者が個人番号をその内容に含む電子データを取り扱わない場合とは、契約条項によって当該事 業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御 を行っている場合等が考えられます。」 ⇒今後の検討課題
