今さら聞けない改正個人情報保護法　8つのポイント

個人情報の定義の追加

「個人情報」は "生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により、特定の個人の識別ができるもの"と定義されています。

今回の改正では「個人情報」の定義について大きく２つの追加がありました。

１つ目は「個人識別符号」が「個人情報」に含まれることが明確になったことです。 「個人識別符号」とは、①個人の身体の特徴の一部を変換したもの（DNA情報や指紋などの生体認証情報）や、②個人に対し発行される公的な番号（免許証番号や被保険者番号等）のことです。

２つ目は「要配慮個人情報」という定義が新設されたことです。 「要配慮個人情報」とは、人種・信条・病歴・健康状態・犯罪歴等を含む個人情報をいいます。

注意が必要なのが、「要配慮個人情報」は法令に基づく場合等の一定の場合を除き、本人の同意なく取得してはいけないという点です。また同様に、本人の同意なく第三者に提供することも禁止されています。

対象事業者の拡大

「個人情報取扱事業者」の範囲が拡大されました。
「個人情報取扱事業者」は個人情報保護法に定める措置を行わなければなりません。

「個人情報取扱事業者」の対象範囲ですが、改正前は取り扱う個人情報が5,000件以下の事業者は除外されていましたが、改正後は、個人情報データベース等を事業活動で使用している者は全て対象となりました。

個人情報データベースの具体例を挙げると、メールソフトのアドレス帳や仕事で使う携帯電話の電話帳があります。
こういったデータベースはほぼ全ての事業者が利用しているので、中小企業や個人事業主を含むほとんどすべての事業者が「個人情報取扱事業者」に含まれます。

つまり、改正以後はほとんどすべての事業者が、個人情報保護法に定める措置を行う必要性が出てきたということですね。

匿名加工情報の新設

今回の改正で最も注目されているポイントとして、「匿名加工情報」という定義が新設されました。
「匿名加工情報」とは、個人情報から個人を識別できる情報（氏名等）を削除したものをいいます。

注目されている理由としては、一定のルールの下であれば、本人の同意を得ることなく第三者への提供が可能であるという点であります。今まで活用に制限があった個人情報が、一定のルールの下で「匿名加工情報」として取り扱うことにより、第三者が活用できるデータとなるため、新たなサービスの創出が期待されているのです。

「匿名加工情報」を利活用する際は注意が必要で、作成時に個人を識別できる情報を削除したり、一般的な記述（例：年齢が120歳の場合、「90歳以上」と表現する等）に置き換えたりする必要があります。また、加工方法等に関する取扱規程を整備したり、匿名加工情報に含まれる情報を公表したりしなければならない点も気を付ける必要があります。

利用目的の制限の緩和

個人情報の利用目的を変更する場合には、変更前の利用目的と「関連性」を有すると合理的に認められる範囲を超えてはいけません。改正前は、「相当の関連性」を有する場合のみ、変更可となっていましたので、制限の緩和といえます。

なお、「関連性」を有するかどうかは、一般人が変更前の利用目的から変更後の利用目的を予期できるかどうかで判断されます。例えば、すでにサービスを利用しているお客様に対して、新しいサービスのご案内をメールでする、といった事例が挙げられます。

第三者への提供（オプトアウト）の厳格化

あらかじめ本人の同意を得ないで個人情報を第三者に提供することはできません。 本人の同意なく、個人情報を第三者に提供する場合（オプトアウト）にとらなければならない措置が厳格化されました。

オプトアウトを行うためには、改正前はホームページ等でその旨を公表する等していればよかったものが、改正後は、個人情報保護委員会に所定の事項を届け出たうえで、同様の事項を公表しなければならなくなりました。 なお、要配慮個人情報については、オプトアウトは一切禁止されています。

提供・受領の記録の新設

いわゆる名簿屋対策として、個人情報を第三者に提供する場合、および第三者から個人情報の提供を受ける場合の措置が新設されました。これらの場合は、提供先（提供する場合）もしくは提供元（受領する場合）の氏名（企業等の場合は企業名でよい）を記録し、その記録を一定期間（原則3年）保存しておかなければならなくなりました。

また、提供を受ける場合は、提供者の氏名に加えて、提供元が当該個人情報を取得した経緯等を確認、記録・保存しなければなりません。

ただし、提供先もしくは提供元が官公庁等の場合や、法令に基づく提供の場合、また、本人に代わって個人情報を提供していると解される場合等については、記録の義務は課されません。

外国の事業者に関する定めの新設

ビジネスのグローバル化にともない、日本国内の個人情報を取得した外国の事業者についても、原則として個人情報保護法に定める措置をとらなければならなくなりました。

また、外国の事業者に日本国内で取得した個人情報を渡す場合（業務委託含む）も、あらかじめ本人の同意が必要です。ただし、①法令に基づく場合や、②提供先が個人情報保護法で定める措置を継続的に講じることができる体制を構築している場合は、本人の同意がなくても個人情報を渡すことができます。

データベース提供罪の新設

相次ぐ個人情報の漏えい事件を受けて、個人情報取扱事業者の役員・従業員（元役員・従業員も含む）が、その業務に関して取り扱った個人情報データベース等を、不正な目的で提供したり盗用したりした場合の刑罰として「データベース提供罪」が新設されました。

違反した場合、１年以下の懲役又は５０万円以下の罰金が課され、当該従業者等の所属する法人にも両罰規程として５０万円以下の罰金が課されることになります。

おわりに

いかがでしたでしょうか、あらためて個人情報保護法改正のポイントについて理解を深めていただけましたでしょうか。 個人情報保護法の改正以後、個人情報を含む書類の保管方法についてご相談をいただくことが以前よりも増えております。

過去の事例を見ると、情報漏えいの８割は社内からというデータもあります。個人情報を含む書類を確実に管理するためには、必ずしも自社内での保管だけでなく、セキュリティの高い外部施設での書類保管サービスを利用するという選択肢もございます。
社内の書類保管・管理に少しでも不安を感じていましたら、是非ご相談ください。