改正個人情報保護法のポイントは? 2017年05月30日施行

2017/6/5 一般

2017(平成29)年5月30日に全面施行された、改正個人情報保護法。

会社であれば社内教育等でポイントを抑える機会はあるかもしれませんが、
今回の改正は一般的な個人も対象になるようになっています。

内容が多いので全てをピックアップしたり詳細を記載することはできませんが、
主にガイドラインやQ&A集などを見たもので、
個人的にこれは抑えておいた方が良さそうだなというところを自分流に取りまとめておきます。

ガイドラインは個人情報保護委員会のWebサイトで配布されている、
「個人情報の保護に関する法律についてのガイドライン(通則編)」が一番ポイントです。
あとはケースによって他のガイドラインの確認も必要になってきます。
※関連リンクは最下部に取りまとめています。

あと、文章量が多くて少々見づらい部分があります。ご了承ください。。

意識しないといけない改正内容は?

  • 今までは小規模事業者(例えば保有する個人情報が5000人以下の企業、など)は対象ではなかった。
  • 改正後はそういった条件がなくなり、全ての国内の事業者が対象に。
  • 法人に限った話ではなく、非営利組織(自治会、町内会、同窓会、サークルなど)も対象。
  • 新たな定義として「個人識別符号」が登場。「要配慮個人情報」という分類も。

ただ改正内容は? って言うけど、今まで対象ではなかった人たちにとっては、
改正前の内容も重要なんですよね。改正後との差分だけピックアップされても・・・、
ってなると思うので全体的な流れを踏まえて以降は取りまとめます。

主な分類は「取得」「利用」「保管」「提供」「開示請求対応」

ちなみに「保管」の中でやるべきことが、いわゆる「安全管理措置」にあたり、
この措置については小規模事業者向けは特例として少し緩い対応内容でも可となっています。
「開示請求対応」も全ての個人情報について対応しなければならないわけではないですよ。

おさえるべき用語・定義など

  • 個人情報
    生存する「個人に関する情報」であって、「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの」。
    又は「個人識別符号」を含むもの。
    「個人に関する情報」とは、氏名、住所、性別、生年月日、顔画像等個人を識別する情報に限られず、
    個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報であり、評価情報、公刊物等によって
    公にされている情報や、映像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない。
    何よりのポイントは「公にされている情報」でも、というところです。
  • 個人識別符号
    1.身体の一部の特徴を電子計算機のために変換した符号
    (DNA、顔、虹彩、声紋、歩行の様態、手指の静脈、指紋・掌紋)
    2.サービス利用や書類において対象者ごとに割り振られる符号
    (旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証等)
    ちなみに個人情報保護法内には出てきませんがマイナンバーは「特定個人情報」としてもっと上位な取扱があります(いわゆるマイナンバー法)。
    なのでマイナンバーは例え本人であろうが公開することは違法です。
  • 個人情報に関連する事例1
    官報、電話帳、職員録、法定開示書類(有価証券報告書等)、新聞、ホームページ、SNS(ソーシャル・ネットワーク・サービス)等で公にされている特定の個人を識別できる情報。
    公知の情報であっても、その利用目的や他の個人情報との照合など取扱いの態様によっては
    個人の権利利益の侵害につながるおそれがあることから、個人情報保護法では、
    既に公表されている情報も他の個人情報と区別せず、保護の対象としている。
  • 個人情報に関連する事例2
    通常、メールアドレスは氏名等と組み合わせると個人情報になるのですが、そうではないケースもあります。
    特定の個人を識別できるメールアドレス(kojin_ichiro@example.com 等のようにメールアドレスだけの情報であっても、
    example社に所属するコジンイチロウのメールアドレスであるかが分かるような場合等)は単体でも個人情報になりえます。
  • 要配慮個人情報
    どんな規約があったとしても、原則、本人の同意を得る必要がある。
    以下に該当する情報が「要配慮個人情報」で、一段高い規律となる。

    ・人種、信条、社会的身分、病歴、前科、犯罪被害情報。

    ・その他本人に対する不当な性別、偏見が生じないように特に配慮を要するものとして政令で定めるもの。
    具定例)
    ・身体障害、知的障害、精神障害等があること
    ・健康診断その他の検査の結果
    ・保健指導、診療・調剤情報
    ・本人を被疑者又は被告人として、逮捕、捜査等の刑事事件に関する手続きが行われたこと
    ・本人を非行少年又はその疑いのある者として、保護処分等の少年の保護事件に関する手続きが行われたこと
    なお、推知させる情報にすぎないものは、要配慮個人情報には含まない。
    (宗教に関する書類の購買や貸出しに係る情報等)

    おそらく、一番違法と認識されない可能性が出て来るのがこの要配慮個人情報です。
    そしてその判断も法を抑えていないと難しいです。本人の同意を得ないと取得してはいけないとなっていても、
    法で定める下記の人や組織等が公開した場合は本人の同意不要となっています。特例措置ですね。
    ・本人
    ・国の機関
    ・地方公共団体
    ・放送機関・新聞社・通信社その他の報道機関(報道を業として行う個人を含む)
    ・著述を業として行う者
    ・大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者
    ・宗教団体
    ・政治団体
    ・外国政府、外国の政府機関、外国の地方公共団体又は国際機関
    ・外国において法第76条第1項各号に掲げる者に相当する者

  • 個人情報データベース等
    特定の個人情報をコンピュータを用いて検索できるように体系的に構成した、個人情報を含む情報の集合物。
    利用方法からみて個人の権利利益を害するおそれが少ないものは、個人情報データベース等には該当しない。「個人情報データベース等」に該当するかどうかが「開示請求」の対象になりうるかどうかの一番重要な分岐。
    個人情報データベース等に該当した各個人情報は「個人データ」と呼ばれます。
    そして、その個人データを6か月以内に消去しない場合は、「保有個人データ」と呼ばれ開示請求の対象となります。
  • 個人情報データベース等に該当する事例1
    メールソフトに保管されているアドレス帳(メールアドレスと氏名を組み合わせて入力している場合)
  • 個人情報データベース等に該当する事例2
    名刺の情報を表計算ソフト等を用いて入力・整理している場合
  • 個人情報データベース等に該当しない事例1
    自己の名刺入れについて他人が自由に閲覧できる状況に置いても、他人には容易に検索できない独自の分類方法により名刺を分類した状態である場合
    体系的ではないので名刺の情報の集まりでもこちらのケースはデータベースではないということですね。
    つまりこういう情報は、「開示請求」の対象にはならないということです。
    ただし個人情報であることには違いないので適切な管理措置は必要です。
  • 個人情報データベース等に該当しない事例2
    市販の電話帳、住宅地図、職員録、カーナビ等
    ここも大きなポイントでして、データベース化されていても、「市販」のものは個人情報データベースとはみなされません。
  • 匿名加工情報
    特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報。
    いわゆる、ビッグデータ時代に対応するために今回の改正で導入されたものです。
    例えば、「20歳、男性、●●市のコンビニ、午後8時、●●を購入」といったデータは個人情報にはなりませんね。
    こういった情報を取りまとめていって、統計をとったりして企業が役に立てたりするんです。
    この時間帯はどういった物が売れる、この商品はどういった年齢層・性別に需要があるだとか。
    ただし、例えば匿名加工情報として「特異な情報」は入れてはいけないことになっています。
    具体的には「年齢116歳」といった情報はNGです。116歳の方はかなり絞られますからね。特定しうる情報は入れてはいけないのです。

取得・利用

この辺から飛ばしていきます。上記までは大事なところなので少し詳細に記載しました。
(これでも本当に「少し」だけです。実際はもっといろいろ記載や事例などが載ってますよ)

  • どのような目的で個人情報を利用するのかについて、具体的に特定する。
  • 特定した目的は公表する。公表していない場合には、本人に通知、又は公表する。
  • 同意を得て取得した個人情報は特定した利用目的の範囲内で利用する。
  • 取得済みの個人情報を他の目的で利用したい場合には、本人に同意を得る(関係性が逸脱しないレベルでの利用目的の変更が可能)。
  • 要配慮個人情報を取得する場合には、あらかじめ本人の同意を得なければならない。
    ただし、法令に基づく場合、人の生命等の保護のためであって本人の同意を得ることが困難なとき・・・などの7つの条件に掲げるものに該当する場合については、本人の同意を得る必要はない。
  • ちなみに事例などからピックアップすると、本人に直接伝えないで公表することで通知するケースがありますが、
    たとえホームページに載せてもそれだけじゃNGだったりします。引用すると「ホームページのトップページから1回程度の操作で到達できる場所への掲載」とあります。
    わかりにくいところに書いたって無効だよ、ってことですね。こういった細かい部分があったりするのが要注意でしょうか。
  • もう1件、ありがちなところでピックアップすべき事例がありました。
    「名刺の交換」ですね。一般の慣行として名刺を交換する場合、書面(名刺)により、直接本人から、氏名・所属・肩書・連絡先等の個人情報を取得することとなるが、その利用目的が今後の連絡のためという場合、取得の状況からみて利用目的が明らかであると認められるため、わざわざ双方で利用目的の通知なんかしなくていいよ、ってなってます。
    でも、取得した名刺をダイレクトメール等の目的に使うとなると話は違います。自明の利用目的に該当しないため、そういった場合は相手に通知し同意を得る必要があります。
    他の法律(税関連など)でもそうなんですが「慣行」や「社会通念」といったものは認められてはいるのですが、じゃあ具体的には? って有識者に聞くとはっきり答えてくれない場合が多いです(有識者でもわからない。ただ一部は明示されている場合もある)。
  • さらにもう1件・・と言いたいところですがキリがないのでQ&A集の「質問」の部分だけ書くと「会社の行事で撮影された写真などを、当社内で展示する場合、写真に写っている本人からあらかじめ同意を得る必要がありますか。」などがあります。
    これ会社に限らず、学校でも該当しますね。町内会や大学のサークルなども該当することもあるでしょう。こういった気になる回答なんかもQ&Aに載ってたりしますよ。

保管(安全管理)

一部法人向けの内容も記載しています。

  • 安全に関するための措置をとる。
  • 正確で最新の内容に保ち、必要がなくなったときはデータを消去するよう努める。
  • 従業員に対して、必要かつ適切な監督を行う。
  • 個人情報の取扱いを委託する場合、委託先に対して必要かつ適切な監督を行う。

なお、小規模事業者向けには特例措置もあります。

安全管理措置における、「小規模事業者」の定義について

  • 従業員の数が100人以下の事業者

ただし、下記に当てはまる場合は小規模事業者から除外される。

  • 取り扱う個人情報の数が5000人超
  • 委託に基づいて個人データを取り扱う事業者

一般事業者と小規模事業者それぞれの対応の違いまで書くと長くなってしまうので、
括りとしてこういったことをするという項目名だけ記載していきます。
詳細はガイドライン等を確認してもらうしかないですね。
ちなみにすべてが義務というわけではないです。
しなければならないものと、推奨されているものが混在しています。

  • 1.基本方針の策定
  • 2.個人データの取扱いに係る規律の整備
  • 3.組織的安全管理措置
  • (1)組織体制の整備
  • (2)個人データの取扱いに関する規律に従った運用
  • (3)個人データの取扱状況を確認する手段の整備
  • (4)漏えい等の事案に対応する体制の整備
  • (5)取扱状況の把握及び安全管理措置の見直し
  • 4.人的安全管理措置
  • 5.物理的安全管理措置
  • (1)個人データを取り扱う区域の管理
  • (2)機器及び電子媒体等の盗難等の防止
  • (3)電子媒体等を持ち運ぶ場合の漏えい等の防止
  • (4)個人データの削除及び機器、電子媒体等の廃棄
  • 6.技術的安全管理措置
  • (1)アクセス制御
  • (2)アクセス者の識別と認証
  • (3)外部からの不正アクセス等の防止
  • (4)情報システムの使用に伴う漏えい等の防止
  • ほか、個人データの漏洩等が発生した場合の措置方法など

たとえば、5.物理的安全管理措置の(3)電子媒体等を持ち運ぶ場合の漏えい等の防止として、
具体例として書かれている概要を記載しますが、「個人データが記載された書類等を持ち運ぶ場合、~、封筒に封入し鞄に入れて搬送する等」みたいな記載があります。
いったいどこが安全管理措置になっているんだろうと思われる部分もありますが、
封筒に入れるだけではなくしっかり封はしている! とかそういう観点なんですよね。
メールで添付する場合なんかもパスワードつけることを必須にしているところもありますが、
数字4桁程度のパスワードなんて1秒もかからず解析は可能ですからね。
有識者から見れば全然措置になっていないと突っ込みどころではあるのですが、やらないよりはやることの方が大事という部分も見受けられます。
特に小規模事業者向けはそんな内容になっているのが多いです。

第三者に渡すとき(提供)

外国にいる第三者に渡す場合は別な決まり事があります。
あくまで「国内の第三者」の場合です。
主に名簿屋対策が目的で、第三者に個人情報を渡すとき、もしくは渡されたときに内容の確認、記録が今回の改正より義務化されています。
ただし、一般的なビジネスの実態に配慮され、第三者に該当しない、もしくは確認・記録義務が無いケースもあり、どちらかというとケース外になる判断が重要になってきます。

  • 第三者に提供する場合は、原則としてあらかじめ本人から同意を得る。
    ※同意不要となる例外はある
  • 本人の同意を得ない方法を取る場合には、特定の手続きをする(オプトアウト手続き)
    ただし、要配慮個人情報については、この手続き(本人同意無し)による第三者への提供は禁止
  • 第三者に提供した場合・第三者から提供を受けた場合は、一定事項を記録する。

第三者に当たらないものとして下記が記載されています。

  • 委託
  • 事業の承継
  • 共同利用
  • 実態に配慮し除外されるケース

ポイントは共同利用と実態に配慮~ですね。

共同利用についてはこうしなきゃいけない、っていう決まり事があります。
同一企業内の他部門に渡す場合などは共同利用ではないです。
これは根本的に同じ法人格なので第三者ですらないです。
が、A部門でAという利用目的で取得した個人情報をB部門でBという利用目的で用いるのはNGです。
これは根本的に取得のところからNGですね。別途Bという利用目的での同意が必要なのです。

一方、親子兄弟・グループ企業同士、つまり関連会社間での個人情報の受け渡しは完全に第三者に当たります。
同一法人格じゃなきゃ第三者です。海外の現地法人も第三者です。
でも海外の場合、同じ法人格の海外営業所・事業所なら同一なので第三者ではないです。
こういった場合(関連会社)は共同利用の制度を用いたり、委託などで回避したりになるでしょうか。
そうじゃなければ社員情報であっても受け渡しの記録をしっかりとらなきゃいけなくなります。

実態に配慮し、っていうのはケースバイケースですね。
例えば、本人がtwitterなどSNS上で公開している個人のプロフィールは、本人そのものからの提供となるので第三者ではないです。
あと、会社が社員の給与を銀行振込するときなど、これも本人に代わって提供とされることから第三者とされていません。
ほかに何かの場面で家族同席での会話の中で本人の情報を同席している家族が聞いても、あくまで本人側への提供と解されることから第三者になりません。
ほか、ありえるのは名刺の交換のときですね。1名不在で代わりに渡してきてくれ、などと預かってきたものは、
受け取る人にとっては本人に代わっての提供とされるのでこれも第三者にならないようです。
こういったケースでいちいち、渡す人と受け取る人で確認・記録義務があったらたまりませんからね。

ただ、どちらにせよこの第三者にあたるかどうかというところの判断がなかなか難しく、そのために事例もいろいろと記載がありました。

外国の第三者に渡すとき(提供)

国内側と概ね同様と考えていいのですが、本人同意を省略できるものとして下記が定義されています。

  • (個人情報保護制度について)日本と同等の水準であると定めている国。
    ちなみにこれ、現時点では「存在しない」みたいです。Q&Aの回答をそのまま抜粋します。
    「様々な国において制度の見直しが行われていることもあり、また、詳細かつ多角的な調査・検討が必要であることから、今後、継続的に検討します。」
  • 当該第三者が規則で定める基準に適合する体制を整備している場合
  • 国内の本人同意を不要とする例外と同様の場合

開示請求への対応

前の方の「個人情報データベース等」に記載しましたが、「保有個人データ」にあたるものが原則として開示請求の対象となります。
ただし、他の事業者からデータの編集作業のみを委託されて渡された個人データなどは、保有個人データには該当しないとのこと。

対応内容について概要を抜粋します。

  • 本人からの請求に応じて、個人情報を開示、訂正、利用停止等の対応を行う。
  • 個人情報の取扱いに関する苦情を受けた時は、適切かつ迅速に対処する。

これはあまり一般個人では請求される対象になることは少ないとは思います。
(データベース化して管理することがあまりない)
ただ町内会、同窓会、サークルなどは名簿を持つことがあると思うので、そういったところは注意です。

なお、「利用目的の通知を求められたとき又は開示の請求を受けたときは、当該措置の実施に関し、手数料を徴収することができる」とあります。
請求されたときにお金取っていいってことです。
ただし、「手数料を徴収する場合は、実費を勘案して合理的であると認められる範囲内において、その手数料の額を定めなければならない。」とも記載されています。
ほぼほぼ実費ならいいけど、それで事業として利益を求めるようなことはしちゃいけないってことです。

対象となる個人データがある場合は、「請求手続の方法」「苦情の申出先」を
HPに公表するなど本人の知り得る状態に置く必要がありますが、
少なくとも問い合わせ窓口を設置し、求めがあったときに遅滞なく回答できるようにしておく方法でも良いとされています。
請求手続きの方法などの記載がなくても、問合せ窓口を用意して、問い合わせがあったらすぐに返答できる体制があれば最低でも良いということです。

他に、一般個人が関連しうるものの中では、Q&Aによると下記のようなものがありました。

Q.社内で取り扱う個人情報については、個人情報が検索できる状態ではありませんが、そのような状態であれば、
本人からの開示の請求に応じなくてもよいですか。

A.開示義務の対象は「保有個人データ」とされていますが、御指摘の場合には、
特定の個人情報を検索することができない状態ですので「個人データ」に該当しません。
したがって、開示義務の対象となる「保有個人データ」にも該当しません。
そのため、開示の請求に応じる法的義務は課されないと解されます。

社員が、自分の個人情報どういったものがあるんだ? と会社に開示請求できるかどうかって部分にもなってくるのですが、
会社で管理している社員の個人情報がデータベース化されていなければ、
「個人データ」「保有個人データ」にはならないので、会社側は開示請求に応じる必要がないというQ&Aです。
勘違いしてはならないのが「個人情報」と「個人データ」は定義が異なるというところです。
開示請求にあるのはあくまで「保有されている個人データ」のみです。
だからこそこの定義の理解がかなり重要で、前の方に記載していた定義の部分は少し詳しく書いています。
一方、きちんとデータベース化された社員情報を会社が持っていた場合は、開示請求の対象になるとも解釈できます。
まぁ社員とはいえ手数料とられる可能性はありますけどね・・・。

ただ、同じくQ&Aにありましたが、会社で持っている社員情報の場合、扶養などの関係で家族の情報も紐づいて持っている場合があります。
そういった場合、社員本人から開示請求があった場合、会社側は家族の情報を開示できません。
家族は本人ではないですからね。
家族の情報も欲しいなら家族から委託を受けて、代理として本人が請求する、ということにしないといけないんじゃないかと思います。
この辺は社会保険や年末調整関連でマイナンバーどうこうでなんかありましたね(詳細忘れてしまいましたが。。)

最後に

上記の内容はあくまでピックアップ的なものです。
具体的には個人情報保護委員会の法令・ガイドライン等に掲載されている、
様々な資料を読むのが望ましいです。

個人的にそこまでする人がはたしてどれだけいるのかはなんとも言えませんが。。

おもしろいなと思ったのは「法令・ガイドライン等」のページに掲載されている『「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A』ですね。
目次含めて約90ページ弱ありますが、「へぇー」という感覚で、しかもQ&A集になっていますから、1つ1つは長くはないのでさくっと読めます。

でもこういったドキュメントがないと、ガイドライン単体では細かい事例まで解釈できないってのはなかなか難儀だと思います。
それなりの規模の事業者では専門のチーム等があるとは思いますが、多くは総務の方や、小規模事業者だと経営者などがこういったものを確認しないといけませんからね。
近年は大きな法改正が多いですし、ひとごとには出来ませんがなかなか大変だと思います。

関連リンク:
* 個人情報保護委員会 – PPC
* 個人情報保護法について
* 法令・ガイドライン等