個人情報保護法改正について

平成29年5月に、改正個人情報保護法が施行されました。
大きな改正として、以前は取り扱う個人情報の数が5000以下である事業者は規制の対象外でしたが、今回の改正からすべての事業者が規制の対象となりました。

個人情報保護法とは
・個人の権利・利益の保護と個人情報の有用性とのバランスを図るための法律
・基本理念を定めるほか、民間事業者の個人情報の取扱いについて規定したもの

個人情報に該当するかどうかの判断が困難ないわゆる「グレーゾーン」が拡大したこと、「個人情報」に限定されない個人の行動・状態 に関するデーを含むビッグデータの適正な利活用ができる環境の整備が必要であること、事業活動がグローバル化し国境を越えて多くのパーソナルデータが流通していることをふまえた改正となります。

事業者が守るべきルールを確認しておきましょう。

個人情報保護法

① 個人情報を取得・利用する時のルール

■どのような目的で個人情報を利用するのかについて、具体的に特定する。
■個人情報を取得した場合は、その利用目的を本人に通知、又は公表する。
■取得した個人情報は特定した利用目的の範囲内で利用する。
■すでに取得した個人情報を他の目的で利用したい場合には、本人の同意を得る。
■要配慮個人情報を取得する時は、本人の同意が必要。

次のいずれかに該当する情報が「要配慮個人情報」となります。

・人種、信条、社会的身分、病歴、前科、犯罪被害情報
・その他本人に対する不当な差別、偏見が生じないように特に配慮を要するものとして政令で定めるもの
…身体障害・知的障害・精神障害等があること
…健康診断その他の検査の結果
…保健指導、診療・調剤情報
…本人を被疑者又は被告人として、逮捕、捜索等の刑事事件に関する手続が行われたこと
…本人を非行少年又はその疑いのある者として、保護処分等の少年の保護事件に関する手続が行われたこと

② 個人情報を保管する時のルール

■「紙の顧客台帳はカギのかかる引き出しで保管」「パソコン上の顧客台帳にはパスワードを設定」「顧客台帳を管理するパソコンにウィルス対策ソフトを入れる」など、安全に管理するための措置をとる。
■正確で最新の内容に保ち、必要がなくなったときはデータを消去するよう努める。
■従業員が会社で保有する個人情報を私的に使ったり、言いふらしたりしないよう、社員教育を行う。
■個人情報の取扱いを委託する場合、委託先に対して必要かつ適切な監督を行う。

③ 個人情報を他人に渡す時のルール

■業務の委託、事業の承継、共同利用は、第三者提供には当たらない。
■第三者へ提供した時は、受領者の氏名等を記録し、一定期間保存する。
■第三者から個人データを受け取るときは、提供者の氏名等、取得経緯を確認し、受領年月日、確認した事項等を記録し、一定期間保存する。

④ 個人情報を外国にいる第三者に渡す時のルール

■次の①~③のいずれかに該当する必要がある。
・① 外国にある第三者へ提供することについて、本人の同意を得る。
・② 外国にある第三者が個人情報保護委員会の規則で定める基準に適合する体制を整備している。
・③ 外国にある第三者が個人情報保護委員会が認めた国に所在する。

⑤ 本人から個人情報の開示を求められた時のルール

■本人からの請求に応じて、個人情報を開示、訂正、利用停止等をする。
■以下の①~⑤について、HPに公表するなど本人の知り得る状態に置く。
①事業者の名称
②利用目的
③請求手続の方法
④苦情の申出先
⑤認定個人情報保護団体に加入している場合、当該団体の名称及び苦情申出先
■個人情報の取扱いに関する苦情を受けた時は、適切かつ迅速に対処する。

<リンク>個人情報保護委員会