個人情報保護法改正のポイント

 

参考url)

個人情報保護委員会

個人情報の保護に関する法律についてのガイドライン(通則編)

行政機関・独立行政法人等における個人情報の保護について_総務省

個人情報保護法条文新旧対象

 

<個人情報保護法の改正の主要ポイント_平成29年5月30日全面施行>

 

1.個人情報を取り扱う全ての事業者に個人情報保護法が適用される。

 

… 取り扱う個人情報の数が5000以下である事業者を規制の対象外とする制度を廃止。一方で改正法の附則において、個人情報保護委員会はガイドラインの策定に当たて小規模事業者(一定要件に該当する従業員数100人以下の事業者)に配慮するを規定。 

 

個人情報保護法2条5項 

 この法律において「個人情報取扱事業者」とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。 
(1)  国の機関
(2)  地方公共団体
(3)  独立行政法人等…独立行政法人等の保有する個人情報の保護に関する法律第 2 条第 1 項に規定する独立行政法人等をいう。
(4)  地方独立行政法人…地方独立行政法人法第 2 条第1項に規定する地方独立行政法人をいう。

 

2.民間事業者の監督権限を個人情報保護委員会に一元化する

 

 改正法の一部施行により、平成28年1月1日に個人情報保護委員会が設置されていたが、改正法の全面施行に伴い、主務大臣が有していた民間事業者の監督権限を個人情報保護委員会に一元化する。(公的機関の監督体制には変更なし。)

 

個人情報保護法50条

 内閣府設置法第四十九条第三項 の規定に基づいて、個人情報保護委員会を置く。

  

3.個人情報の定義を変更し「個人識別符号」を新たに設けた。

 

 「個人情報」の定義の明確化を図るため、生存する特定の個人を識別することができる情報として新たに「個人識別符号」の定義を設けた。「個人識別符号」は、それ単体でも(他の情報と組み合わせなくても)個人を特定する個人情報に該当する。

 

個人情報保護法2条

 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

2  この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。

一  特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの

二  前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの

 

個人情報の保護に関する法律施行令1条

 個人情報の保護に関する法律第2条第2項の政令で定める文字、番号、記号その他の符号は、次に掲げるものとする。

一 次に掲げる身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、特定の個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合するもの

① 特定の個人の身体の一部の特徴を電子計算機の用に供するために返還した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの

イ 細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列

ロ 顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌

ハ 虹彩の表面の起伏により形成される線状の模様

ニ 発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化

ホ 歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様

ヘ 手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静脈の形状

ト 指紋又は掌紋

② 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

1  旅券番号

2  基礎年金番号

3  運転免許証番号

4  住民票コード

5  個人番号(マイナンバー)

6  国民健康保険の被保険者証の記号、番号及び保険者番号

7  後期高齢者医療制度の被保険者証の番号及び保険者番号

8  介護保険の被保険者証の番号及び保険者番号

9  健康保険の被保険者証の記号、番号及び保険者番号

10 高齢受給者証の記号、番号及び保険者番号

11 船員保険の被保険者証の記号、番号及び保険者番号

12 船員保険の高齢受給者証の記号、番号及び被保険者番号

13 旅券番号(日本国政府が発行したもの以外)

14 在留カードの番号

15 私立学校教職員共済の加入者証の加入者番号

16 私立学校教職員共済の高齢受給者証の加入者番号

17 国民健康保険の高齢受給者証の記号、番号及び保険者番号

18 国家公務員共済組合の組合員証の記号、番号及び保険者番号

19 国家公務員共済組合の組合員被扶養者証の記号、番号及び保険者番号

20 国家公務員共済組合の船員組合員証及び船員組合員被扶養者証の記号、番号及び保険者番号

21 地方公務員等共済組合の組合員証の記号、番号及び保険者番号

22 地方公務員等共済組合の組合員被扶養者証の記号、番号及び保険者番号

23 地方公務員等共済組合の高齢受給者証の記号、番号及び保険者番号

24 地方公務員等共済組合の船員組合員証及び船員組合員被扶養者証の記号、番号及び保険者番号

25 雇用保険被保険者証の被保険者番号

26 特別永住者証明書の番号

 

4.「要配慮個人情報」を新たに定義した。

 

個人情報保護法2条1項3号(要配慮個人情報)

 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

① 人種

② 信条

③ 社会的身分

④ 病歴

⑤ 犯罪の経歴

⑥ 犯罪により害を被った事実

⑦ その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報

 

個人情報の保護に関する法律施行令2条(要配慮個人情報)

ア 身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の障害があること。

イ 本人に対して医師その他医療に関連する職務に従事する者(「医師等」)により行われた疾病の予防及び早期発見のための健康診断その他の検査(「健康診断等」)の結果

ウ 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。

エ 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。

オ 本人を少年法に規定する少年又はその疑いのある者として、調査、観護の措置、審判保護処分その他の少年の保護事件に関する手続が行われたこと。

 

個人情報保護法17条2項(要配慮個人情報の取得)

 個人情報取扱事業者は、次に掲げる場合を除いて、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。

① 法令に基づく場合

② 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
③ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

⑤ 当該要配慮個人情報が、本人、国の機関、地方公共団体、個人情報保護法76条1項各号に掲げる者、外国政府、外国の政府機関、外国の地方公共団体又は国際機関、外国における個人情報保護法76条1項各号に掲げる者に相当する者により公開されている場合。

⑥ その他前各号に掲げる場合に準ずるものとして政令で定める場合

(ア)本人を目視し、又は撮影することにより、その外形上明らかな要配慮個人情報を取得する場合

(イ)委託、事業承継又は共同利用に伴って個人データの提供を受ける場合において、要配慮個人情報の提供を受けるとき。

 

5.個人データの第三者提供について

 

個人情報保護法23条1項 

 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。(注:本人から「事前の同意」を得ることを「オプトイン」(opt-in)と言います。)

① 法令に基づく場合

② 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

③ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

④ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。 

 

個人情報保護法23条(「オプトアウト」による第三者提供手続きの厳格化)

(注:あらかじめ本人に対して個人データを第三者提供することについて通知し、または認識することができる状態にしておき、本人がこれに反対をしない限り同意したものとみなし、第三者提供を認めることを「オプトアウト」(opt-out)と言いますが、この要件が厳格化されました。「要配慮個人情報」はオプトアウトによる第三者提供が出来ません。)

 

1. 個人情報取扱事業者は、本人同意を得ない個人データ(要配慮個人情報を除く)の第三者提供をしようとする場合には、次の事項を、個人情報保護委員会規則で定めるところにより、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。

① 第三者への提供を利用目的とすること
② 第三者に提供される個人データの項目
③ 第三者への提供の方法
④ 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

⑤本人の求めを受け付ける方法

2. 個人情報取扱事業者は、②・③・⑤に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ本人に通知し、または本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。

3. 個人情報保護委員会は、上記の届出があったときは、個人情報保護委員会規則で定めるところにより、当該届出に係る事項を公表しなければならない。

 

6.第三者提供時の確認・記録義務について

 

個人情報保護法25条(個人データの第三者提供時の確認・記録義務

 

1. 個人情報取扱事業者は、個人データを第三者(第 2 条第 5 項各号に掲げる者を除く。以下この条及び次条において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第 23 条第 1 項各号又は第 5 項各号のいずれか(前条の規定による個人データの提供にあっては、第 23 条第 1 項各号のいずれか)に該当する場合は、この限りでない。

2.個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。

 

(再掲_法第 2 条第 5 項各号に掲げる者) 

(1)  国の機関
(2)  地方公共団体
(3)  独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律第 2 条第 1 項に規定する独立行政法人等をいう。以下同じ。)
(4)  地方独立行政法人(地方独立行政法人法第 2 条第 1項に規定する地方独立行政法人をいう。以下同じ。)

  

7.外国にある第三者へ提供するときは本人の同意が必要

 

個人情報保護法24条(外国にある第三者への提個人データの提供)

 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この条において同じ。)に個人データを提供する

場合には、前条第 1 項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。 

 

8.匿名加工情報について

 

 (注:匿名加工情報とは、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報をいう。個人情報の取り扱いよりも緩やかな規律のもとにより自由な流通・利活用を促進する。)

 

個人情報保護法36条1項(匿名加工情報の作成等)

 個人情報取扱事業者は、匿名加工情報(匿名加工情報データベース等を構成するものに限る。以下同じ。)を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない。


個人情報保護委員会規則19条(匿名加工情報の加工基準)

 法第 36 条第 1 項の個人情報保護委員会規則で定める基準は、次のとおりとする。

(1)  個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること(当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

(2)  個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

(3)  個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号(現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る。)を削除すること(当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む。)。
(4)  特異な記述等を削除すること(当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

(5)  前各号に掲げる措置のほか、個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し、その結果を踏まえて適切な措置を講ずること。