ITとビジネスの専門家によるコラム。経営、業種・業界、さまざまな切り口で、現場に生きる情報をお届けします。
第26回 施行まであと半年? 1年? 全事業者が対象に! 改正個人情報保護法で何が変わる!?
2005年4月に全面施行された個人情報保護法が、施行後10余年を経て、ついに改正されることになりました。
改正個人情報保護法は、公布(2015年9月9日)から2年以内での施行となります。“2年以内”とは2017年9月までを指しますが、前回施行が4月であったことを考えると、2017年4月施行の可能性もあり、早めに個人情報保護法の理解、セキュリティの強化、社内体制の構築、社員への教育・意識向上などの準備が必要になります。
今回は、中堅・中小企業も無視できなくなった、個人情報保護法の改正のポイントを中心にお伝えします。
改正の背景・課題と大きな変更点
2005年4月の全面施行後、情報技術の発展により、グレーゾーン(個人情報に該当するか否か)の拡大やビッグデータへの対応、そしてグローバル化など、制定当時に想定されていなかった問題が顕在化するようになりました。こうした背景・課題もあって、この度改正が行われることになりました。
改正のポイントは幾つかありますが(後述)、中でも大きなポイントとして挙げられるのが対象事業者の変更です。現行法では、「過去6カ月以内で5,000人以上の個人情報を保有する事業者」でしたが、改正法では保有件数の定義が撤廃となり、「ほぼ全ての事業者」が法令の対象となります。
また、マイナンバー制度の運用が始まり、企業は個人番号を取り扱う場合、番号法の規定に従って運用する必要が生じます。保有する件数に関係なく、個人情報の保護が求められます。
5つの改正のポイント
- 個人情報定義の明確化
個人情報に該当するか否か、例えば、指紋認証や顔認証データなど身体の一部の特徴をデータ化した文字や、旅券番号・運転免許証番号のような個人に割り当てられた番号などを「個人識別符号」として、それ単体でも個人を特定できる個人情報であると明らかにしました。
- 個人情報の有用性を確保
個人情報をビッグデータとして事業活動に活用できないのでは、経済活動を抑制してしまうという観点から「匿名加工情報」として、それを適切に取り扱うための枠組みを作りました。これにより大量データを収集、分析し、ビジネスに活用することが可能となりました。
- 個人情報の流通の適性さを確保(名簿屋対策)
個人データを第三者とやり取りする場合、誰に情報を渡すか、誰から受け取った情報なのか、適切に情報がやり取りされたことの記録と保存、確認をする必要があります。また、「個人情報データベース等提供罪」が新設され、個人情報データベース等を不正な利益を図る目的で第三者に提供、または盗用した場合は、1年以下の懲役または50万円以下の罰金として処罰の対象になりました。
- 個人情報保護委員会の新設
- 個人情報取り扱いのグローバル化
個人情報保護委員会の規則に沿った方法、または同委員会が認めた国、または本人同意により外国への第三者提供が可能となりました。
次回は11月上旬の更新予定です。