2015年9月9日に成立した改正個人情報保護法。全面施行のタイミングが迫ってきました。施行予定日は2017年5月30日となっています。施行準備も着々と進んでいます。委員会規則は2016年10月5日に制定、ガイドラインは2016年11月30日に制定されました。
次に各テーマのポイントを確認していきます。
(1)匿名加工情報の利用・提供の促進 36条~39条
今回の改正において最も議論されたテーマです。個人情報を適切な方法により匿名加工した情報は、本人の同意を得ることなく第三者に提供することができるようになりました。ただし、委員会規則に従った匿名加工の実施、委員会規則に基づく必要事項の公表、安全管理措置の実施等が要求されます。
匿名加工の難しさをイメージするために下記のようなQuizを考えてみましょう。
「郵便番号、性別、生年月日の3情報で米国国民の何%が識別されるか?」
答えは85%です。わずか3つの情報で大半の米国国民が識別されるのです。日本では、さらに識別率が上がることになります。
次に、もう少し論点を詳細に検証するために2013年に話題になったSuica事例をベースに考えてみましょう。
JR東日本は、SuicaID、氏名(記名式Suicaの場合のみ)、乗降履歴を含むのビッグデータを保有していました。このデータをSuicaIDを1対1で置換、氏名をマスキングして日立製作所に提供しました。この提供が「個人情報」の第三者提供に該当するかどうかが、議論されました。
現在の通説としては、本件は「個人情報」の第三者提供に該当することになります。容易照合性の判断基準がポイントになります。容易照合性を提供元を基準とするか、提供先を基準にするか、という論点です。政府筋の見解として「提供元基準」が通説となっております。JR東日本はSuicaIDを置換した後の仮IDを基に、匿名化した情報を容易に復元することが可能だと考えられます。よって、本件は個人情報の第三者提供に該当する可能性が高い、という結論になりました。
もう1つ、本件データが、改正法の「匿名加工情報」と言えるのか、という問題です。委員会規則に5つの要件が定められていますが、こちらの要件のあてはめをおこなうと、明らかに本件データは「匿名加工情報」の要件を満たしていません。(仮IDを割り振ったのみの匿名化は単なる「仮名化」と言います)
データのユースケースやデータの内容によって運用が異なりますが、「k-匿名化」を意識した匿名加工が必要だと考えるべきです。
最後に、事業者が誤解しやすいポイントについて補足しておきます。社内でマーケティング分析をおこなう際に安全管理上の観点から個人情報を匿名化して分析をおこなった場合に、匿名加工情報取扱事業者の義務を負うことになるのか、という論点です。社内での分析のみの利用(委託先に分析業務を委託した場合も含む)は、改正法における匿名加工情報の取扱いに該当しません。
(2)利用目的変更の要件緩和 15条
旧条文「利用目的を変更する場合には、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない」からこっそり、「相当の」が削除されたことが話題になりました。たった3文字なくなっただけなのですが、どのような影響があるのでしょうか。下記のような説明がされています。
「当初特定した利用目的とどの程度の関連性を有するか総合的に勘案して判断されるもので、必ずしも同一の事業の範囲内に限定するものではない。」
つまり、個人情報を取得した当初はA事業での利用に関してのみ本人に利用目的通知していた場合にも、関連性を有していれば新たに立ち上げたB事業にも利用できる、ということです。下記のような例が別事業にまたがりつつも、関連性を有しているとされるものとなります。
・フィットネスクラブの運営事業者が、会員向けにレッスンやプログラムの 開催情報をメール配信する目的で個人情報を保有していたところ、同じ情 報を用いて新たに始めた栄養指導サービスの案内を配信する。
・防犯目的で警備員が駆けつけるサービスの提供のため個人情報を保有していた事業者が、事業拡大に伴い始めた「高齢者見守りサービス」について、既存顧客に当該サービスを案内するためのダイレクトメールを配信する。
・住宅用太陽光発電システムを販売した事業者が、対象の顧客に対して、提 携先である電力会社の自然エネルギー買い取りサービスを紹介すること。
・電力会社が、顧客に省エネを促す目的で、家庭内の機器ごとの電力使用状 況を収集し、その使用量等を分析して顧客に提示していたところ、同じ情 報を用いて、省エネに資する家電制御技術の研究開発を行う。
(3)個人情報の定義の明確化 2条
「個人識別符号」という概念があらたに加わりました。個人識別符号は下記のように分類されます。
1)遺伝子情報、指紋情報等のバイオメトリクス情報
2)個人特定性の高いID
詳細は、委員会規則に定められることになりますが、「2)個人特定性の高いID」に何が該当するのか、関心を集めることになりました。顧客番号、従業員番号、携帯電話番号、機器の個体識別番号、IPアドレスなどがこれに該当するのか?というポイントです。
結論から言うと、「2)個人特定性の高いID」は行政機関が発行したIDのみが該当することになりました。つまり、民間が発行した顧客番号などは該当しません。多くの事業者は、委員会規則が発表されたときに、胸をなでおろしたことと思います。
ただし、誤解がないようにもう一度整理しておきたいと思います。任意のIDが個人情報に該当するかどうかは、まず個人識別符号に該当するかで判断します。該当した場合は、単体でも個人情報にあたると考えます。次に個人識別符号に該当しない場合は容易照合性を考えます。容易照合性がない場合に、個人情報にあたらない、と言うことができます。例えば携帯電話番号は個人識別符号に該当しないのですが、容易照合性を有することで個人情報に該当する可能性が十分にある、ということです。
(4)要配慮個人情報の新設 2条、17条
病歴、傷害、犯罪歴等、差別につながり得る個人情報を「要配慮個人情報」として定めました。プライバシーマークにおいては、EU指令にならって「特定の機微な個人情報」というカテゴリーが別立てされていましたが、旧法においては、個人情報は全て同列のあつかいでした。
※「特定の機微な個人情報」と「要配慮個人情報」は厳密には定義が異なります。「特定の機微な個人情報」の方が広い概念となります。
通常の個人情報との義務の違いについて考えてみます。
法文上は明確になっていませんが、通常の個人情報よりも重い安全管理義務を負うことになります。
次に取得時の措置について、通常の個人情報はオプトアウト型の取得が可能ですが、要配慮個人情報はオプトイン型の取得が必須となります。
提供に関しては、通常の個人情報はオプトアウト型の第三者提供(ただし個人情報保護委員会への届け出が必要)が可能ですが、要配慮個人情報はオプトイン型の提供しかできません。
要配慮個人情報だからと言って、法律上、明確に厳しい義務が課せられるわけではないのですが、法の趣旨を考えると、原則として取り扱わない、と考えるべきだと思います。
(5)第三者提供規制の強化 23条、25条、26条
2014年、教育系出版社から大量の顧客情報が漏洩した際に、名簿屋問題が注目されました。2005年の個人情報保護法施行により、名簿業者は違法となり、表向きには存在しなくなったと、一般の方は考えていました。ところが、法施行後も名簿屋は活発に事業をおこなっており、一部上場企業まで名簿を買い漁る状況でした。
23条の改正、25条、26条の新設は、まさに名簿業者を規制する目的でおこなわれました。
一番のポイントが、オプトアウト型の第三者提供をおこなう場合に、個人情報保護委員会への届け出が必要となったということになります。委員会がどこまで厳しく名簿業者を取り締まるのかは、明らかになっていませんが、23条改正により、大半の名簿業者は名簿の販売が不能になってしまいます。(ブラックマーケットは残ると思いますが…)
名簿屋だけでなく、一般の事業者にも影響する部分があるので、注意が必要です。第25条は提供する際の記録保持義務、第26条は提供を受ける際の記録保持義務となります。こちらはオプトイン型の提供にも課せられる義務となります。
(6)海外への個人情報の移転時の規制 24条、78条
個人情報を外国の企業に提供する場合は、本人の同意が必要である、という条文が追加されました。業務委託関係にある外国の企業に提供する場合(第23条5項においては、委託先は「第三者」に該当しないため、同意は不要となっている)に同意が必要なのか、がポイントになります。第24条の例外は、第23条1項のみに適用され、23条5項には適用されないため、外国の企業に委託する場合も同意義務が発生することになります。思った以上に重い義務になっています。(いくつかの事業者に聞き取り調査をおこなったところ、24条の影響を重く見る企業を多いことが分かっています)
ただし、以下に該当する場合は24条は適用されません。
a)十分性が認められた外国にある企業
個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるもの
※現段階では、十分性が認められた国は公表されていません。
b)個社として適正な企業
個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者
24条が適用されない場合は、23条適用となります。そのため5項の但し書きが復活しますので、a)b)に該当する外国の企業に委託する場合の同意は不要となります。第三者提供の記録保持義務(第25条)はどうなのか、とうい論点については、ガイドラインの整理によると、23条5項適用のため、記録保持義務は発生しません。
(7)開示等請求権の明確化 28条~30条、34条
改正前と改正後の条文を比較してみましょう。
<改正前>法第25条第1項
個人情報取扱事業者は、本人から、当該本人が識別される保有個人デー タの開示(当該本人が識別される保有個人データが存在しないときにその旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、 政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。
<改正後>法第28条第1項
本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。
一見すると改正前の方が事業者にとっての義務が重いように見えます。ところがそうではないのです。
例えば、本人が事業者に対して開示請求をおこなった際に、事業者が請求を拒んだとします。
改正前の条文では、義務違反に該当する可能性がでてきます。主務官庁から義務違反を認定された場合に、事業者は、「注意」の処分を受けることが予想されます。適正な事業者において、請求を拒む事例は請求者側に問題があるケースが多いため、義務違反と認定される可能性も低いと考えられます。
一方、改正後の条文においては、「本人は、(中略)請求することができる」となっています。本人の権利として規定されています(改正前の条文では「事業者の義務」として規定)。事業者が請求を拒んだ場合に、本人は訴訟を提起することが可能になります(事業者には請求を受理してから2週間の猶予期間が与えられる)。
どのような対応が必要なのか
事業者としてどのような対応が必要なのかを考えてみます。各企業においていは、「個人情報保護規程」のような社内規程を定めていると思います。「個人情報保護規程」を上述した変更点に留意しながら変更する必要があります。これを2017年4月1日までに完了すれば問題ありません。大半の企業にとっては実務への影響は少ないため、規程の改訂をおこない、万が一に備えておけば十分です。
プライバシーマーク取得企業にとっても同様です。ところが、JIS Q 15001も改正が予定されており、JIS改正への対応も別途必要になります。新しいJIS規格は2017年春頃に案が公表され、2017年秋には確定するものと思われます。11年振りの改正となるため、法改正に関係ない部分も色々といじるのではないか、と噂されています。JISがどこまで変わるのか、2017年春には判明するはずです。