自治会やマンションの管理組合でも必要?個人情報保護法

個人情報保護法は施行されて10年程度経過し、2015年に大改正、2017年に施行されています。

個人情報の番人として「個人情報保護委員会」が置かれたりしてますが、どのように変わったかご存知でしょうか?

ITの現場に限らず、仕事の中で個人情報を扱うケースは多いと思います。

しかし、法改正により、小規模事業者も対象になったため、会社だけではなく、マンションの管理組合、自治会、同窓会、なども法規制の対象となっています。

そもそも個人情報保護法って何?

「個人情報保護法」は、個人情報を取り扱う民間事業者に対して遵守すべき義務などを定めた法律になります。

2003年(平成15年)に成立した「個人情報保護法関連五法」の1つになります。

  • 個人情報の保護に関する法律
  • 行政機関の保有する個人情報の保護に関する法律
  • 独立行政法人等の保有する個人情報の保護に関する法律
  • 情報公開・個人情報保護審査会設置法
  • 行政機関の保有する個人情報の保護に関する法律等の施行に伴う関係法律の整備等に関する法律(整備法)

「個人情報の保護に関する法律」の略称が 「個人情報保護法」になります。

「個人情報保護法関連五法」は、個人情報を保護するための法律で、その基本法制(基本となる法律と制度)が「個人情報の保護に関する法律」つまり「個人情報保護法」になります。

「個人情報」の定義は?

「個人情報」の定義は、電子政府の総合窓口「e-Gov(イーガブ)」

Link 電子政府の総合窓口|個人情報の保護に関する法律

を見ると、

この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

「個人情報の保護に関する法律」第2条より

という説明から始まり、「個人を特定できる情報」を定義しています。

具体的には、

  • 氏名、生年月日その他の記述等、特定の個人を識別することができるもの
  • 「個人識別符号」が含まれるもの

とあります。「個人識別符号」は改正後での新しい定義です。

一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

e-Gov「個人情報の保護に関する法律」第2条2項より

(一)は、顔認証データ、DNAデータ、虹彩、声紋、指紋、掌紋、手指などの静脈、などなどです。

(二)は、旅券番号、免許書番号、マイナンバー、識別ID・番号を付与された各種証書、などなどですね。

また、「要配慮個人情報」も新たに定義されています。

この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。

e-Gov「個人情報の保護に関する法律」第2条3項より

次に、個人を特定できないよう加工した情報「匿名加工情報」も定義されています。

9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。

e-Gov「個人情報の保護に関する法律」第2条9項より

規律にのっとり特定の個人を判別できないよう情報を加工すれば、「匿名加工情報」として個人情報の対象から外れます。

これらは「個人情報保護法」の中で取り扱われる情報になるので、最低限把握しておくべきと思います。

本人同意に基づく個人情報の第三者提供

改正後、個人情報を取得する場合、あらかじめ本人に利用目的を明示する必要があります。

また、個人情報を他企業などに第三者提供する場合は、あらかじめ本人から同意を得る必要があります。

第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

e-Gov「個人情報の保護に関する法律」第23条1項より

事前に「第三者に提供する可能性があります。拒否する場合は手続きをしてください。」と案内していれば、 本人の同意を得ているとみなされてしまいます。

「要配慮個人情報」を省いて第三者に提供できる気がします。

この点注意が必要です。

オプトアウト手続きによる個人情報の第三者提供

法改正後、原則として、本人の同意がない場合、個人情報を第三者に提供することは禁止ですが、手続次第で「オプトアウトによる情報の第三者提供」を実施することができます。

2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。

e-Gov「個人情報の保護に関する法律」第23条2項より

3 個人情報取扱事業者は、前項第二号、第三号又は第五号に掲げる事項を変更する場合は、変更する内容について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならない。

e-Gov「個人情報の保護に関する法律」第23条3項より

このように、法改正後、「オプトアウトによる情報の第三者提供」のルールは厳格化されていますが、名簿業者が対象のようです。

改正個人情報保護法の施行(平成29年5月30日)に伴い、法第23条第2項に基づくオプトアウト手続により個人データを第三者提供しようとする者(現にオプトアウト手続を行っている者に加えて、新たにオプトアウト手続を行う予定の者を含みます。)は、オプトアウト手続を行っていること等を個人情報保護委員会へ届け出ることが必要となりました。
オプトアウト手続の届出の主な対象者は、いわゆる名簿業者です。
 名簿業者以外の事業者が届出が必要となるかは個別の判断となりますが、本手続を行う必要がない場合もあります。詳しくは「オプトアウト手続の概要」をご覧ください。

個人情報保護委員会「オプトアウト届出の概要」より

私は、時々よくわからない所から自宅に電話がかかってきます。

本当に法令を遵守されているか、と疑問に思う場合がありますね(^^;

個人情報提供の記録

上記のように第三者提供が定義されていますが、個人情報を第三者に提供した場合は、その提供者の記録を、提供を受けた側も、提供者の記録を一定期間保存しておくことが義務付けられてます。

全文ではないですが、以下抜粋です。

第二十五条 個人情報取扱事業者は、個人データを第三者(第二条第五項各号に掲げる者を除く。以下この条及び次条において同じ。)に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成しなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれか(前条の規定による個人データの提供にあっては、第二十三条第一項各号のいずれか)に該当する場合は、この限りでない。
2 個人情報取扱事業者は、前項の記録を、当該記録を作成した日から個人情報保護委員会規則で定める期間保存しなければならない。
(第三者提供を受ける際の確認等)
第二十六条 個人情報取扱事業者は、第三者から個人データの提供を受けるに際しては、個人情報保護委員会規則で定めるところにより、次に掲げる事項の確認を行わなければならない。ただし、当該個人データの提供が第二十三条第一項各号又は第五項各号のいずれかに該当する場合は、この限りでない。
一 当該第三者の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名
二 当該第三者による当該個人データの取得の経緯

e-Gov「個人情報の保護に関する法律」第25条、第26条1項より

「トレースが取れるよう保存しておきなさい」という事ですが、どこまで厳格に実施されているかは不明です。

匿名加工情報の利用

先日、Suicaに関連して、JR東日本が取得した情報を日立に提供したとしてニュースにもなっていましたよね。

Link JR東日本|Suicaに関するデータの社外への提供

JR東日本からは「データを組み合わせて個人を再特定することは契約の中で禁止されている」とされています。たまたま世の中に知られることとなりましたが、知られてないだけで、こういった事が既に起こっているかもしれないです(^^;

どこまで実施されているかは正直なところわかりません。

他にも変化が

法改正により、他にも変化がありました。

日本の個人情報を取得した海外事業者にも個人情報保護法が適用されます。

グローバル化を視野に入れた対応で、e-Gov「個人情報の保護に関する法律」を見ても各所に「外国」というキーワードが置かれています。

ご参考

以下、ご参考です。

Link 個人情報保護委員会

Link 個人情報保護委員会|第三者提供時の確認・記録義務編

Link 国土交通省|個人情報保護関連5法の概要

Link 電子政府の総合窓口|個人情報の保護に関する法律

最後に

社内で取り扱う場合も意識は必要ですが、適用の範囲が広がった事で、より身近な場で個人情報保護の取り組みが必要となります。

結構ややこしいので私も再確認が必要と感じました。

身近で必要以上に「個人情報が…」というお話が出ている場合、こういった法律が関わっているという事は知っておいた方がよいと思います(^^)

スポンサーリンク
Simplicityのレクタングル広告(大)
Simplicityのレクタングル広告(大)

フォローする

スポンサーリンク
Simplicityのレクタングル広告(大)