はじめに

改正個人情報保護法が、2017年5月30日に全面施行されましたね。

みなさんは、個人情報保護法と聞いてどのようなことを思いうかべるでしょうか?

「個人情報保護法っていう名前なんだから、私たちの個人情報を守ってくれる法律でしょ?」

ざっくりいえばそのとおりです。

ただ、個人情報を取り扱う事業者側から見た場合、守るべき細かいルールや義務がたくさんあります。

特に、従来は保有している個人情報の件数が5000件を超えていなければ個人情報保護法の規制対象から外されていましたが(いわゆる5000件要件)、2017年個人情報保護法改正で5000件要件が撤廃されました

たった1件でも個人情報を取り扱っている事業者は、すべて個人情報保護法が適用されることになったのです。

そのため、今まで個人情報保護法とは無縁だったベンチャー企業なども規制の対象となり、きちんとルールを把握し対応しておかないと、最悪の場合、

  • 最大6か月の懲役 または30万円の罰金
  • 情報が流出してしまった被害者への損害賠償

を負うリスクがあります。

そこで今回は、個人情報保護法について、その変更点の概要やポイントを中心に分かりやすく解説していきたいと思います。

1 個人情報保護法とは

個人情報保護法

個人情報保護法」とは、事業者がユーザーや取引先などから取得した「個人情報」の取り扱いに関するルールを定めた法律です。

現在、企業や団体、個人事業主など、たくさんの事業者が顧客データや自社の従業員データなどの個人情報を保有・管理しています。

昔と違って、事業者にとって個人情報は、上手に使えば新たなビジネスチャンスや利益を生み出す貴重な財産といえますよね。

一方で、個人情報は、一度誤った取扱いをしてしまうと、その事業者だけでなく広く世の中に甚大な被害をもたらす可能性もあります。

そして現在、情報管理の仕方がずさんであったために個人情報が外部に流出したり、内部関係者が個人情報を名簿業者に売ってしまうなどの事件が数多く起こっています。

みなさんも日々のニュースでよく目にするのではないでしょうか。

その最たるものが、2014年におよそ3,504万件の顧客情報が流出したベネッセ個人情報流出事件であり、今回の個人情報保護法改正のきっかけにもなった事件です。

このような個人情報の漏えいや不正利用から個人の権利や利益を守るため、事業者が守るべき共通のルールとして「個人情報保護法」が作られ、時代に合わせてこの度アップデート(改正)されたのです。

2 「個人情報」の定義について

個人情報

2017年の個人情報保護法改正では、「個人情報」の定義が明らかにされました。

ですが、改正後の「個人情報」については基本的に今までの定義が元になっています。

そこで、まずは改正前の「個人情報」の定義から確認していきましょう。

(1)改正前の「個人情報」の定義

これまでの個人情報保護法での「個人情報」の定義は、分かりやすく3つに分けると以下のようになります。

    ①生きている個人に関する情報であって、

        +

    ②その情報に書いてある名前や生年月日などにより特定の個人を識別できるもの
            or
    ③他の情報と簡単に照合することができて、それによって特定の個人を識別できるもの

①については、文字どおり、生きている個人に関することならどんなものでも含まれます

でも、これではその範囲があまりにも広くなってしまうため、②によって「特定の個人を識別できるもの」に限定されています。

そのため、1つ目の個人情報の範囲としては、「個人に関する情報のうち、特定の個人を識別することができるもの」ということになります。

具体的にいうと、人の「氏名」があります。

もちろん同姓同名の可能性もありますが、基本的には個人を特定することができる情報と認識されています。

③については、簡単に他の情報と照合することができて、それにより個人が特定できるものをいいます。

その情報単体では個人を特定することができなくても、他の情報と照合することによって個人を特定することができるのであれば③にあてはまります。

少しわかりづらいかもしれませんが、例えば、ある事業者が①氏名・住所・電話番号が記載されている顧客リストと、②商品の販売履歴のリストの2つを持っていたとします。

このとき、①の顧客リストは個人情報ですが、②の販売履歴についてはそれ単体では個人を特定することができないため、個人情報にはあたりません。

しかし、顧客リストに顧客№1、№2、№3・・・と整理番号が付けられていて、それが販売履歴と紐づけられていた場合は、顧客リストと販売履歴は簡単に照合することができるため、販売履歴はそれによって個人を特定できる「個人情報」になります。

以上のことから、「個人情報」にあたるのは、その情報が

  • ケース1:①生きている個人に関する情報+②特定の個人を識別できる場合
  • ケース2:①生きている個人に関する情報+③照合して個人を識別できる場合

の二つのパターンがあることになります。

(2)改正の要点

次に、2017年個人情報保護法改正のポイント(概要)を簡単に確認しましょう。

①「個人識別符号」の追加(規制強化)

個人情報の定義を明確化することによって、グレーゾーンを解消しました。

②「匿名加工情報」の新設(規制緩和)

個人情報を加工して誰の情報か分からないようにすれば、本人の同意がなくても外部に提供できるようになりました。

③「要配慮個人情報」の新設(規制強化)

差別や偏見につながる可能性のある人種・信条・病歴などが含まれる個人情報を「世要配慮個人情報」として、本人の同意なく集めたり外部に提供することが禁止されました。

④トレーサビリティ(追跡可能性)の確保(規制強化)

漏えいした個人情報の流通経路(トレーサビリティ)をたどることができるようになりました。

それでは、次の項目から詳しく解説していきます。

3 ポイント①~「個人識別符号」の追加~

個人識別符号

まず、2017年改正個人情報保護法でも、これまでどおり「①生きている個人に関する情報のうち、②特定の個人を識別できるものと、③他の情報と簡単に照合できてそれによって特定の個人を識別できるもの」が個人情報であることには変わりありません。

そのうえで改正法では、個人情報の定義が一部修正され、今までは「個人情報」といえるかどうか微妙だったものについても個人情報に含まれることになりました

これにより、個人情報保護法によって保護される対象が今までに比べてさらに明確になりました。

今回新たに個人情報に加わったものの1つとして「個人識別符号」があります。

個人識別符号」とは、その情報のみで特定の個人を識別することができるものをいいます。

個人識別符号は大きく分けて次の2種類があります。

  1. 特定の個人の身体の一部の特徴をコンピュータ処理が出来るようにデジタル化(データ化)した文字・番号・記号などの符号
  2. 例:指紋認識データ、顔認識データ、瞳の虹彩

  3. 対象者ごとに違うものと分かるように、個人がサービスを利用したり商品を購入したりするときに割り当てられ、または個人に発行される書類に記載される文字・番号・記号などの符号
  4. 例:パスポート番号、運転免許証番号、マイナンバー

個人識別符号は、それ単体で個人を特定できる「個人情報」になります

さらに、個人識別符号が含まれる情報についても、全体として「個人情報」になります。

個人識別符号に含まれないものとしては、性別・血液型・電話番号・メールアドレスなどがありますが、この場合も、他の情報と簡単に照合することができて、それによって特定の個人を識別することができる場合には「個人情報」となるので注意が必要です。

4 ポイント②~「匿名加工情報」の新設~

匿名加工情報

個人情報保護法では、事業者が個人情報を取得するときには以下の2点が義務付けられています。

  • どんな目的で個人情報を利用するのかをなるべく具体的に特定すること
  • 目的以外のことに個人情報を使う場合には本人の同意を得ること

また、取得した個人情報を第三者提供する場合にも、同じように本人の同意をもらわなければいけません。

しかし、これだと事業者が個人情報を収集した後、何か他のビジネスに情報を利用したい場合、すべてのユーザーから同意を得なければなりません。

これはビッグデータビジネスに取り組みたい事業者にとってかなりのハードルになります。

実際に、改正前個人情報保護法の下では、ビッグデータビジネスを行う事業者が本人の同意なく収集した個人情報を利用してしまい、違法性が指摘される事案が多発していました。

このような背景を受けて、2017年個人情報保護法改正で導入されたのが「匿名加工情報」です。

匿名加工情報」とは、個人情報を誰の情報か分からないように加工して匿名化した、新しい形の情報をいいます。

個人を特定できない情報なので、「個人情報」にはあたらず、個人情報に関する取扱いのルールは適用されません

その結果、本人の同意がなくても個人情報を目的外で利用でき、また、外部に提供できます。

もっとも、匿名加工情報だからといって、完全なフリーハンドではなく、匿名加工情報については、作成者と受領者がそれぞれいくつかの義務を負わなければなりません

具体的な義務の内容はガイドラインに記載されていますが、このブログでも詳細を解説していきたいと思います。

参考資料:個人情報の保護に関する法律についてのガイドライン (匿名加工情報編)

それでは1つずつみていきましょう。

(1)作成者の5つの義務

①適正加工義務

これは文字どおり、規則に定められている「加工のルール」に従って、、「特定の個人情報であることを分からなくした上で、元になった個人情報を復元することができないよう加工しなければならない義務」をいいます。

せっかく匿名加工情報にしても、それが復元可能であったら匿名加工情報の意味が無いからです。

②安全管理措置

一度はちゃんと加工された情報であっても、加工するときに削除した記述や個人識別符号・加工方法が分かってしまえば、元の個人情報は簡単に復元することができてしまいますよね。

そこで、匿名加工情報を作成した事業者は、規則に定められている「安全管理措置」のルールに従って、匿名加工情報を安全に管理するための措置をとらなければいけません。

③公表義務

匿名加工情報は、本人の同意なく個人情報の加工・利用ができるため、一番最初に情報提供する時以外に本人が関わる機会がありません。

そこで事業者は、匿名加工情報を作成した後、その匿名加工情報に含まれている個人に関する情報の項目を公表しなければなりません

これにより、本人は、自分の個人情報を持っている事業者が匿名加工情報を作成しているかどうかや、それがどんな情報なのかを確認することができます。

④第三者提供時の公表・明示義務

事業者が作成した匿名加工情報を第三者に提供するときは、あらかじめ、提供する情報に含まれる個人に関する情報の項目とその提供の方法を公表しなければいけません

さらに、第三者に対しては、提供する情報が匿名加工情報であることを明示しなければなりません

公表することによって、本人は自分の情報が第三者に提供されることが分かり、苦情を申し出るなどの本人関与の機会を与えることができます。

また、第三者に対して明示することによって、匿名加工情報を取り扱う上での義務について認識させることができます。

⑤識別行為の禁止義務

匿名加工情報は、加工を施すことで、個人を特定できないようにし、さらに、それを復元できなくすることによって「個人情報」ではなくなる、という作り付けになっています。

そのため、匿名加工情報と他の情報を照合して、元の個人情報の本人を特定(識別)することは、匿名加工情報を認めた意味がなくなるので、禁じられています

(2)受領者側の3つの義務

匿名加工情報の提供を受けた事業者も、以下の3つの義務を負います。

  1. 安全管理措置
  2. 第三者提供時の公表・明示義務
  3. 識別行為の禁止義務

義務の中身は基本的に匿名加工情報の作成事業者に対するものと同じですが、③識別行為の禁止義務については、個人情報の加工に関する情報(復元につながる情報)を取得することについても禁止されていることに注意が必要です。

匿名加工情報については、個人情報保護委員会の「匿名加工情報についてのガイドライン」もご参照ください。

5 ポイント③~「要配慮個人情報」の新設~

要配慮個人情報

要配慮個人情報」とは、取扱いに細心の注意を払う必要がある「人に知られたくない情報」のことをいいます。

これまでの個人情報保護法では、こういった機微な情報の取扱いについても他の一般的な個人情報と同様に取り扱っていました。

しかし、例えば、「どんな宗教を信じているか」や「過去にどんな犯罪を犯したのか」などの機微情報は、その取扱い方によっては本人に不等な差別や偏見が生じてしまう可能性があります。

そのため、2017年個人情報保護法改正では、個人情報のうち
本人の人種・信条・社会的身分・病歴・犯罪の経歴・犯罪被害の事実などが含まれる個人情報を「要個人配慮情報」として、普通の個人情報に比べてさらに慎重に取り扱うことを定めました。

それでは、以下で、要配慮個人情報の取扱いについて詳しく見ていきましょう。

(1)適正な取得

一般的な個人情報については、取得する際に本人の同意は必要ありません(ただし、あらかじめ利用目的を公表するか、情報の取得後すみやかに利用目的を通知・公表する必要はあります)。

一方、要配慮個人情報は、原則として本人の同意がないと取得することができません

その理由は先ほど述べたとおり、要配慮個人情報は慎重に取り扱わなければならないものなので、その取扱いについて本人が関与できるようにし、知らないうちに悪用されるという事態を防ごうとしているのです。

ただし、次のような場合には、例外的に本人の同意がなくても要配慮個人情報を取得できます
いずれも、個人のプライバシーよりも優先する利益がある場合です。

①要配慮個人情報を取得するのに本人の意思に優先すべき必要性が認められる場合

  1. 取得手続きが法令で定められている場合
  2. 人の生命・身体・財産の保護のために必要であって、本人の同意を得ることが困難な場合
  3. 例:救急搬送された患者の病歴を関係者に照会する場合

②要配慮個人情報が適正に公開されていて、取得を制限する合理性がない場合

  1. 本人による公開
  2. 例:自身のSNSで心情や病歴を公開している場合

  3. 報道機関による公開
  4. 例:マスコミが、警察の発表や取材によって得た情報を使って被疑者の前科を報道する場合など

③上の2つの例外に準ずる場合

  1. 本人を目視し、または撮影することにより、その外形上明らかな要配慮個人情報を取得する場合
  2. 例:身体の不自由な人がお店に来店して、対応した店員がその旨をお客様対応ノートなどに書き込んだ場合

  3. 委託事業継承・共同利用によって要配慮個人情報を取得する場合

(2)第三者提供の制限

取得した個人情報を外部に提供(「第三者提供」)する場合、ただの個人情報の場合は、あらかじめ本人の同意がなくても「オプトアウト」と呼ばれる手続き(本人から第三者提供の停止を求めることができる手続きのこと)を整備していれば事業者は外部への提供が可能です。

しかし、要配慮個人情報にはこのようなオプトアウトは認められません。

なぜなら、オプトアウトの手続きは、法律で定められた一定の手続きをとったとしても、実際には本人が認識する前にデータが第三者に提供されてしまうおそれがあるため、慎重な取り扱いが求められる要配慮個人情報には認められませんでした。

(3)その他

上の①、②以外は、要配慮個人情報に関して一般の個人情報との取扱いの差はありません。

例えば、要配慮個人情報であっても匿名加工情報にして第三者提供をすることができるし、関連性のある範囲内であれば利用目的を変更することもできます。

(4)経過措置

経過措置」とは、法律や規定を改正したときなどに、ある期間だけ新しいルールをゆるく適用し、その移行をスムーズにするための扱いをいいます。

要配慮個人情報については、特に経過措置は設けられていません

6 ポイント④〜「第三者提供」の際の制限〜

第三者提供

2017年個人情報保護法改正では、個人情報を第三者に提供する際のルールについて、二点、新しいルールが作られました。

  • トレーサビリティ(追跡可能性)の確保
  • オプトアウトの厳格化

個人情報が不正に流通するのを防ぐためにはどちらもとても大切なことなので、順番に解説していきます。

(1)トレーサビリティの確保

トレーサビリティ」とは、情報の追跡可能性のことをいいます。

2017年個人情報保護法改正でこのトレーサビリティの規定が新たに設けられた背景には、ベネッセ個人情報流出事件などの、情報漏えいに関する事件が多発したことが関係しています。

個人情報の漏えい事件が起きた場合、複数の事業者が関わっている場合は特に、情報がどの事業者から漏れたのかを探し当てることはとても大変なことですよね。

個人的に漏えい元を突き止めようとするならもうお手上げ状態です。

そこで、2017年個人情報保護法改正では、個人情報の「トレーサビリティ(追跡可能性)」を確保する制度ができました。

これにより、個人であっても個人情報の流通経路をたどることができるようになったのです。

トレーサビリティを確保するための提供者・受領者の主な義務は以下のようになります。

    【提供者】

  • 提供した年月日や受領者の氏名(法人の場合は名称)、住所など、所定の事項を記録し、一定の期間保存しなければならない
  • 受領者から自身の身元や個人情報の取得の経緯について確認を求められたときは、その事項を偽ってはならない
    【受領者】

  • 提供者の氏名や住所(法人の場合は名称と住所。さらに代表の名前も)などの個人情報の取得の経緯を確認しなければならない
  • 確認した事項や提供された年月日など、所定の事項を記録し、一定の期間保存しなければならない

(2)オプトアウトの厳格化

オプトアウト」とは、事業者が個人情報を第三者提供しようとした場合に、本人からの反対がない限りこれに同意したものとみなして、個人情報を第三者に提供することができる仕組みのことをいいます。

この場合、

  • 本人に対してはあらかじめ「個人情報を第三者提供すること」について通知するか、
  • 本人が知ることのできる状態にしておく

必要があります。

しかし、実際には本人が知らなかったり気づけなかったりするような方法を使って不正に個人情報の第三者提供をする事業者も多く、問題視されていました。

そこで、2017年個人情報保護法改正では、オプトアウトのルールを厳格化し、「あらかじめ本人に通知するか、本人が容易に知りえる状態におく」方法については以下の2つに限定されることになりました。

  1. 本人が提供の停止を求めるのに必要な期間をおくこと
  2. 本人が所定の事項を確実に認識できる適切で合理的な方法によること

また、以下の項目についても、「あらかじめ本人に通知するか本人に容易に知りえる状態におく」必要があります。

  • 第三者への提供を利用目的とすること
  • 第三者に提供される個人データの項目
  • 第三者提供の方法
  • 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
  • 本人の求めを受け付ける方法

さらに、これら5つの項目は個人情報保護委員会にも届け出なければなりません。

ちなみに、要配慮個人情報についてはオプトアウトの手続きが認められないことは、先ほど述べた通りです。

7 違反した場合のペナルティ

ペナルティ

ここまで個人情報保護法の中身・改正のポイントについて解説してきましたが、これらのルールに違反してしまった場合、どのようなペナルティがあるのでしょうか。

順番にみていきましょう。

(1)刑事罰(懲役・罰金)

個人情報を取り扱う事業者がルール違反をしてしまい、さらに国からの改善命令にも違反した場合は、

  1. 違反した従業員に対して:最大6月の懲役 または30万円の罰金
  2. 会社に対して:最大30万円の罰金

が課せられます。

しかし!これだけではありません。

(2)民事罰(損害賠償)

個人情報の漏えいなどによって被害者出てしまった場合、国からのペナルティとは別に、

  1. 被害者から損害賠償請求訴訟を提起されるリスク
  2.            または

  3. 謝罪金支払いなどのために、数百億円のコストが発生するリスク

があります。

例えば、最初の方に書いたベネッセ個人情報流出事件の場合、謝罪金とセキュリティ対策費・謝罪広告費など合わせて200億円以上の損失となったといわれています。

実際の判例をみてみると、謝罪金は1人あたりだいたい500円~1万円と意外に少ないような気がしますが、トータルで考えた場合企業にとっては莫大な損失となりますよね。

このような事態にならないよう、全社的に取り組むべき予防策や情報漏えい時のリスクヘッジについては、きちんとコストをかけて徹底していくべきです。

8 まとめ

ここまでの説明をまとめると、以下のようになります。

  • 「個人情報保護法」は、個人情報の漏えいや不正利用から個人の権利や利益を守るため、民間の事業者が守るべき共通のルール
  • 改正のポイントは以下の4点
  • ①「個人識別符号」の追加(規制強化)
    ②「匿名加工情報」の新設(規制緩和)
    ③「要配慮個人情報」の新設(規制強化)
    ④トレーサビリティ(追跡可能性)の確保(規制強化)

  • 違反した場合のペナルティとして懲役・罰金以外にも被害者への損害賠償があることに注意