平成29年5月30日に全面施行、「改正個人情報保護法」のポイント 免許証番号や指紋認識データも「個人情報」に

※本記事は、三菱UFJ信託銀行が発行している「証券代行ニュース No.136」の「特集」の内容を転載したものです。

個人情報保護法の改正について

　平成27年9月9日に個人情報の保護に関する法律（以下、「個人情報保護法」といいます）の改正法（以下、「改正法」といいます）が公布され、現在、その一部は施行されています。

　改正法の全面施行日は、平成28年12月20日の閣議決定により平成29年5月30日と定められました。本号では、改正法の概要等をご案内いたします。

個人情報に関する改正の内容

個人情報の定義

　個人情報保護法では、①個人情報、②個人データ、③保有個人データの3つの概念を定め、それぞれの取扱いを定めています。

　改正法では、個人情報の定義が次のとおり明確化されました（改正法第2条）。

個人情報取扱事業者

　個人情報保護法上の義務を負う「個人情報取扱事業者」の定義も改正され、改正前は個人情報保護法の適用が除外されていた5,000人分以下の個人情報を取り扱う事業者にも適用されることとなりました。
　

利用目的の制限の緩和

　個人情報保護法では、個人情報の利用目的を特定することが求められます。改正前は、特定した利用目的を事後に変更するためには、変更後の利用目的が変更前の利用目的と「相当の関連性」を有する必要性がありました。

　改正法では「相当の」の文言は削除され、機動的に目的変更が可能となるよう利用目的の制限が緩和されました（改正法第15条第2項）。

個人データに関する改正の内容

第三者提供

　個人情報取扱事業者が個人データを第三者に提供する場合、原則として本人の同意取得が必要です。

　ただし、①適用除外事由に該当する場合、②オプトアウトによる場合、③提供先が第三者に該当しない場合は、本人の同意取得は必要ありません。

　改正法では、個人情報取扱事業者は、②オプトアウトによる場合に個人情報保護委員会に所定の事項を届け出ることを義務付けられました（改正法第23条第2項）。また、同委員会は、届出事項を公表することが定められています（改正法第23条第4項）。オプトアウト手続の届出・公表制 は、本人が提供停止を求めやすくなる等、適切な本人の関与を得ること、同委員会が個人情報取扱事業者を適切に監督できるようにすること等を目的としています。

トレーサビリティ

　改正法により、個人情報取扱事業者が第三者に個人データを提供したときの記録の作成・保存の義務（改正法第25条）、第三者から個人データの提供を受けるに際しての確認および記録の作成・保存の義務が定められました（改正法第26条）。

　ただし、上記3-1①適用除外事由に該当する場合、③提供先が第三者に該当しない場合には、これらの義務を負わないこととなります。

保有個人データに関する改正の内容

　改正法では、本人による、自らの保有個人データの開示、訂正等（訂正、追加又は削除）、利用停止等（利用の停止又は消去、第三者への提供の停止）の求め（以下、「開示等の請求」といいます。）は、裁判上も行使できる請求権であることが明確に規定されました（改正法第28条第1項、第29条第1項、第30条第1項および第3項）。

　上記に基づき、開示等の請求について、訴えの提起等を行うためには、本人から事業者への事前の請求を行い、その請求が事業者に到達した日から2週間を経過すること、又は事業者がその間にその請求を拒絶すること、のどちらかの要件を充たす必要があることが定められました（改正法第34条）。

　改正により開示等の請求が裁判上、行使可能な権利である旨が明確になった一方で、裁判外での当事者間の解決がより迅速である点、また事業者の応訴負担を軽減する点から、本人から事業者への事前請求の手続が必要とされました。

　なお、開示の請求（改正法第28条第1項）の対象は、本人が識別される保有個人データの内容です。上記3-2のトレーサビリティのために事業者が作成した記録そのものについては、当該記録の中に保有個人データに該当する内容が含まれている場合を除き、開示の請求の対象となりません。