個人情報保護法が改正され、2017年5月に施行
DNAは個人識別符号となる
2017年5月30日から、改正された個人情報保護法が全面施行されました。それまでは、保有する個人情報の件数制限がありましたが、個人情報を取り扱うすべての事業者に個人情報保護法が適用されることになりました。違反した個人・事業者には罰則が課されます。詳細を見ていきましょう。
■個人情報保護法改正
- 個人情報を扱うすべての事業者に適用される
- 違反の罰則として「個人情報データベース等不正提供罪」ができた
- 個人情報の提供についての記録義務が強化される
- 健康診断書を会社が預かるには本人同意が必要
- オプトアウトの届出がより厳格化される
- ビッグデータ対策として「個人識別符号」が定義される
個人情報保護法とはそもそも何?
改めて、個人情報保護法が生まれた背景をみていきましょう。かつてDM(ダイレクトメール)を出したい事業者は、名簿業者から名簿を買ってきて、手書きで宛名を書いていました。人海戦術が求められることから、大きな問題にはなっていませんでした。やがてデジタル化が進み、コンピュータに入った顧客台帳を簡単に持ち出せるようになります。こうなると手っ取り早く金を稼ごうと名簿を名簿業者に売ってしまう輩が出てきて、社会問題化します。また、欧米諸国や日本が加盟するOECD(経済協力開発機構)がプライバシー保護と個人データの国際流通についてのガイドラインに関する勧告を出したことから各国で法整備が行われ、日本では2005年4月1日に個人情報保護法が施行されました。
個人情報保護法は個人の権利・利益の保護だけでなく事業者が活用できるよう、個人情報の有用性とのバランスを図るための法律なのです。
改正ポイント1:個人情報を扱うすべての事業者に適用される
それまで、取り扱う個人情報の件数が5,000以下の事業者は個人情報保護法の対象外でしたが、この制度が廃止となりました。つまり、個人情報を1件でも扱う事業者であれば、同法が適用されます。マイナンバー制度がスタートし、一人会社以外の事業者は従業員のマイナンバーを扱うことから、マイナンバー法(番号法)の適用を受けることになります。マイナンバー法では件数は関係ないため、改正によって法的整合性がとられました。マイナンバーをはじめとする個人情報を扱うすべての事業者が、個人情報保護法ならびにマイナンバー法の適用を受けることになりました。
改正ポイント2:違反罰則に「個人情報データベース等不正提供罪」ができた
<目次>
個人情報データベース等不正提供罪ができた
それまでは、個人情報に関しては建設会社なら国土交通省、商社なら経済産業省と事業者を監督する省庁がバラバラでした。改正によって、各省庁の監督権限を統一した「個人情報保護委員会」ができ、一元で監督することになりました。ただ、個人情報保護委員会はそう大きな所帯ではないので、どこまで監督できるかは未知数です。
個人情報保護委員会は事業者に対し、指導・助言、勧告・命令を行うことができます。国からの命令に違反した場合は6ケ月以下の懲役または30万円以下の罰金、虚偽などの報告をした場合は30万円以下の罰金です。従業員等が個人情報を名簿業者に売ったような場合には、新設された個人情報データベース等不正提供罪となり、1年以下の懲役または50万円以下の罰金となります。個人だけなく法人も罰せられます。
改正ポイント3:個人情報の提供についての記録義務が強化される
第三者から個人情報の提供を受ける場合と提供する場合、双方に記録義務と保管義務が発生します。提供年月日や誰に提供したかを記録しなければなりません。個人情報の不正な流通や取得を阻止することを目的としており、保存期間は情報の種類によって異なりますが、原則として3年です。改正ポイント4:健康診断書を会社が預かるには本人同意が必要
事業者は、従業員に対しても個人情報を集める目的を通知し、厳密に保管しなければなりません。改正個人情報保護法では、「要配慮個人情報」が新たに定義され、一段と高い規律が求められるようになっています。要配慮個人情報には人種・信条・病歴・前科などが該当します。特に注意すべきなのが健康診断や保健指導の結果です。人間ドックの受診結果は従業員に渡しますが、要配慮個人情報に該当するので、総務などで記録として保管する場合には事前に本人の同意を得ておかなければなりません。
食品業であれば調理担当の検便検査、建築業では現場作業者の血圧検査、運送業ならドライバーのアルコール検査を行いますが、こういった検査結果も対象になります。
個人情報漏洩のリスクを下げるには、不要になった個人情報はシュレッダーにかけて廃棄することです。例えば社員募集で不採用となった履歴書などは採用活動が終わればさっさと捨てましょう。
改正ポイント5:オプトアウトの届出がより厳格化される
第三者に個人情報を提供する時は本人から同意を得ておかなければなりませんが、ここに「オプトアウト」というやり方があります。オプトアウトとは「本人の同意を得ることなく個人情報を第三者に提供する」ことを指します。ただし、これにはハードルがいくつかあります。オプトアウトを活用するためには「本人の求めに応じて提供を停止でき」、かつ「本人がオプトアウトになっていることを容易に知り得る」ことが条件になっています。改正後、オプトアウト手続きを行っていることを個人情報保護委員会へ届け出るようになりました。ただし、健康診断書など要配慮個人情報はオプトアウトでの提供は禁止されています。業務の委託・事業承継・共同利用の場合は第三者提供には当たりません。
改正ポイント6:ビッグデータ対策として「個人識別符号」が定義される
改正により「個人識別符号」が新しく定義されました。個人識別符号とは情報単体で個人情報に該当するもので、具体的には公的番号(基礎年金番号・住民票コード・マイナンバー・パスポート番号など)とコンピュータで扱える身体の特徴(DNA・指紋・声紋・静脈・顔など)です。個人識別符号は新たに守るべき対象として追加されましたが、逆に言えば特定の個人を特定できないよう個人情報を加工した場合にはビッグデータとして活用してもかまわない、ということになります。
【関連記事】
