ネット営業の遠山行政書士事務所

岐阜県中津川市蛭川2244-2

個人情報の保護に関する法律(個人情報保護法)成立と改正の経緯

契約トラブルを無くして顧客満足度の向上を

 

個人情報保護法は、情報化の急速な進展により、個人の権利侵害の危険性が高まったことや、国際的な法制度の動向を踏まえ、平成15年5月に成立し、平成17年4月に全面施行されました。

法施行後には、過剰反応の混乱もありましたが、今日では事業者が個人情報を取扱いするうえでのルールとして定着しています。

個人情報保護法の成立から10年以上が経過し、その間にも情報化の更なる進展や個人情報の重要性の高まりがあり、新たな問題が生じています。

産業界では、人々の購買行動等を示すビックデータが注目され、そうしたデータから個人を特定する情報を削除したパーソナルデータを活用しようという機運が高まっています。
このビックデータやパーソナルデータの活用を推進するために、データを第三者提供する際の本人同意原則の例外規定を設けることや、安全性確保のために行政処分権限を持つ第三者機関の設置等の法改正が必要となりました。

その一方で、流通する個人情報の名簿に関する問題点も露わになりました。
2014年7月に起きたベネッセコーポレーションの個人情報流出事件では、最大で2070万件の顧客情報が漏洩し、その名簿が名簿業者を経て同業他社へ渡り、消費者の住所にDMが届いて不審の声があがるという問題が起きました。

この問題を受けて個人情報保護法の改正に名簿取引規制を盛り込むべきと意見が強まり、名簿のトレーサビリティ確保や個人情報データベース提供罪が設けられました。

こうした内容を反映して、平成27年9月に改正した個人情報保護法が公布されました。
この改正法は個人情報保護委員会の設置に関する事項が平成28年1月1日に施行され、その他の大部分は交付日(平成27年9月)より2年を超えない日に施行されることになります。
この改正法の全面施行日までは、現行の個人情報保護法に基づいて運用されることになります。

本ページでは、個人情報保護法の現行規定の概要と改正法の概要を解説します。

 

個人情報保護法の概要(現行法)

個人情報保護法の概要について、消費者庁が公開する「個人情報保護法のしくみ<改訂版>」を要約して、以下に解説します。

個人情報とは
個人情報とは、「生存する個人に関する情報であって、特定の個人を識別できるもの」をいいます。(第2条)
他人の干渉を許さないプライバシーとは異なります。

個人情報をデータベース化した場合、そのデータベースを構成する個人情報を「個人データ」といいます。
「個人データ」のうち、開示などの期限を有し、6ヶ月以上にわたって保有する情報を「保有個人データ」といいます。

個人情報取扱事業者
個人情報保護法の対象となる個人情報取扱事業者とは、5,000人分を超える個人情報を事業活動に利用する事業者のことです。
一般個人や小規模事業者は対象外となることが多くなります。

 

個人情報取扱事業者の守るべき義務
個人情報取扱事業者は、利用目的の特定(第16条)・通知(第18条)、安全管理措置(第20条)、個人情報の第三者提供にあたって原則本人に同意をとる(第23条)などの義務を負います。

 

個人情報の利用目的の特定(第15条)、目的外利用の禁止(第16条)
個人情報を取り扱うにあたっては、利用目的をできるだけ特定しなくてはなりません。
また、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはなりません。

 

適正な取得(第17条)、取得時の利用目的の通知等(第18条)
偽りその他不正な手段によって個人情報を取得してはなりません。
個人情報を取得したときは、本人に速やかに利用目的を通知又は公表しなければなりません。
また、本人から直接書面で取得する場合には、あらかじめ本人に利用目的を明示しなくてはなりません。

 

個人データ内容の正確性の確保(第19条)
利用目的の範囲内で、個人データを正確かつ最新の内容に保つように努めねばなりません。
※具体的な措置例
・個人データ入力時の照合、確認手段の整備
・記録事項の更新
・保存期間の設定等

 

安全管理措置(第20条)
個人データの漏えいや滅失を防ぐため、必要かつ適切な安全管理措置を講じなければなりません。
※具体的な措置例
・セキュリティ確保のためのシステム、機器等の整備
・事業者内部の責任体制の確保(管理者の設置、アクセス管理等)

 

従業者・委託先の監督(第21・22条)
安全に個人データを管理するために、従業員に対し必要かつ適切な監査を行わなくてはなりません。
また、個人データの取扱いについて委託する場合には、委託先に対し必要かつ適切な監督を行わねばなりません。
※具体的な措置例
・個人情報保護意識を高めるための教育研修の実施
・個人情報保護措置の委託契約への明記など

 

第三者提供の制限(第23条)
あらかじめ本人の同意を得ないで、本人以外の第三者に個人データを提供してはいけません。
ただし、次の4つの場合には、本人の同意を得ずに第三者提供をすることができます。
(1)法令に基づく場合
(2)人の生命、身体又は財産の保護に必要な場合
(3)公衆衛生、児童の健全育成に特に必要な場合
(4)国等に協力する場合

 

利用目的の通知、開示、訂正、利用停止(第24-27条)
保有個人データの利用目的、開示等に必要な手続、苦情の申出等について本人の知りうる状態に置かなければなりません。
本人からの求めに応じて、保有個人データを開示しなければなりません。

保有個人データの内容に誤りがあるときは、本人からの求めに応じて、利用目的の達成に必要な範囲内で、調査し、訂正等を行わなければなりません。
保有個人データを法の義務に反して取り扱っているときは、本人からの求めに応じて、利用停止等を行わなければなりません。

 

苦情の処理(第31条)
本人から苦情などの申し出があった場合は、適切かつ迅速な処理に努めなければなりません。
本人からの苦情を、適切かつ迅速に処理するため、苦情受付窓口の設置、苦情処理手順の策定など必要な体制の整備に努めなければなりません。

個人情報法護法の改正(平成27年9月公布)の施行時期と内容

個人情報保護法の改正概要について、以下に解説します。条項番号は改正法に対応したものです。
(改正法の施行については、第50条~第65条の個人情報保護委員会の設置に関する事項が平成28年1月1日から、その他の事項は公布日より2年を超えない範囲の日とされています。)

1.個人情報の定義の明確化

個人情報の定義の明確化(第2条1項、2項)
特定の個人の身体的特徴を変換したもの(例:顔認識データ)等は特定の個人を認識する情報であるため、これを個人情報として明確化する。

要配慮個人情報(第2条3項)
本人に対する不当な差別または偏見が生じないように人種、信条、病歴等が含まれる個人情報については、本人同意を得て取得することを原則義務化し、本人同意を得ない第三者提供の特例(オプトアウト)を禁止。
※この「要配慮個人情報」は改正法により新設されるものであり、その具体的内容については政令で指定される予定。

 

2.適切な規制の下で個人情報等の有用性を確保

匿名加工情報(第2条9項、10項。第36条~第39条)
特定の個人を識別することが出来ないように個人情報を加工したものを匿名加工情報と定義し、その加工方法を定めるとともに、事業者による公表などその取扱いについての規律を設ける。
※加工方法の具体的内容は政令で指定される予定。

個人情報保護指針(第53条)
認定個人情報保護団体が個人情報保護指針を作成する際には、消費者の意見を聴くとともに個人情報保護委員会に届出。個人情報保護委員会はその内容を公表。

 

3.個人情報の保護を強化(名簿屋対策)

トレーサビリティの確保(第25条、第26条)
名簿の受領者は提供者の氏名やデータ取得経緯等を確認し、一定期間その内容を保存。また、提供者も、受領者の氏名等を一定期間保存。

データベース提供罪(第83条)
個人情報データベース等を取り扱う事務に従事する者又は従事していた者が、不正な利益を図る目的で提供し、又は盗用する行為を処罰。

 

4.個人情報保護委員会の新設及びその権限

個人情報保護委員会
H28.1.1施行時点:(第50条~第65条)
全面施行時点:(第40条~第44条、第59条~第74条)
内閣府の外局として個人情報保護委員会を新設(番号法の特定個人情報保護委員会を改組)し、現行の主務大臣の有する権限を集約するとともに、立入検査の権限等を追加。(なお、報告徴収及び立入検査の権限は事業所管大臣等に委任可。)

 

5.個人情報の取扱いのグローバル化

国境を越えた適用と外国執行当局への情報提供(第75条、第78条)
日本国内の個人情報を取得した外国の個人情報取扱事業者についても個人情報保護法を原則適用。また、執行に際して外国執行当局への情報提供を可能とする。

外国事業者への第三者提供(第24条)
個人情報保護委員会の規則に則った方法、または個人情報保護委員会が認めた国、または本人同意により外国への第三者提供が可能。

6.その他改正事項

オプトアウト規定の厳格化(第23条2項~4項)
オプトアウト規定による第三者提供をしようとする場合、データの項目等を個人情報保護委員会へ届出。個人情報保護委員会は、その内容を公表。

利用目的の制限の緩和(第15条2項)
個人情報を取得した時の利用目的から新たな利用目的へ変更することを制限する規定の緩和。

小規模取扱事業者への対応(第2条5項)
取り扱う個人情報が5,000人以下であっても個人の権利利益の侵害はありえるため、5,000人以下の取扱事業者へも本法を適用。

 

個人情報保護法の改正(平成27年9月公布)の概要は以上のとおりです。

商用サイトに表示するプライバシーポリシーや、サイト運営事業者が個人情報を匿名加工したパーソナルデータの販売を行う場合など、ビジネスで個人情報を取扱いする場合の契約書については、当事務所で作成した下記雛形をご参照下さい。

 

サイト規約やプライバシーポリシーの作成|IT事業の契約書サイト(遠山行政書士事務所)

 

電子商取引や消費者取引に関する契約書については、上記のテキストリンク先ページを閲覧下さい。

遠山行政書士事務所の運営サービス

遠山行政書士事務所では、インターネット取引に関する講演・セミナー・(ネット)コンサルティングを承ります。

コンサルティングメルマガ登録

以下は、遠山行政書士事務所が運営するサイトやWebサービスです。
(バナーをクリックすると、当事務所の運営する別サイトに移行します。)

クーリングオフと中途解約の支援継続サービスの契約書

IT事業の契約書遠山行政書士のメルマガ

遠山桂ブログ



広告