個人情報の保護に関する法律の改正動向と、 企業への影響
地域:日本
業務分野:企業法務
カテゴリー:法令
企業法務ニュース第56号 2014年7月8日
弁護士 小野 智博
「個人情報の保護に関する法律」は、情報化の急速な進展により、個人の権利利益の危険性が高まったこと、国際的な法制定の動向を受けて、平成15年5月に成立した。それから10年を経て、情報通信技術の進展は、多種多様かつ膨大なデータ、いわゆるビックデータを収集・分析することを可能にし、その中でもパーソナルデータの活用は、これにより新事業、サービスが創出される等、イノベーションに寄与することが期待されている。そこで、個人情報及びプライバシーの保護を前提としつつ、パーソナルデータの利活用ルールの明確化により民間の力を最大限引き出し、新ビジネスや新サービスの創出、既存産業の活性化を促進するため、法改正が検討されている。
内閣官房情報通信技術(IT)総合戦略室に設置されたパーソナルデータ関連制度担当室では、2014年6月までに個人情報保護法改正案の大綱をまとめ、パブリックコメントを経て、2015年初頭に通常国会へ改正案を提出する計画で、準備が進められている。
1.「個人情報の保護に関する法律」の義務対象となる「個人情報」について
現行法上、個人情報とは、「生存する個人に関する情報であって、特定の個人を識別できるもの」(第2条)をいう。法の義務の対象となる個人情報は、主として「検索することができるように体系的に構成」された個人情報(法律上「個人データ」(第2条)とよばれる情報)である。
法改正の方向性としては、保護されるパーソナルデータの範囲について、実質的に個人が識別される可能性を有するものとし、プライバシー保護という基本理念を踏まえて、明確化することが検討されている。
また、プライバシー性が極めて高い「センシティブデータ」については、新たな類型を設け、その特性に応じた取扱いを行うことが検討されている。
なお、高度に専門的な知見が必要とされる分野(センシティブデータが多く含まれると考えられる情報種別を含む。)におけるパーソナルデータの取扱いについては、関係機関が専門的知見をもって対応すること等について検討されている。
改正後、個人情報を取り扱う各企業は、自社が取り扱っているすべての個人情報が、新たに明確化される「個人情報」の定義に一致していることを再度確認する必要がある。また、「センシティブデータ」として類別される個人情報を、改正法に適合するように取り扱うことも必要とされる。
2.「個人情報の保護に関する法律」の義務対象となる「個人情報取扱事業者」について
現行法上、法の義務の対象となる個人情報取扱事業者とは、5000人を超える個人情報を事業活動に利用する事業者のことである。そのため、現行法上は、一般私人や小規模事業者は法規制の対象外である。
法改正の方向性としては、本人のプライバシーへの影響については、取り扱うデータの量ではなくデータの質によるものであることから、現行制度で適用除外となっている取り扱う個人情報の規模が小さい事業者の要件とされる個人情報データベースを構成する個人情報の数が 5,000 件以下とする要件の見直しが検討されている。その際、取り扱う個人情報の規模が小さい事業者の負担軽減についても併せて検討される。
3.「個人情報取扱事業者」の守るべき義務について
現行法上、個人情報取扱事業者は、利用目的の特定・通知、安全管理措置、個人情報の第三者提供にあたって原則本人に同意をとるなどの義務を負う。第三者提供の際の本人同意原則には、例外規定が存在し、①法令に基づく場合、②人の生命、身体又は財産の保護に必要な場合、③公衆衛生・児童の健全育成に特に必要な場合、④国等に協力する場合には、本人の同意がなくとも、個人情報の第三者提供が可能である。
法改正の方向性としては、個人情報及びプライバシーの保護に配慮したパーソナルデータの利用・流通を促進するため、個人データを加工して個人が特定される可能性を低減したデータに関し、個人情報及びプライバシーの保護への影響並びに本人同意原則に留意しつつ、第三者提供における本人の同意を要しない類型、当該類型に属するデータを取り扱う事業者(提供者及び受領者)が負うべき義務等について、規定することが検討されている。
改正後、個人情報を取り扱う各企業は、本人の承諾を得ずに第三者に提供することのできる新しい種類のパーソナルデータの内容、及び本人の承諾を得ずに当該データを第三者に提供する際に負う義務の内容を確認し、遵守する必要がある。
4.諸外国の制度との調和を図るために見直しが検討されている事項
日本企業が円滑かつグローバルに事業が展開できる環境を整備するとともに、海外事業者に対する国内法の適用や第三者機関による国際的な執行協力等の実現について検討されている。 また、グローバルな情報の利用・流通を阻害しないことと、プライバシー保護とのバランスを考慮し、パーソナルデータの保護水準が十分でない他国への情報移転を制限することについて検討されている。
さらに、日本国政府は、APEC域内における企業等の越境個人情報保護に関し、以下のような取組を行っている。
2014年4月28日に、日本は、米国とメキシコに続いて、APECプライバシー原則への適合性を認証する制度であるAPEC越境プライバシールールシステム(CBPRシステム:Cross Border Privacy Rules System)への参加が認められた。次の段階において、APECは、このシステムに基づいて、企業又はその他の団体による国境を超えるデータの移転における個人情報の保護措置を認証する、日本のアカウンタビリティ・エージェント(認証機関)を承認することになる。アカウンタビリティ・エージェントによって認証される企業は、自社における個人情報の取扱手続きが、APECプライバシー原則に準拠していることを証明することができる。
個人情報を取り扱う各企業は、CBPRの証明書を取得し、自社における個人情報の取扱い手続きがAPECの原則に準拠していることを証明することにより、APEC地域における事業活動を容易にすることができる。日本の経済産業省の担当者によると、何件かの照会はあったものの、認定個人情報保護団体からは、2014年6月現在、未だCBPRに基づくアカウンタビリティ・エージェントとなるための正式な申請は出ていないそうである。経済産業省又はその他の政府機関が、アカウンタビリティ・エージェントとなるための申請を受けた後、政府機関はその申請を吟味して、APECに提出し、次にAPECは日本のアカウンタビリティ・エージェントを承認することになる。その手続きの後に、各企業は、CBPRの証明書を取得する申請をすることができるようになる予定である。
企業法務分野の他の法律情報
お電話でのお問合せ
03-3270-6641(代表)