「2015年11月18日開催セミナー」

企業が知っておきたい改正の背景とポイント

フランテック法律事務所/特定社会保険労務士 毎熊典子氏

個人情報保護法が施行後10年で初めて大きく改正された。改正法は、近年の大規模な個人情報漏えい事案を踏まえて個人情報の保護強化を図る一方で、情報環境の変化に合わせてパーソナルデータの利活用を促進することによる新たな産業やサービスの創出を目的とするものだ。「個人識別符号」、「要配慮個人情報」、「匿名加工情報」などの新たな用語も設けられ、今後のビジネスにも大きな影響を及ぼすことが見込まれる。今年1月から施行されるマイナンバー制度にからめ、講師に解説してもらった。

2005 年に個人情報保護法が全面施行されて10 年が経過し、Facebook やTwitter などのソーシャルメディアが台頭するなどIT 環境が激変し、当時は想定していなかったさまざまな問題が浮かび上がりました。また、海外では個人情報保護の強化が進み、海外と個人情報のやり取りをするなかで、日本の対応が追い付いていないという事情がありました。そのような状況のもと、2015 年9月に改正法が成立しました。現在はどの企業もマイナンバー制度への対応に追われており、改正法まで手が回っていないと思いますが、マイナンバーも個人情報です。そのため、改正法とマイナンバー制度はある程度リンクしたものと考えて対応する必要があるのです。

ビッグデータ時代の到来と個人情報保護

改正法の背景について、最初に挙げられるのがビッグデータ時代の到来です。ビッグデータとは、法務省の定義によると、事業に役立つ知見を集積したデータのことです。IT環境が進化するなか、さまざまな情報を集積し、それを分析する技術が発達してきました。その中でも特に利用価値が高いとされているパーソナルデータ、すなわち人の行動や人の状態は、それを活用した新しいビジネスの創出が期待されています。例えば医療、行政、エネルギー、流通・小売、交通、防災・減災などの分野で、パーソナルデータを活用した新しい対応やサービスを提供できるのではないかと考えられています。一方でこれらのことは、一般の消費者からはプライバシーの侵害に当たるのではないかという懸念も出ています。例えば、ネット通販大手の「アマゾン」のサイトで本を購入すると、その購入履歴を見て「あなたにお勧めの本」としてさまざまな本が画面に表示されます。便利な一方で、自分の趣味・趣向がすべてサイトに記録されていることを快く思わない方もいるのではないでしょうか。情報通信技術の発達により、個人情報保護のグレーゾーンが拡大し、消費者がプライバシー保護の観点から慎重な取り扱いを求める一方で、事業者はどのような措置をとればデータを利活用できるか判断できませんでした。

他にも、現行法では法の所管は消費者庁が行い、法執行は主務大臣が行う主務大臣制がとられ、柔軟な対応ができなかったり、事業活動のグローバル化により、世界中で個人情報がやり取りされるなか、欧米で制度見直しの検討がされたりしたことなどが法改正の背景として挙げられます。

改正のポイント

今回の法改正の目的は、個人情報保護の強化、パーソナルデータの利活用による新産業・新サービスの創出と国民の安全、安心の向上の実現、そしてマイナンバーの利用推進にかかる制度改正の3つです。主な改正のポイントをまとめてみました(表1)。

まず、個人情報の定義を明確にしました。前述した通り、現在の個人情報保護法では何が個人情報にあたり、何が当たらないのかがグレーゾーンとなり、事業者には非常に扱いにくいものとなっていました。そのため今回の法改正では、個人情報の定義を明確化するために「個人識別符号」を新設しました。これには顔認識データや指紋認識データ、パスポート番号、マイナンバーなど、特定の個人を識別できる符号が含まれます。

もう1つは「要配慮個人情報」の新設です。本人の人種、信条、社会的身分、病歴、犯罪の履歴または犯罪を被った事実など、その情報によって個人が差別的な扱いを受ける、あるいは不利益な扱いを受けるような情報を要配慮個人情報と定義し、特別な配慮を施すようにしたのです。

一方で、事業主が個人を識別できないような状態に加工した情報を事業に活用しやすくするために、「匿名加工情報」という概念も新設しました。もちろん、匿名加工情報とはいえ、その他の情報とつき合わせることで復元が可能になるリスクがあります。そのため、匿名加工情報を取り扱う事業者にはさまざまな義務が課せられます。

3つ目が、名簿屋対策としての個人情報保護の強化です。第三者に個人情報を渡すときにはそのトレーサビリティを確保し、不正に個人情報を販売するといった行為には処罰規定を設けています。他にも個人情報保護委員会を新設しました。今後は個人情報やマイナンバーについては当該委員会に権限を一元化し、監視監督権限を強めます。さらに、外国との個人情報のやりとりに関して、日本国内だけでなく、海外にも法を適用するなど、その適用範囲を広げたほか、第三者へ個人情報を提供する際の規制も強化しました。また、これまでは取り扱う個人情報の数が5000以下の中小企業については適用されていませんでしたが、今後は取扱い個人情報の数にかかわらず、個人情報を取り扱う全ての事業者に適用されることになりました。

マイナンバー法の改正ポイント

今回の改正では、マイナンバー法についても改正がなされました(表2)。まず、2018年から個人番号が金融機関の預貯金口座にも適用されます。これは税務調査を効率的に行い、適切に税を徴収して社会保障になどに充てるためです。もう1つは、医療機関における利用範囲の拡充です。健康保険組合が行う検診や、予防接種の履歴などについても、地方公共団体で情報提供ネットワークシステムを利用することで、たとえ住所を変更しても確認することができるようになります。3つ目は地方公共団体の要望を踏まえた利用範囲の拡充です。これまでの公営住宅の管理に加え、特定優良賃貸住宅の管理にもマイナンバーが利用できることになりました。また、地方公共団体が独自にマイナンバーを利用する場合にも、情報提供ネットワークシステムを利用した情報連携を可能とし、雇用や障害者福祉の分野において地方公共団体の要望を踏まえた情報連携の追加を行うことになりました。