改正法のポイントは、図1に掲げる6点が挙げられる。この順番で、以下に解説していこう。
個人情報の定義に関する変更のポイントは2つあり、その1つは「個人識別符号」である。個人識別符号には個人の身体的特徴を変換したデータも含まれ、個人情報として保護対象になる。例えば指紋データや顔認識データなど(どちらも特徴を抽出して暗号化するのが一般的)が個人情報として扱われることになりそうだ。
身体的特徴情報以外には、個人用IDカードなどに記載される情報やインターネット上で発行されるIDなどの情報(電磁的方式により記録された文字、番号、記号その他の符号)についても個人が特定できるものは対象になると思われる。ただし、具体的にどのようなデータが対象になるのかは、2016年以降に制定される「政令」で具体的に示されることになるだろう。
もう1つは、「要配慮個人情報」という新しい区分ができたことだ。これは機微情報やセンシティブ情報などといわれてきたもので、現行法のもとでは、プライバシーマークの規格となっているJISQ15001:2006に「機微情報」の定義があるものの、個人情報の種類や性質、機微度などによる法的な定義の差はなかった。
こちらに関しては条文で比較的明確に記載されており、「本人の人種、信条、社会(新設)的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述などが含まれる個人情報」とされている。
こうした条件に合致する情報は、であらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならないと決められた(第17条。例外規定もある)。また本人同意を得ない第三者提供の特例(オプトアウト)についても禁止される。従って、企業は当該サービスのWebページなどに必要事項を掲載し、「本人が容易に知り得る状態に置いている」ということにして要配慮個人情報を含む個人データを第三者に提供する、といったことはできない。
なお、個人情報の定義に関しては、携帯番号は含まれるのか、個人向け商品の識別番号はどうか、などの議論があった。これについて条文では触れておらず、政令やその後作られるガイドラインを待つ必要がある。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。