改正個人情報保護法の変更ポイント 匿名加工情報って？ 罰則が増えた？：困ったときのビジネス用語（3/4 ページ）

[溝田萌里，キーマンズネット]

3.5分目　クラウドは個人情報の委託先？

　ここで問題です。A社に勤めているあなたは、B社に個人名簿を提供する際、C運輸に輸送をお願いすることになりました。この場合、C運輸に個人名簿の輸送をゆだねることは、委託先への提供に当たるのでしょうか。

　答えは、「いいえ」です。ポイントは、個人名簿の中身を見ることができるかという点にあります。このケースでは、C運輸が個人名簿の中身を見ることはないため、委託先への提供には当たりません。

　では、海外のデータセンターやクラウドサービスに情報を預ける場合はどうでしょうか。これは、クラウド事業者が実際に中身を確認できる状態にあるかどうかが判断の分かれ目となります。クラウド事業者が情報にアクセスできる状態であった場合、これは海外の委託先への提供と見なされ、原則として本人の事前同意が必要です。

「え、クラウドに情報を預ける場合でも本人の事前同意が必要なの……」と思う人もいるでしょう。こうした対応は現実には難しいため、クラウド事業者と契約をする際は、利用規約などを読み、クラウド事業者が情報にアクセスできない状態であるか確認することが必要です。

4分目　「個人情報データベース不正提供罪」の新設

「個人情報データベース不正犯罪」とは、「個人情報取り扱い事業者やその従業者が、個人情報データベースなどを不正な利益を図る目的で提供または盗用したときに、1年以下の懲役または50万円以下の罰金に処す」というもの。

　従来は、個人情報漏えい事故があった場合に、直接罰則が適用されることはありませんでした。例えば、会社の重要なデータを社員が不正に盗用しても、刑法上では罪に問われなかったのです。もちろん、個人情報保護法以外の法律に抵触する場合もあり、例えばデータにアクセス制限がかかっているなど秘密情報として管理している情報を盗むと「営業秘密侵害罪」に該当します。

　しかし、特別な管理下にない情報の盗用に罰則が下されないのは問題だとして、ルールが厳格化されたというのが今回の背景です。ちなみに、クレジットカードの番号が漏えいした場合やマイナンバーの不正提供は他の法律で罰せられ、個人情報保護法の罰則よりも厳しくなっています。企業はそうしたデータをなるべく持たないようにすることが1つの対策になるといいます。