改正個人情報保護法、2017年の変更ポイントは 前編:困ったときのビジネス用語(2/5 ページ)
「改正個人情報保護法」が2017年5月30日に施行されました。企業が知るべき改正点や最低限必要な対策を解説。前編では、「個人情報の明確化」「要配慮個人情報」「個人情報取り扱い事業者の拡大」を取り上げます。
2分目 個人情報の定義の明確化
改正法では、個人情報の定義が明確化されました。従来の個人情報は、「特定の個人を識別することができるもの」と記述されていました。具体的には、他の情報と照合することで個人を識別できる情報、例えば住所や生年月日などが個人情報として定められます。改正法ではさらに「個人識別符号が含まれているもの」が追記されています。後者の例として、以下のようなものが挙げられます。
- 身体的情報(DNA、指紋、静脈、光彩、歩行などをデータ化したもの)
- 旅券番号、免許証の番号など個人に割り当てられた文字、番号、記号
3分目 「要配慮個人情報」の概念の新設
「要配慮個人情報」という概念が新設されたことも個人情報の定義に関する見逃せない変更です。改正法では、個人情報の中でも、本人に対する差別や不利益、偏見などにつながる可能性のあるものを「要配慮個人情報」と定め、規制のレベルを強化しています。「要配慮個人情報」に当たる例を以下に挙げました。企業では、従業員の健康診断の結果などを取得する機会があるため、取り扱いには注意が必要です。
- 人種、民族(漢民族、アイヌ民族等 ※国籍は含まない)
- 社会的身分
- 病歴
- 犯罪の経歴
- 健康診断の結果、障害に関わる情報など
従来、個人情報に関する規制は一律で決まっていました。一方、改正法では要配慮個人情報に関して、取得をする際に必ず本人の同意を得ることが義務となっており、また第三者提供のオプトアウトが禁じられています。詳しくは5分目を参照ください。
4分目 「個人情報取り扱い事業者」の範囲が拡大
個人情報を取り扱う事業者の定義も広がりました。改正法では、ほぼ全ての者が法律の適用範囲となります。「ほぼ全て」というのは、具体的に「個人情報データベース等を事業の用に供している者」(第2条5項)を指します。
個人情報データベースとは、個人情報をリスト化、整理し、すぐに検索できるような状態にしたもの。例えば名刺の束は、個人情報データベースではありませんが、名刺の束を「あいうえお順」に整理すれば、個人情報データベースとなります。該当する例として、スマホのアドレス帳、リスト化された顧客台帳、50音順にファイルで整理している登録カードなどが挙げられます。
従来、個人情報の取り扱い件数が5000件以下の小規模な事業者は、規制の対象外でした。しかし、今回の改正を受けて、規模や「営利目的かどうか」に限らず、個人情報データベースを有していれば、「個人情報取り扱い事業者」と見なされます。例えば、名簿を有した同窓会もこれに該当するため、文字通り「ほぼ全て」という表現が使われています。
Copyright © ITmedia, Inc. All Rights Reserved.