個人情報保護法が改正されたそうですが、ポイントを教えてください。
(回答)
1 個人情報保護法とは
個人情報保護法は、個人情報の適正な取扱い等を目的として制定されており、平成29年5月30日から改正法が施行されています。
まず、個人情報とは、法律上、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により、特定の個人を識別することができるもの及び個人識別符号(その情報だけで特定の個人を識別できる文字、番号、記号、符号等であって、例えば、DNAや指紋、マイナンバー等があります。)をいいます。
この個人情報の適正な取扱いをすべき者が、「個人情報取扱事業者」です。
この個人情報取扱事業者については、旧法下では、いわゆる5,000人要件という例外が設けられていました。即ち、データベース化された個人情報を5,000人分以下しか扱っていない者は、個人情報取扱事業者の定義から外されていたのです。しかし、この度の法律改正により、この5,000人要件が撤廃されましたので、保有する個人情報の数に限らず、個人情報データベースを事業の用に供している者はすべて個人情報取扱事業者として、個人情報保護法上の義務を負うこととなりました。
2 個人情報の取得・利用
まず、個人情報取扱事業者は、個人情報を取得する際は、その利用目的を特定し、その目的の範囲内で利用しなければなりません。また、その利用目的は、あらかじめ公表するか、又は事後的に利用目的を本人に通知しなければなりません。
ところで、個人情報保護法の改正により、「要配慮個人情報」という概念が設けられました。要配慮個人情報とは、不当な差別、偏見その他の不利益が生じないようにその取扱いに配慮を要する情報として、法律、政令、規則に定められた情報をいい、例えば、人種、信条、社会的身分、病歴、犯罪の経歴等をいいます。この要配慮個人情報については、その取得に際して、利用目的の特定、通知又は公表をすることに加え、あらかじめ本人の同意を得ることが必要とされました。
3 個人情報の保管
次に、個人情報取扱事業者は、取得した個人情報が漏洩等しないように必要かつ適切な措置を講じなければなりません。ただ、この安全措置は、小規模な事業者にとっては大きな負担となることがあります。そこで、従業員の数が100人以下の中小規模事業者については、特例的な対応方法が呈示されています。
4 個人情報の提供
個人情報取扱事業者が、個人データ(個人情報データベース等を構成する個人情報)を第三者に提供をする場合には、あらかじめ本人の同意を得ることが原則として必要です。そして、個人情報取扱事業者が、個人データを第三者に提供した場合、逆に第三者から個人データの提供を受けた場合は、一定事項を記録することが必要です。これは、名簿業者等が介在し、違法に入手された個人データが社会に流通しているという実態を受け、個人データの適正な第三者提供を行うためです。
5 開示請求等への対応
最後に、本人が、個人情報取扱事業者に対して、保有個人データ(個人情報取扱事業者が開示や内容の訂正、追加又は削除などを行う権限を有する個人データのうち、6か月を超えて継続利用するもの)の開示を請求した場合は、個人情報取扱事業者は、それに対応する義務が生じます。