レポート

改正個人情報保護法の施行に向けた最新動向
個人情報保護委員会事務局
参事官 小川 久仁子氏

印刷用

 第4次産業革命において、いわゆるパーソナルデータを含むデータの利活用が重要であり大きな可能性があるが、個人情報保護法ならびにプライバシーへの配慮を行うことも必要である。消費者の信頼を得て社会的に受容される形でデータの利活用を進めて行くことが、中長期的に新しいイノベーションを促進していくと考えられる。

個人情報保護制度の体系

 現行の個人情報保護制度の体系では、個人情報保護法により民間・公的部門に共通する基本理念や基本方針等が定められている。また、民間部門は個人情報保護法により個人情報取扱事業者への規律が定められ、公的部門である行政機関、独立行政法人等、地方公共団体はそれぞれ法律・条例により規律が定められている。現在、民間部門は主務大臣制であり事業等を所管する各省庁により38ガイドラインが策定されている。
個人情報保護法は2003年成立、2005年の全面施行から10年以上経過し、この間のICTの急速な発展により制定当時には想定されなかったパーソナルデータの利活用が可能になった。このため、今回の改正では、
 1.個人情報に該当するかどうかの判断が困難ないわゆる「グレーゾーン」の拡大
 2.第4次産業革命により今後AI、IoTの一層の普及が想定される中で、パーソナルデータを含むビッグデータの適正な利活用ができる環境整備が必要
 3.事業活動のグローバル化により、国境を越えた多くのデータ流通
といった点を特に考慮した。
 個人情報保護法はもともと「個人の権利・利益の保護」と「個人情報の有用性」のバランスを図るための法律であるが、今回の法改正において一層情報の利活用、有用性を意識し、第1条「個人情報保護法の目的」において「適切かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであること」という文言が追記される改正が行われた。
 施行後10年を経て初めて行われた今回の個人情報保護法改正のポイントは、
 1.諸外国における制度も参照しつつ、主務大臣が有している監督権限を独立した第三者機関である個人情報保護委員会に改正法の全面施行時に一元化、
 2.個人情報の定義を明確化するため、1)「個人識別符号」という概念を導入、2)「要配慮個人情報」の取得及び第三者提供については原則として本人同意を得ることを義務化、
 3.個人情報の有用性を確保(利活用)するため匿名加工情報の利活用の規定を新設、
 4.いわゆる名簿屋対策として第三者提供に係るトレーサビリティを確保、
 5.本人の数が5,000以下である事業者を規制の対象外とする制度の廃止等である(図1)。

個人情報保護法の改正の概要

(図1)

個人情報保護委員会

 平成28年1月1日に個人情報保護法制全般に関する業務を行う「個人情報保護委員会」が設置された。これは、平成26年に設置されたマイナンバー制度に関する監視・監督事務等を行う「特定個人情報保護委員会」を改組したものである。
 改正個人情報保護法の来年春頃の全面施行後は個人情報保護委員会に個人情報保護法に基づく監督業務が一元化される。これにより、重畳的な監督や所管省庁が不明確であるといった従来の問題が解消され、これまでの業界の枠組みにとらわれない新しい産業の勃興が想定される第4次産業革命にもより迅速に対応可能となることが期待される。

個人情報保護法の改正と政令等のポイント

1)個人識別符号
 個人情報の定義として、個人識別符号として2つのカテゴリーの情報が対象となることを明確化した。第一は身体的特徴を電子計算機の用に供するために変換した符号(顔認識データ、指紋認識データ)、第二は対象者ごとに異なるものとなるように付される符号(旅券番号、運転免許証番号、マイナンバー)である。政令・委員会規則で第一の身体的特徴としてはDNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋を電子計算機のために変換した符号であって、特定の個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合するもの、第二の対象者ごとに付される符号としては、公的な番号(旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証の被保険者番号等)について、それぞれ個人識別符号と規定している。

2)要配慮個人情報の規定の新設
 「人種、信条、社会的身分、病歴、前科・前歴、犯罪被害情報」、「その他本人に対する不当な差別、偏見が生じないように特に配慮を要するものとして政令で定めるもの」を「要配慮個人情報」として規定し、取得及び第三者提供について原則として本人の同意を得ることを義務化した。政令において「身体障害・知的障害・精神障害等があること」「健康診断その他の検査の結果(遺伝子検査の結果を含む)」「保健指導、診療・調剤情報」等を要配慮個人情報と規定している。

3)匿名加工情報の規定の新設
 匿名加工情報(特定の個人を識別することができないように個人情報を加工した情報であって、当該個人情報を復元することができないようにしたもの)の類型を新設し、個人情報の取扱いよりも緩やかな規律の下で、匿名加工情報として第三者提供あるいは目的外利用を可能とすることにより自由な流通・利活用を促進する制度を導入した(図2)。

個人情報保護法の改正と政令等のポイント 匿名加工情報の規定の新設

(図2)

匿名加工情報制度の概要

(図3)

 匿名加工情報を作成する個人情報取扱事業者(作成者)には、基準に従った適正な加工(第36条第1項)、加工方法等情報の漏えい防止(第36条第2項)、作成時の情報の項目の公表義務(第36条第3項)、提供時の公表・明示義務(第36条第4項)、識別禁止義務(第36条第5項)、安全管理措置等(努力義務)(第36条第6項)が課せられ、匿名加工情報を受け取った匿名加工情報取扱事業者(受領者)には、提供時の義務(第37条)、識別禁止義務(第38条)、安全管理措置等(努力義務)(第39条)が課せられる。
 匿名加工情報を作成するためには、個人情報保護委員会規則に規定された基準に従って、適切な加工を行う必要がある(図3)。委員会が定める基準は最低限の加工方法であり、データの特性やビジネスの態様などを踏まえた具体的な加工方法については認定個人情報保護団体や業界団体などの自主ルールにおいて適切に定められることを期待している。

個人情報保護法の改正と政令等のポイント 第三者提供に係る確認・記録義務

(図4)

4)第三者提供に係る確認・記録義務
 本法改正について検討が行われている中で大規模情報漏えい事件が起きたこともあり、トレーサビリティを確保するため、第三者提供に係る確認・記録の作成等を提供者、受領者に対して義務化した。国会審議及び附帯決議等を踏まえ、一般的なビジネス慣行に支障のないよう、記録事項、記録の作成方法等を個人情報保護委員会規則及びガイドラインにおいてで図4の通り定めた。

(図5)

5)外国の第三者への個人データの提供
 グローバル化への対応のため導入された規定である。①外国にある第三者へ提供することについて本人の同意がある場合、②外国にある第三者が個人情報保護委員会の規則で定める基準に適合する体制を整備している場合等においては、外国の第三者への個人データの提供が可能である(図5)。国会審議及び附帯決議等を踏まえ、ビジネスの実態に配慮して個人情報の移転を不当に限定することのないように、ガイドラインにおいて適切かつ合理的な方法として契約やグループ企業の内規・プライバシーポリシーを示すとともに、国際的な枠組みとしてAPEC 越境プライバシールール(CBPR)を示している。

6)小規模事業者への配慮
 今回の法改正では、取り扱う個人情報の数が5,000人分以下である事業者を規制の対象外とする規定を廃止したが、改正法の附則において、個人情報保護委員会はガイドラインの策定に当たって小規模事業者に配慮する旨を規定。ガイドラインにおいて、安全管理措置について一般的な義務・手法例とともに、小規模事業者(従業員数100人以下)について特例的な対応(手法の明示を含む。)を規定した。

今後に向けて

 個人情報保護委員会において改正個人情報保護法の施行に向けて、政令・個人情報保護委員会規則の閣議決定・公布(10月5日)、個人情報の保護に関する基本方針の閣議決定(10月28日)、共通ガイドラインの整備(11月30日官報掲載)等を行ってきたところである。今後、匿名加工情報に関する事務局レポート、Q&A等についても検討を行う予定である。
 改正個人情報保護法の全面施行に伴い、同法の監督権限が個人情報保護委員会に一元化されることから、同委員会が全分野に共通に適用される(1)通則編(個人情報保護法全体の解釈・事例)、(2)外国にある第三者への提供編、(3)第三者提供時の確認・記録義務編、(4)匿名加工情報編という4つのガイドラインを規定、11月30日に確定している。
 なお、金融関連(信用等を含む)、医療関連、情報通信関連といった一部の分野については、個人情報の性質及び利用方法並びに現行の規律の特殊性を踏まえて、上記のガイドラインを基礎として、当該分野においてさらに必要となる別途の規律を定め、改正個人情報保護法の全面施行前までに公表予定である。

認定個人情報保護団体の役割

 認定個人情報保護団体は現在42あり、対象事業者への情報提供、指導・勧告等、苦情処理、指針の策定といった役割を担っており、改正保護法施行後も引き続き当該団体として機能することになる。全面施行後はその認定及び監督等は個人情報保護委員会が行う。
 制度的な変更点としては、1.個人情報保護指針作成の際に、消費者代表の意見を聴き、法律の趣旨に沿って作成すること、匿名加工情報の作成方法を含む形で作成すること、2.各認定団体は作成した個人情報保護指針を個人情報保護委員会に届け出を行い、同委員会が公表すること、3.認定個人情報保護団体に所属する対象事業者に対して指導・勧告その他の措置をとらなければならないこと等が規定された。
 改正個人情報保護法の施行にあたり、認定個人情報保護団体の役割は、個人情報保護及びプライバシーに配慮した各業界の特性の応じた個人情報の取扱いについて定めるとともに、ホワイト事例やベストプラクティスを情報提供等により共有することにより消費者等からの信頼を得て社会的受容を得つつ各業界におけるデータの利活用を進める観点からもその重要性がいっそう増している。

個人データの円滑な国際的流通の確保のための取組

 個人情報保護委員会は、GPEN(グローバルプライバシー執行ネットワーク)、APPA(アジア太平洋プライバシー機関)といった国際的な執行協力の枠組みに正式に参加するとともに、個人データの円滑な国際的流通の確保に向けて取り組んでおり平成28年7月29日には個人情報保護委員会としての方針「個人データの円滑な国際的流通の確保のための取組について」を決定し、11月8日には同方針のアップデートを行い、米国及びEU等について相互の円滑なデータ移転を図る枠組みの構築に向けて協力対話を行っている。
 また、事業者のAPECプライバシーフレームワークへの適合性を認証し事業者の個人情報保護の水準を国際的に判断する仕組みであるAPEC越境プライバシールール(CBPR)システムを推進しており、外国にある第三者への個人データの提供が認められる例としても、1.提供先の外国の事業者がCBPRの認証を得ていること、2. 提供元の我が国の個人情報取扱事業者がCBPRの認証を取得しており、提供先の「外国にある第三者」が当該個人情報取扱事業者に代わって個人情報を取扱う者である場合等をガイドラインで示している。
 平成28年1月には、APEC CBPRシステムの認証団体として我が国で初めてJIPDECが認定されているところである。

改正個人情報保護法の施行スケジュール

 本日お話させていただいたように、改正個人情報保護法の来年春頃の全面施行に向けて、準備が進んでいるところである。個人情報保護委員会のホームページに施行準備のページを準備しており、政令・規則・ガイドライン等も掲載しているため是非ご参照いただければ幸いである。施行日等も政府全体として決定されたらお知らせさせていただく予定である。

 

本内容は、2016年12月6日に開催したJIPDECシンポジウム「第4次産業革命と情報連携-これからの情報活用とプライバシーを考える-」でのご講演内容を取りまとめたものです。