個人情報保護法の改正に伴う事業規模の小さな事業者への対応について TM 2016 年 1 月 個人情報保護委員会事務局
目次 1. 改正個人情報保護法の概要 2. 事業規模の小さな事業者への対応 3. 今後のスケジュール等 4. 対応の具体例 5. マイナンバーの取扱いに関するお知らせ参考資料
1. 改正個人情報保護法の概要 個人情報保護法 個人情報の保護と有用性の確保に関する制度改正 個人情報の取扱いの監督権限を有する第三者機関 ( 個人情報保護委員会 ) を特定個人情報保護委員会を改組して設置など 番号利用法 個人情報保護法の改正のポイント 1. 定義の明確化等 2. 適切な規律の下で個人情報等の有用性を確保 3. 個人情報の流通の適正さを確保 4. 個人情報保護委員会の新設及びその権限 5. 個人情報の取扱いのグローバル化 特定個人情報 ( マイナンバー ) の利用の推進に係る制度改正 金融分野 医療等分野等における利用範囲の拡充 預貯金口座への付番 特定健診 保健指導に関する事務における利用 予防接種に関する事務における接種履歴の連携等 個人情報の定義の明確化 ( 身体的特徴等が該当 ) 要配慮個人情報 ( いわゆる機微情報 ) に関する規定の整備 個人情報データベース等から権利利益を害するおそれが少ないものを除外 取り扱う個人情報が 5,000 人分以下の事業者に対しても法を適用 利用目的の変更を可能とする規定の整備 匿名加工情報に関する加工方法や取扱い等の規定の整備 個人情報保護指針の作成や届出 公表等の規定の整備 本人同意を得ない第三者提供 ( オプトアウト規定 ) の届出 公表等厳格化 トレーサビリティの確保 ( 第三者提供に係る確認及び記録の作成義務 ) 不正な利益を図る目的による個人情報データベース等提供罪の新設 個人情報保護委員会を新設し 現行の主務大臣の権限を一元化 国境を越えた適用と外国執行当局への情報提供に関する規定の整備 外国にある第三者への個人データの提供に関する規定の整備 本人の開示 訂正等 利用停止等の求めは請求権であることを明確化 6. 請求権 1
1. 改正個人情報保護法の概要 背景 課題監督対象主務大臣 小規模取扱事業者 5,000 人分以下の個人情報を取り扱う事業者に対しては 法律の適用を除外 ( 現行法第 2 条第 3 項第 5 号 施行令第 2 条 ) : 5,000 人分を超える ( 1) 個人情報をデータベース化 ( 2) して その事業活動に利用している者 ( 3) ( 1) 過去 6 か月間に一度でも超えていれば該当する ( ただし 市販の電話帳 カーナビ等に掲載されている個人情報は除く ) ( 2) 個人情報データベース等 : 特定の個人情報を検索できるよう体系的に構成した個人情報の集合物 紙媒体 電子媒体を問わない ( 3) 営利 非営利の別を問わない 個人事業主も含まれる しかし 5,000 人分以下の個人情報を取り扱う事業者であっても その不適切な取扱いによって 個人の権利利益が侵害される危険性は生じうる 個人情報保護委員会 監督対象 5,000 人分以下の個人情報を取り扱う事業者に対しても 法律の適用を開始 : 個人情報をデータベース化 ( 2) して その事業活動に利用している者 ( 3) 2
2. 事業規模の小さな事業者への対応 個人情報保護委員会 事業規模や個人情報の利用形態等に応じた適切な取扱いであれば足りる 大量の個人情報 参考 公表 ガイドライン ( 法律上の各義務について 具体的な履行方法が示されたもの ) 参考 ガイドラインの内容 大規模事業者と同様のやり方で 個人情報を取り扱わなければならないの? 負担 大量の個人情報を取り扱っている大規模事業者がとるべき措置は 少量の個人情報を取り扱っている小規模事業者がとるべき措置は 附則第 11 条個人情報保護委員会は 新個人情報保護法第 8 条に規定する事業者等が講ずべき措置の適切かつ有効な実施を図るための指針を策定するに当たっては この法律の施行により旧個人情報保護法第 2 条第 3 項第 5 号に掲げる者が新たにとなることに鑑み 特に小規模の事業者の事業活動が円滑に行われるよう配慮するものとする 3
3. 今後のスケジュール等 安心 今回の改正で新たにとなる者が 全面施行前に個人情報をどのように取り扱っていたとしても その行為について個人情報保護法の違反を問われることはありません 今回の改正で新たにとなる者は 全面施行後には 施行後に取得した個人情報に加え 従前から取り扱っていた個人情報についても 利用目的を特定したり 安全管理措置をとったりする等 法律上の各義務を守らなければなりません 学校や自治会においても 法律上の各義務を守れば 緊急連絡網を作成 配布することができます 改正法公布 個人情報保護委員会設置 平成 28 年 1 月 1 日 全面施行 公布の日から起算して 2 年を超えない範囲内において政令で定める日 4
4. 対応の具体例 1- 本人から個人情報を取得し保有する場合 本人から取得し保有する場合に生じる義務 1 安全管理措置 従業者の監督措置個人データの取扱いに関して 漏えい等の防止のため必要かつ適切な措置を講じなければならない 電話帳や住宅地図など 市販の名簿等をそのまま活用する場合は改正により除外 (5 についても同じ ) 講ずべき措置は取り扱う個人情報の量や内容 事業者における利用態様等によって異なる 具体例 ( 酒屋等の中小企業が配達のために個人情報を取り扱うケース ) 顧客名簿をカギのかかる引き出しで管理 ( なお 書面で少数の個人情報を管理し自社 内で用いるのみである場合と 大量の個人情 報をデータベース化し 外部にも送信している ような場合とでは必要な措置の程度が異なる ) 2 適正な取得偽りその他不正の手段により個人情報を取得してはならない 3 取得時の利用目的の通知等配達のため等の利用目的が明白な場合を除き 個人情報を取得する場合には利用目的を本人に通知 ( 電子メール 電話 郵便など ) 又は公表 ( ホームページへの掲載 店先での掲示など ) しなければならない 4 利用目的の特定 目的外利用の禁止利用目的をできるだけ特定し その目的の範囲内で個人情報を利用しなければならない 5 保有個人データの公表 開示 訂正利用目的等について公表 ( 遅滞なく回答でも可 ) し 本人の請求に応じて個人データを開示 訂正等しなければならない 偽りその他不正の手段により取得しない 顧客の氏名 住所の取得が 配達のためであることが明白であれば特段の通知は要しない 配達のため以外に個人情報を利用しない 聞かれた場合に どのような目的で本人のどのような個人情報を取り扱っているかを回答できるようにしておく 5
4. 対応の具体例 2- 個人情報を他者に提供する場合 他者に提供する場合等のケースでは 不正流通の危険があるため 一定の義務が追加的に課されている 他者に提供する場合等に生じる義務 1 委託先の監督個人データを委託する場合は 必要かつ適切な監督を行わなければならない 2 第三者提供する際の制限個人データを第三者に提供する場合は 一定の場合を除き 原則として 本人の同意を得なければならない 個人データを第三者に提供する場合は 提供の年月日及び第三者の氏名等を記録しなければならない 3 第三者提供を受ける際の確認 記録第三者から個人データの提供を受ける場合は 提供者による取得経緯等を確認し 提供を受けた年月日等を記録しなければならない 具体例 ダイレクトメールの宛名書きを委託する場合 個人情報を適切に管理する委託先を選定し 適切な管理を求める契約を締結し 委託先の個人データの取扱いを把握する 顧客に関する情報を 他の事業者に提供する場合は 原則として本人の同意を得なければならない また 提供の年月日等を記録しておく 他の事業者から顧客に関する情報を得てダイレクトメールを送る場合は 当該事業者の個人情報の取得経緯等を確認し 提供を受けた年月日等を記録しておく 6
5. マイナンバーの取扱いに関するお知らせ 事業者における特定個人情報の漏えい事案等が発生した場合の対応 事業者における特定個人情報の漏えい事案等が発生した場合の対応について ( 平成 27 年特定個人情報保護委員会告示第 2 号 ) 特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則 ( 平成 27 年特定個人情報保護委員会規則第 5 号 ) 1. 漏えい事案等が発覚した場合に講ずることが望まれる措置 (1) 事業者内部における報告 被害の拡大防止 (2) 事実関係の調査 原因の究明 (3) 影響範囲の特定 (4) 再発防止策の検討 実施 (5) 影響を受ける可能性のある本人への連絡等 (6) 事実関係 再発防止策等の公表 2. 本告示に基づく報告 事業者は 番号法違反の事案又は番号法違反のおそれのある事案を把握した場合には 事実関係及び再発防止策等について 次ページの 事業者における特定個人情報の漏えい事案等が発生した場合の報告概念図 ( 重大事態の報告を除く ) のとおり 事業所管の主務大臣等又は個人情報保護委員会 ( 注 ) に報告するよう努めてください ( 注 ) に該当するか等で報告先が異なります 3. 個人情報保護委員会規則に規定する重大事態等の関する報告 事業者は 右記の個人情報保護委員会規則における 重大事態に該当する事案又はそのおそれのある事案が発覚した時点で 直ちにその旨を個人情報保護委員会に報告するよう努めてください 第一報 事業者は 特定個人情報ファイルに記録された特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態 ( 重大事態 ) が生じたときは 個人情報保護委員会に報告するものとする 確報 重大事態 1 情報提供ネットワークシステム等又は個人番号利用事務を処理するために使用する情報システムで管理される特定個人情報が漏えい等した事態 2 漏えい等した特定個人情報に係る本人の数が100 人を超える事態 3 特定個人情報を電磁的方法により不特定多数の者が閲覧することができる状態となり かつ閲覧された事態 4 従業員等が不正の目的をもって 特定個人情報を利用し 又は提供した事態 報告内容 1 概要及び原因 2 特定個人情報の内容 3 再発防止のためにとった措置 4 1~3のほか 個人情報保護委員会が定める事項 個人情報保護委員会へ報告する様式については 個人情報保護委員会ウェブサイトに掲載しています 7
5. マイナンバーの取扱いに関するお知らせ 事業者における特定個人情報の漏えい事案等が発生した場合の報告概念図 ( 重大事態の報告を除く ) 委員会告示 : 事業者における特定個人情報の漏えい事案等が発生した場合の対応について ( 平成 27 年特定個人情報保護委員会告示第 2 号 ) 委員会規則 : 特定個人情報の漏えいその他の特定個人情報の安全の確保に係る重大な事態の報告に関する規則 ( 平成 27 年特定個人情報保護委員会規則第 5 号 ) 事業者は 番号法違反の事案又は番号法違反のおそれのある事案を把握した場合には 事実関係及び再発防止策等について 次のとおり事業所管の主務大臣等又は個人情報保護委員会に報告するよう努めてください A. (C 以外の場合 ) 主務大臣のガイドライン等の規定に従って報告 委員会告示 2.(1) ア B. 以外の事業者 主務大臣のガイドライン等に従う場合 主務大臣 ( 認定個人情報保護団体 ) 又は地方公共団体の長等 ( 主務大臣のガイドライン等に報告先として規定されている場合 ) 通知 委員会告示 2.(1) イ C. 主務大臣が明らかでない場合又は報告する主務大臣等を直ちに特定できない場合 D. 以外の事業者 (B 以外の場合 ) 速やかに報告 速やかに報告 ( ) 個人情報保護委員会 委員会告示 2.(1) ウ E. 番号法固有の規定に関する事案 速やかに報告 D. 以外の事業者 (B 以外の場合 ) は 次の 1~4 全てに当てはまる場合は 個人情報保護委員会への報告は要しません 1 影響を受ける可能性のある本人全てに連絡した場合 ( 本人への連絡が困難な場合には 本人が容易に知り得る状態に置くことを含む ) 2 外部に漏えいしていないと判断される場合 3 事実関係の調査を了し 再発防止策を決定している場合 4 委員会規則に規定する重大事態に該当しない場合 個人情報保護委員会へ直接報告する事案が発生した場合は 郵送で報告してください 個人情報保護委員会ウェブサイトに 報告様式や Q&A を掲載しています http://www.ppc.go.jp/legal/policy/rouei/ 8
参考 個人情報とは 保護対象 生存する個人に関する情報であって (1) 氏名 生年月日その他の記述等により特定の個人を識別することができるもの ( 他の情報と容易に照合することができ それにより特定の個人を識別することができることとなるものも含む ) (2)(1 又は 2 の ) 個人識別符号が含まれるもの 1 特定の個人の身体の一部の特徴を電子計算機のために変換した符号 < 例 > 個人情報 < 例 >データベース化されていない書面 写真 音声等に記録されているもの氏名住所生年月日 指紋認識データ 顔認識データ 2 対象者ごとに異なるものとなるように役務の利用 商品の購入又は書類に付される符号 個人情報データベース等 ( ) を構成する個人情報 < 例 > 委託を受けて 入力 編集 加工等のみを行っているもの < 例 > 個人データ 保有個人データ 旅券番号 免許証番号 ( ) 個人情報を含む情報の集合物であって 電子媒体 紙媒体を問わず 特定の個人情報を検索することができるように体系的に構成したもの ( 例 : 名簿 連絡帳 ) 利用方法から個人の権利利益を害するおそれが少ないもの ( 例 : 市販の電話帳 ) を除く が開示 訂正 削除等の権限を有する個人データ (6 月以内に消去することとなるものを除く ) < 例 > 自社の事業活動に用いている顧客情報 従業員等の人事管理情報 ( 注 ) このほかにも 要配慮個人情報及び匿名加工情報という類型があります 要配慮個人情報は 人種 信条 社会的身分 病歴等 その取扱いによっては差別や偏見を生じるおそれがあるため 特に慎重な取扱いが求められる個人情報を類型化したものです 匿名加工情報は 個人情報に適正な加工を施し 特定の個人を識別できず 復元できないようにしたものです 適正な加工を施すこと等 法律上の一定の規律を守っていただければ 本人同意なく 自由な流通 利活用が認められます 9
参考 が守らなければならない義務 個人情報の取得時 利用目的の特定 通知等 利用目的の特定 ( 15) 目的外利用の禁止( 16) 個人情報を取り扱うに当たっては 利用目的をできるだけ特定し その目的を変更する場合には 変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない また 原則として あらかじめ本人の同意を得ないで 特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない 取得時の利用目的の通知等 ( 18) 個人情報を取得するに当たっては 取得前にあらかじめ利用目的を公表し 又は 取得した後に 速やかに 本人へ利用目的を通知し若しくは公表しなければならない また 本人から直接書面で取得する場合は あらかじめ本人に利用目的を明示しなければならない 利用目的を変更した場合は 変更された目的を本人に通知し又は公表しなければならない なお 取得の状況からみて利用目的が明らかな場合等の一定の場合にはこれらの利用目的の通知又は公表は必要ない 適正な取得 適正な取得 ( 17) 偽りその他不正な手段によって個人情報を取得してはならず 人種 信条 病歴等を含む個人情報 ( 要配慮個人情報 ) を取得する時には 必ず本人に同意をとらなければならない 本人 公表通知 明示利用目的個人情報の取得 当初の利用目的 本人の同意が必要 変更可能 下記の範囲を超えた利用目的 関連性を有すると合理的に認められる範囲の利用目的 10
参考 が守らなければならない義務 個人データの保管 管理時 事故防止のための対策 データ内容の正確性の確保 ( 19) データは正確かつ最新の内容に保つとともに 利用する必要がなくなったときはデータを消去するよう努めなければならない 安全管理措置 ( 20) 従業者 委託先の監督 ( 21 22) データの漏えいや滅失を防ぐため 安全管理のための必要かつ適切な技術的 組織的な措置をとらなければならない また 従業者 ( ) や委託先においても安全にデータが管理されるよう 必要かつ適切な監督を行わなければならない ( ) 従業員とは 正社員のほか役員 契約社員 アルバイト等も含まれる 苦情の処理 ( 35) 苦情の処理個人情報の取扱いに関する苦情の適切かつ迅速な処理 そのために必要な体制の整備に努めなければならない 苦情の申出 パスワード セキュリティソフトの使用 個人情報や苦情対応に関する研修等 消去 委託契約の遵守状況を確認 委託契約書データ持ち出し禁止データの返却 適切な消去 対応 本人 正確 最新 個人データの入力等を委託 委託先 11
参考 が守らなければならない義務 保有個人データの保管 管理時 本人からの求め 請求への対応 利用目的の通知 個人情報の開示 訂正 利用停止等 ( 27 34) 保有しているすべてのデータの利用目的や事業者の名称等の一定の事項を本人の知りうる状態に置き 本人の求めに応じて当該本人が識別されるデータの利用目的を本人に通知しなければならない また 本人からの請求に応じて データを開示し データ内容に誤りのある場合には訂正又は削除を 事業者が法律上の義務 ( 16 17 23Ⅰ ) に違反している場合にはデータの利用の停止又は消去を行わなければならない 利用目的 事業者名 開示等に必要な手続 裁判所 本人の知りうる状態 ( 公表 ) 拒否決定に不満 3 申立て 4 棄却 4 認容 ( 開示等命令 ) 利用目的を通知 2 拒否決定 通知 本人 利用目的を知りたい 本人 2 開示等 1 データを開示等してほしい 12
参考 が守らなければならない義務 個人データの提供時 第三者提供の制限 第三者提供の制限 ( 23) 法令に基づく場合等の一定の場合を除き あらかじめ本人の同意を得ないで 個人データを第三者に提供してはならない ただし 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって 本人の求めを受け付ける方法等の一定の事項を あらかじめ 本人に通知し又は本人が容易に知り得る状態に置くとともに 個人情報保護委員会に届け出たときは 本人の同意を得ないで 当該個人データを第三者に提供することができる ( 要配慮個人情報を除く ) なお 委託 事業承継 共同利用に伴う提供の場合には 第三者提供 に該当しない 外国の第三者へ個人データを提供する場合には 24 参照 確認 記録の作成 保存 個人データを第三者に提供した際の記録等 ( 25) 個人データを第三者に提供したときは 提供年月日 第三者の氏名 名称等の一定の事項を記録し 一定の期間その記録を保存しなければならない 個人データを第三者から提供を受ける際の確認 記録等 ( 26) 個人データを第三者から提供を受けるときは 第三者の氏名 名称等 当該第三者がその個人データを取得した経緯について確認するとともに 受領年月日 確認した事項等の一定の事項を記録し 一定の期間その記録を保存しなければならない 本人 同意 本人の知りうる状態 ( 公表 ) 又は データの項目 求めの受付方法等 通知 第三者提供してもよいか? 2015.8.17 B に顧客に関する情報を提供 記録 保存 第三者提供 事業者名は? 取得の経緯は? 2015.8.17 A から顧客に関する情報を受領 記録 保存 ( 販売 無償譲渡 ) 13
参考 が守らなければならない義務 不適正な取扱いの是正 罰則 個人情報保護委員会の監督 個人情報保護委員会による報告徴収 立入検査 指導 助言 勧告 命令 ( 40 42) 委員会は 必要な限度において に対し 個人情報の取扱いに関して報告の徴収 事務所への立入検査 必要な指導及び助言をすることができる 委員会は が法律上の義務に違反した場合に に対し 違反行為の中止や違反を是正するために必要な措置をとるべき旨を勧告することができ 勧告を受けたが 正当な理由がなく勧告に従わなかった場合に その勧告に係る措置をとるべきことを命ずることができる 罰則の適用 ( 83 88) データベース提供罪 罰則個人情報データベース等を取り扱う事務に従事する者又は従事していた者が 不正な利益を図る目的で個人情報データベース等を提供し 又は盗用する行為を処罰 (1 年以下の懲役又は50 万円以下の罰金 ) が 1 委員会の命令に違反した場合 2 委員会に対して虚偽の報告や検査拒否等をした場合を処罰 (16 月以下の懲役又は30 万円以下の罰金 230 万円以下の罰金 ) 法律違反が発覚 報告徴収 立入検査 勧告 命令 命令違反 法律の義務に違反? 個人情報保護委員会 通報 本人 不正な持ち出し 不正な提供 従事者 司法機関 14
参考 匿名加工情報とは 匿名加工情報 本人 個人情報 事業者 A ( 加工 提供 ) 取得 2 個人情報保護指針に基づき 特定の個人を識別することができる記述等を削除 1 匿名加工情報を作成したことを公表 公表 匿名加工情報 2 第三者提供をする旨を公表 特定の個人を識別することができる記述等を削除 第三者提供をする旨を公表削除した記述等や加工方法の漏えい防止 特定の個人を識別することができないように個人情報を加工したものを匿名加工情報と定義し その加工方法を定めるとともに 事業者による公表などその取扱いについての規律を設ける 4 第三者提供をする旨を公表 3 提供 匿名加工情報 3 匿名加工情報であることを明示 5 匿名加工情報で5 提供あることを明示 本人を識別するための以下の行為を禁止 作成者が削除した記述等や加工方法の取得 他の情報と照合 事業者 B ( 受領 提供 ) 個人情報保護指針 匿名加工情報 指針の提供 個人情報保護委員会規則で定める基準に従う 匿名加工基準 個人情報保護指針 (1) 消費者意見を代表するもの等から意見を聴いて作成 個人情報保護委員会 (2) 届出 ( 変更 ) 個人情報保護指針 (3) 届け出事項の公表 個人情報保護指針認定個人情報保護団体 公表 本人を識別するための以下の行為を禁止 作成者が削除した記述等や加工方法の取得 他の情報と照合 事業者 C ( 受領 ) 15
参考 個人情報保護委員会の新設及びその権限 事業者 個人情報保護指針 認定個人情報保護団体 個人情報保護指針 (1) 消費者意見を代表するもの等から意見を聴いて作成 機能権限 報告徴収 立入検査 指導 / 助言 勧告 命令 報告徴収 立入検査 事業所管大臣 権限の委任 認定 認定取消 報告徴収 命令 指針の提供 個人情報保護指針 (2) 届出 ( 変更 ) 個人情報保護委員会内閣府の外局 ( 特定個人情報保護委員会を改組 ) H28 年 1 月 1 日設置 内閣府の外局として個人情報保護委員会を新設し 現行の主務大臣の有する権限を集約するとともに 立入検査の権限等を追加 ( 報告徴収及び立入検査の権限は事業所管大臣等に委任可 ) 個人情報保護指針 (3) 届出事項の公表 公表 16
参考 認定個人情報保護団体制度 業界 事業分野ごとの民間による個人情報の保護の推進を図るために 個人情報の適切な取扱いに関する苦情の処理 情報の提供等の活動を行う民間団体等を個人情報保護委員会 ( 改正前は主務大臣 ) が認定することにより 当該団体を支援する制度 〇認定の対象となる業務 ( 47) 業務の対象となる ( 対象事業者 ) の個人情報又は匿名加工情報の取扱いに関する苦情の処理 個人情報保護指針の作成など 個人情報の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供 その他 対象事業者の個人情報の適正な取扱いの確保に関し必要な業務 〇認定基準 ( 49) 認定業務 ( 苦情処理 情報提供等 ) を適正かつ確実に行うために必要な務の実施の方法が定められていること 認定業務を適正かつ確実に行うに足りる知識 能力 経理的基礎を有すること 認定業務以外の業務を行っている場合には その業務を行うことによって認定業務が不公正になるおそれがないこと 〇努力義務 ( 53) 個人情報保護指針 ( 対象事業者による個人情報の適正な取扱いを確保するための法律に沿った指針 ) の作成 ( 作成後は個人情報保護委員会への届出義務 同委員会による公表あり ) 対象事業者に対して指針を遵守させるために指導 勧告等の必要な措置をとること 17