改正個人情報保護法の概要 と直近の動向 2016 年 9 月 5 日 FinTech 協会事務局
2 1 改正の経緯 (1) 個人情報を取り巻く環境の変化 (2) グレーゾーン問題 (3)SUICA 事件 (4) ベネッセ事件 (5) 海外の動向
1 改正の経緯 (1) 個人情報を取り巻く環境の変化 3 情報通信技術の飛躍的な進展 タブレット端末 スマートフォン等の普及 Facebook Twittert 等の SNS の普及 クラウドコンピューティングの一般化 データ保存コストの低下 個人や事業者の活動がグローバル化し 国境を越えてデータが流通 IoT の進展 情報が質的 量的に拡大し 多種多様 膨大な情報 ( ビッグデータ ) がインターネット等に流通 中でも 有用とされるのが パーソナルデータ
1 改正の経緯 (1) 個人情報を取り巻く環境の変化 4 パーソナルデータ 個人情報 に限定しない 個人の行動 状態に関するデータ Web 検索履歴購買履歴入出金履歴 GPSや通信基地局からの位置情報カーナビ 交通カードから割り出される移動履歴 新たなサービスやビジネスチャンスにつなげたいというニーズ一方で 消費者のプライバシーに対する意識の高まり
1 改正の経緯 (2) グレーゾーン問題 5 グレーゾーン問題とは 技術革新に伴って 個人情報 として取り扱うべきかが曖昧な情報が増えてきたこと 個人情報 氏名 メールアドレス クレジットカード番号 グレーゾーン 情報通信端末 ID 位置データ 購買データ 非個人情報
1 改正の経緯 (3)Suica 事件 6 Suica 事件 JR 東日本が顧客の乗降履歴に一定の匿名化を施した情報を個人情報ではないものとして 顧客の同意なく第三者提供しようとした 利用者や専門家から 個人情報 の定義に該当し違法ではないのか 勝手に自分の個人情報を使うな との批判が噴出 履歴情報から自らの情報を除外する申請を受け付けたところ 5 万件以上に 匿名化状態での本人同意のない流通が いかなる要件で認められるかが明らかでない状況の不都合性が意識される
1 改正の経緯 (4) ベネッセ事件 7 ベネッセ事件 2014 年 7 月 ベネッセの委託先従業員により 同社の管理するデータベースから 約 2,895 万件の個人情報が不正に持ち出され 名簿屋業者に販売されていたことが発覚 従業員は 不正競争防止法違反で立件 しかし 捜査当局でも 名簿の転売ルートを解明することは困難
1 改正の経緯 (5) 海外の動向 8 これまで OECD プライバシーガイドライン (8 原則 ) 欧州 EU データ保護指令 ( ) ( 基本的人権として厳格なデータ保護設計 ) 米国 包括的立法なし 欧州 - 米国間には セーフハーバ 近年の動き 米国 : 消費者プライバシー権利章典 の法制化の動き EU: EU データ保護規則 ( ) 案 の検討 指令 : 構成国の立法が必要 ( 直接の法的拘束力なし ) 規則 : 構成国に直接適用される ( 法的拘束力あり )
1 改正の経緯 (5) 海外の動向 9 EU の 十分性認定 とは EU データ保護指令 25 条 EU 域内から個人データを第三国に移転できる場合を EU から見て十分な水準の保護措置を確保している場合に限定する制度 十分性認定を得るには以下が重要とされる 独立第三者機関の整備 機微情報に関する規定の整備 小規模取扱事業者に対しての法の適用 越境データ移転についての制限 開示請求権の明確化 十分性が認められない場合に企業に求められる対応 1 2 3 欧州委員会が認めた SCC( 標準契約約款 ) を用いて契約 BCR ( 拘束的企業準則 ) を用いる 本人の同意を取得 グループ会社におけるデータ保護の仕組みを包括的に認定するスキーム
10 2 改正の内容 (1) 個人情報の定義の明確化 (2) 利活用の促進 (3) 個人情報保護強化 (4) グローバル化への対応
2 改正の内容 (1) 個人情報の定義の明確化 11 1 号型個人情報 (2 条 1 項 1 号 ) 生存する個人に関する情報であって 当該情報に含まれる氏名 生年月日その他の記述等 ( 文書 図画若しくは電磁的記録に記載され 若しくは記録され 又は音声 動作その他の方法を用いて表された一切の事項 ) により特定の個人を識別することができるもの ( 他の情報と容易に照合することができ それにより特定の個人を識別することができることとなるものを含む ) 2 号型個人情報 (2 条 1 項 2 号 ) 生存する個人に関する情報であって 個人識別符号 が含まれるもの
2 改正の内容 (1) 個人情報の定義の明確化 12 個人識別符号 とは 次のいずれかのうち 政令で定めるもの 1 2 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字 番号 記号その他の符号であって 当該特定の個人を識別することができるもの 身体の一部の特徴をデジタル化した符号 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ 又は個人に発行されるカードその他の書類に記載され 若しくは電磁的方式により記録された文字 番号 記号その他の符号であって その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ 又は記載され 若しくは記録されることにより 特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの サービスの利用者や個人に割り当てられる符号
2 改正の内容 (1) 個人情報の定義の明確化 13 ポイント 1 号型個人情報 ( 従来型 ) と 2 号型個人情報 ( 個人識別符号型 ) に分解 個人識別符号 にも 2 種類あり 身体の一部の特徴をデジタル化した符号なお 金融庁の実務指針では 機微 ( センシティブ ) 情報に該当する生体認証情報 とは 機械による自動認証に用いられる身体的特徴のうち 非公知の情報 であるとされている サービスの利用者や個人に割り当てられる符号 個人識別符号 は最終的には政令で定められる 容易照合性については変更なし
2 改正の内容 (2) 利活用の促進匿名加工情報 14 匿名加工情報 とは (2 条 9 項 ) 次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって 当該個人情報を復元することができないようにしたものをいう 1 2 第 1 項第 1 号に該当する個人情報当該個人情報に含まれる記述等の一部を削除すること ( 当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む ) 第 1 項第 2 号に該当する個人情報当該個人情報に含まれる個人識別符号の全部を削除すること ( 当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む 簡単にいうと 個人情報を加工し 1) 特定の個人を識別することができず 2) 当該個人情報を復元することができないようにしたもの
2 改正の内容 (2) 利活用の促進匿名加工情報 15 匿名加工情報の作成時の義務個人情報保護委員会規則で定める基準に従い 当該個人情報を加工する義務匿名加工情報に関する義務 1( 匿名加工情報を作成した者 / 作成 利用の場面安全管理義務 作成時の公表義務 照合禁止義務 匿名加工情報に関する義務 2( 匿名加工情報を作成した者 / 第三者提供の場面 ) 提供時の公表 明示義務 匿名加工情報に関する義務 3( 匿名加工情報を取得した者 ) 提供時の公表 明示義務 照合禁止義務
2 改正の内容 (3) 個人情報保護強化 1 要配慮個人情報 16 要配慮個人情報 とは 本人の人種 信条 社会的身分 病歴 犯罪の経歴 犯罪により害を被った事実その他本人に対する不当な差別 偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう (2 条 3 項 ) ポイント 1 直接取得に同意要 2 第三者提供オプトアウト禁止
2 改正の内容 (3) 個人情報保護強化 2 トレーサビリティの確保 17 第三者提供をする側の義務 記録の作成 (25 条 1 項 ) 提供年月日 第三者の氏名又は名称 その他 記録の保存 ( 同 2 項 ) 第三者提供を受ける側の義務 確認義務 (26 条 1 項 ) 第三者の氏名又は名称 住所 代表者の氏名 取得の経緯 記録の作成 ( 同 3 項 ) 記録の保存 ( 同 4 項 )
2 改正の内容 (3) 個人情報保護強化 3 小規模事業者の適用除外削除 18 取り扱う個人情報の数が 5000 人以下である事業者も改正法の規定を適用 改正附則 11 条個人情報保護委員会は 事業者等が講ずべき措置の適切かつ有効な実施を図るための指針 ( ガイドライン ) を策定するに当たっては 特に小規模の事業者の事業活動が円滑に行われるよう配慮するものとする
2 改正の内容 (4) グローバル化への対応 19 外国にある第三者への提供制限 (24 条 ) 個人情報取扱事業者は 1 外国 ( 個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く 以下この条において同じ ) にある 2 第三者 ( 個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く 以下この条において同じ ) に個人データを提供する場合には 前条第 1 項各号に掲げる場合を除くほか あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない この場合においては 同条の規定は 適用しない
2 改正の内容 (4) グローバル化への対応 20 ポイント 移転先が 1 外国 かつ 2 第三者 の場合 国名レベルで特定した個別同意が必要 1 外国 2 第三者 とも 除外対象は委員会規則で定められる 委託であっても 外国の第三者 であれば 同条の対象 クラウドサーバーへの保存が 外国の第三者 に該当するかどうかは 今後のガイドライン等を注視する必要あり
2 改正の内容 (4) グローバル化への対応 21 そもそもクラウドサーバーの利用は委託なのか? 特定個人情報保護委員会 特定個人情報の適正な取扱いに関するガイドライン ( 事業者編 ) 及び ( 別冊 ) 金融業務における特定個人情報の適正な取扱いに関するガイドライン に関する Q&A Q3-12 特定個人情報を取り扱う情報システムにクラウドサービス契約のように外部の事業者を活用している場合 番号法上の委託に該当しますか A3-12 当該事業者が当該契約内容を履行するに当たって個人番号をその内容に含む電子データを取り扱うのかどうかが基準となります 当該事業者が個人番号をその内容に含む電子データを取り扱わない場合には そもそも 個人番号関係事務又は個人番号利用事務の全部又は一部の委託を受けたとみることはできませんので 番号法上の委託には該当しません 当該事業者が個人番号をその内容に含む電子データを取り扱わない場合とは 契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており 適切にアクセス制御を行っている場合等が考えられます 今後の検討課題
2 改正の内容まとめ 22 当初 利活用を促進させる観点からの改正が 規制強化になった印象 EU の動向が大きな影響を与える ( 規制強化という代価を支払って 十分性認定を確保 ) 個人情報の明確化が改正の本丸 トレーサビリティの確保で民間事業者の負担は増か 匿名加工情報でデータ提供がしやすくなることに期待
3 改正スケジュールと直近の動向 23
改正スケジュール 24 平成 27 年 9 月 3 日成立 9 月 9 日公布 公布から 2 年以内に全面施行
直近の動向 25 平成 28 年 8 月 2 日個人情報保護委員会より 個人情報の保護に関する法律施行令の一部を改正する政令 ( 案 ) 及び 個人情報の保護に関する法律施行規則 ( 案 ) がパブリックコメントに付される (8 月 31 日終了 ) 平成 28 年 8 月 8 日経済産業省が 事業者が匿名加工情報の具体的な作成方法を検討するにあたっての参考資料 ( 匿名加工情報作成マニュアル ) を公表