第1 改正個人情報保護法の概略
Ⅰ, 序
・H27.9.9「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」が公布
・個人情報の保護に関する法律は,平成15年5月30日公布から12年が経過して初めての大きな改正である。
・今回の改正は,個人情報の保護と利活用のバランスを図り得るパーソナルデータの利活用環境を整備するためのもの
・背景には情報通信技術の飛躍的発展とそれに伴い個人情報を含むパーソナルデータは多種多様かつ膨大な量が取り扱われ,これによって事業者に利活用ニーズが生まれた反面,消費者の不安が増大したという事情がある。
Ⅱ,改正経緯
(1)情報通信技術の発展がいわゆる「ビッグデータ」の利活用がなされるようになり,個人情報保護法のグレーゾーンが拡大して,その解消と適正な情報の利活用環境を整備する必要が生じた。
(2)個人情報取扱事業者の監督が主務大臣制の下27分野38ガイドラインに基づき,重畳的な執行の問題や,所管の官庁が不明確な分野が生じていた。
(3)個人情報を含む多くの情報が国境を越えて流通する時代となり,EU,アメリカで個人情報保護法制の見直しが検討されていることも踏まえて,国際的な整合性を図る必要性が高まった。
Ⅲ,改正概略
1.保護対象
(1)「個人情報」に個人識別符号の新設(2条1項2号 情報単体で特定の個人を識別することのできるものを個人識別符号として,政令が定めることによって個人情報の該当性の判断が容易となった。個人識別符号には,例えば,指紋,顔の構造等各人に固有の身体の一部の特徴をデジタル化した情報,マイナンバー,運転免許証の番号,旅券の番号等が含まれることが国会の審議で明らかにされている。
(2)要配慮個人情報の類型化(法§2.Ⅲ)
・本人の人種,信条,社会的身分,病歴,犯罪の経歴,犯罪により害を被った事実その他本人に対する不当な差別,偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報
・諸外国においては,一般にセンシティブデータ(機徴情報)として特別の規律を設けている例が多くある。
・ 要配慮情報については,原則として本人の同意を得てこれを取得することとし(§17,Ⅱ),また本人同意を必要としない第三者提供の特例(オプトアウト手続,§23,Ⅱ)による第三者提供の対象から除外して,一般の個人情報より慎重な取扱いを規律している。
(3)その他
・個人情報データベース等から権利利益を侵害するおそれが少ないもの(市販の電話帳等)を除外(§2,Ⅳ括弧書)
・現行法で除外されている,取り扱う個人情報が5,000人分以下の小規模取扱事業者を個人情報取扱事業者として法の義務履行の対象とした現行2条3項5号を削除した。ただし,ガイドライン策定に当っては小規模の事業者の活動が円滑に行われるように配慮することとされている。
2.個人情報等の有用性確保
(1)匿名加工情報の新設
・匿名加工情報とは,個人情報を加工することによって,特定の個人を識別することができず,かつ,当該個人情報を復元することができないようにしたものをいう。
・基本的に個人の権利利益を侵害することがないため,適正な加工や識別行為の禁止等,本人の同意に代わる一定の条件の下,自由に利活用できる環境を整備することとされた。
・例えばGPSにより取得される位置情報や交通系ICカードの乗降履歴等を複数の者の間で分野横断的に利活用することで,新たな役務,商品開発が期待される。
(2)その他
①認定個人情報保護団体という制度が設けられた。
主に業界団体が主体となって,企業や団体の特性に則したきめ細かい対応を図り,個人情報保護指針の作成と届出,対象事業者への監督を義務化する等している。
・個人情報の本人と企業等の双方にとってより良いパーソナルデータの利活用環境が整うことが期待される。
3.個人情報保護委員会の新設
・個人情報保護委員会が新設され,同委員会が個人情報保護法を所管するとともに,主務大臣制を廃止して権限を集約し,同委員会が一元的に個人情報取扱事業者を監督する体制に改められた。
・又,立入検査権限が付与されるなど,権限が強化された。
・同委員会は,平成28年1月1日からマイナンバー法の特定個人情報の取扱いに関する監視,監督とともに,個人情報保護法を所管し,個人情報の保護に関する基本的方針の策定(7条)等又,個人情報保護法の改正法の全面施行後(改正後2年以内)は,各主務大臣が行ってきた個人情報取扱事業者の監督等を行う。
・事業分野ごとに定められてきた個人情報保護法のガイドラインも原則として統一化されることが予想される。
4.その他
(1)個人情報の流通の適正性確保
・名簿業者が扱う名簿に関しては,不適正な取得や流通を疑う意見が多く,又平成26年に発生した大手通信教育会社の事案もあり,オプトアウト手続の厳格化(あらかじめ本人の同意が代わる手続)及び個人データの提供,受領に関しての確認記録等義務が新設された。これは個人データの流通につきトレーサビリティを確保するために設けられたものである。
・個人情報取扱事業者は,個人情報保護委員会で定めるところにより
①個人データを提供する場合には,提供した年月日や提供相手の氏名,住所等に関する記録を作成し,一定期間保存しなければならない(法§25)
②個人データを受領する場合は,提供者がその個人データをどのように取得したのかという取得の経緯等を確認し,その記録を作成して一定期間保存しなければならない。
これによって不正な個人データの提供が疑われる際に,委員会が その流れをたどって適切な措置を求めることが可能となる。
不正な提供が疑われる場合には,個人情報取扱事業者はこれを受 領しないことにより,不正な提供を抑止する効果が期待される。
又,法83条には個人情報データベース等提供罪が新設された。
ベネッセ事件を契機に新設された。
(2)グローバル化に対する対応
・ 現行個人情報保護法は属地主義から日本国外における行為には適用がない。
・しかしインターネットショッピング等で外国とのやりとりをするなどして,国境を越えた個人情報の取扱いが増加している。
・今回の改正では日本との関連性と法適用の相当性がある場合の行為については法が適用される。
又,日本の個人情報取扱事業者が国外にある者に対して個人情報を提供するに当っての規定が整備された。
・法の適用される行為は,日本国内に居住している者に対する物品・サービス提供に伴い個人情報を取得して外国で取り扱う個人情報取扱事業者への法適用と外国執行当局への情報提供に関する規定が整備された。(法§75,§78)
・又,外国にある第三者へ個人データの提供のためには,委員会規則で定める国にある者及び同規則に定める基準に適合する体制を整備している者を除く,外国にある第三者に対して個人データを提供するには,原則として外国にある第三者への提供を認める旨の本人の同意を得なければならないこととされた(法§24)。
・前段の除外される者らへの個人データを提供する場合は,現在の運用同様に23条の規定に従う。
(3)裁判上の権利として規定
・現行法においては裁判上の請求権か否か明らかでなかった。裁判上の請求が否定された裁判例もある。
・そこで個人情報取扱事業者に対する個人情報の開示,訂正及び利用停止等の求めが裁判上の請求権であることが明確化されるとともに裁判上の救済を求めるに当っての事前請求の規定が新設された(法§28~§34)
Ⅳ,施行日
・平成28年1月1日に個人情報保護委員会の設置及びこれに付随する規定が施行され,個人情報保護法の所管が消費者庁から同委員会に移行する以降,委員会規則が制定される。
・個人情報取扱事業者等の義務及びその監督に関する規定等については公布から2年以内の政令で定める日に施行される。
第2 個人情報,匿名加工情報,個人情報取扱事業者
Ⅰ,個人情報の定義の明確化
・改正個人情報保護法2条1項は,新たに個人識別符号という類型を設け,個人情報を「個人識別符号が含まれるもの(同項2号)
または,改正前からの概念である「当該情報に含まれる氏名,生年月日,その他の記述等(・・・・・・・・・・・・)により特定の個人を識別することができるもの(同項1号)のいずれかに該当するものを個人情報と定義した。
1号の定義は,改正前個人情報保護法例2条1項における個人情報の定義とほぼ同内容であり「記述等」の意味を具体的に規定したものである。
・個人識別符号は,他の情報との照合(モザイク,アブローチ)を要せずに,それ単独で特定の個人を識別できるものである。
・個人識別符号は,政令で具体的に定められるので,何が個人識別符号に当たるかは明確になり,個人識別符号に該当すれば個人情報であるため,個人情報の定義の明確化になる。
・改正前個人情報の概念規定では個人情報該当性の判断が困難な事例がありグレーゾーンがあったが,個人識別符号の概念の新設により,個人識別符号に該当する限りは,個人情報該当性が一義的に明確になり,グレーゾーンの解消につながる。
(ⅰ)特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した,文字,番号,記号その他の符号であって,当該特定の個人を識別することができるもの(2条2項1号)
(ⅱ)「個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ,又は個人に発行されるカードその他の書類に記載され,若しくは電磁的方式により記録された文字,番号,記号その他の符号であってその利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ,又は記載され,若しくは記録されることにより,特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの(同項2号)
(ⅰ)に該当するものとしては,指紋認識データ,顔認識データ
(ⅱ)に該当するものとしては,個人番号,運転免許証番号,旅券番号,基礎年金番号,保険証番号が想定されていることが国会審議の過程で明らかにされた。
Ⅱ,要配慮個人情報
1.経緯
・改正前個人情報保護法は,機徴情報(センシティブ情報)についての規定をおいていない
・個人情報保護条例,個人情報に関するガイドライン,EU個人データ保護指令における機徴情報に関する規律は,社会的差別の原因となっている個人情報の取扱いを厳格化する観点から設けられている。
・改正前個人情報保護法がEU十分性認定が得られていない理由の一つと考えられている。
・改正個人情報保護法は,EU十分性認定を受けることにより,EU加盟国との間での個人データの移転に係る障壁を除去することを重要な目的の一つとしており,このことが,要配慮個人情報に係る特別の規律が置かれる要因である。
・改正個人情報保護法の要配慮個人情報に係る規定は,社会的差別の原因となる個人情報の不必要な取扱いを制限するために設けられた。
2.定義
・改正個人情報保護法2条3項は,要配慮個人情報とは「本人の人種,信条,社会的身分,病歴,犯罪の経歴,犯罪により害を被った事実その他本人に対する不当な差別,偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」と規定している。
・諸外国の個人情報保護法や府省の個人情報保護に関するガイドラインにおいて機徴情報とされているものであって,改正個人情報保護法2条3項の要配慮個人情報として例示されていないものには,本籍地,労働組合への加入,団体交渉等への参加等,性生活があり,これらを要配慮個人情報とするか否かは,政令の策定過程で検討される。
3.取得の制限
・個人情報取扱事業者が,あらかじめ本人の同意を得ない要配慮個人情報を取得することを原則として禁止している(法§17,Ⅱ)。
例外は法令に基づく場合,人の生命,身体又は財産の保護のために必要である場合であって,本人の同意を得ることが困難であるとき等に限定されている(法§17,Ⅱ,No.1~No.7)。
4.オプトアウト方式による第三者提供の禁止
・要配慮個人情報については,オプトアウト方式による第三者提供を禁止している。
・オプトアウト方式が採られていること自体を本人が認識できないのが通常であり,形骸化しているという批判が少なくない。
・改正個人情報保護法では,オプトアウト方式を採る場合には,個人情報保護委員会への届出を義務付け(法§23,Ⅱ),個人情報保護員会は届出のあった事項を公表する義務を負うとすることにより(§23,Ⅳ)前記批判に応えている。
Ⅲ,匿名加工情報
1.定義
・「匿名加工情報」とは,特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって,当該個人情報を復元することができないようにしたもの,と定義している。
・加工方法は,個人情報保護委員会が基準を定め,それに従うことになる。(法§36,Ⅰ)。
・個人情報保護委員会規則では,いずれの事業者にも適用される一般的な必要最少の加工方法を示すにとどめると思われる。
・認定個人情報保護団体が存在する分野では,同団体の作成する個人情報保護指針において,当該分野の特性に応じた加工方法の詳細について定められることが想定される。
2.匿名加工情報と個人情報の関係
・個人情報取扱事業者が匿名加工情報を作成して自ら当該匿名情報を取り扱うに当っては,当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために,当該匿名加工情報を他の情報と照合することが禁止されている(法§36,Ⅴ)
・匿名加工情報が個人情報に該当しない以上,匿名加工情報の利用目的の特定の必要はなく,第三者に提供する場合にも,本人同意は不要になる。
・匿名加工情報という範疇を設けルールを明確化することにより,パーソナルデータの利活用を促進する環境を整備するとともに,個人の権利利益も保護することを意図した改正といえる。
・もし加工が不十分な個人データが匿名加工情報として流通している場合には,個人情報保護委員会は,監督措置を講ずることができる。(法§40以下)。
・認定個人情報保護団体が存在する分野では,認定個人情報保護団体も重要な役割を果たすべきである。
・認定個人情報保護団体は,対象事業者に対し一定の条件の下において,個人情報保護指針を遵守させるために必要な指導,勧告その他の措置をとることができる。(法§53,Ⅳ)
Ⅳ,個人情報取扱事業者
・改正前個人情報保護法2条3項5号及び同施行令2条柱書は,
「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去6ヶ月以内のいずれの日においても5000を超えない者」は,個人情報取扱事業者に含まれないとしていた。
・改正個人情報保護法2条5項は,取り扱う個人情報の量による裾切りを廃止したが,他方,同条4項の「個人情報データベース等」の定義規定において,利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除くこととしている。
・そのためこれまで個人情報取扱事業者に該当してこなかった自治会,町内会,同窓会及び同好会等が新たに個人情報取扱事業者に該当することが考えられる。
・自治会名簿や同窓会名簿,同好会名簿等は「個人の権利利益を侵害するおそれの少ない情報の集合物」として「個人情報データベース等」から除外されることが想定される。
第3 個人情報保護委員会
Ⅰ,個人情報保護委員会の検討に関する経緯
1.旧法における監督体制
・旧個人情報保護法における監督体制は事業所管大臣を主務大臣として執行して来た。
・ベネッセコーポレーションの個人情報漏えい事例(H26年)では,主務大臣が明らかでないとして,経済産業大臣が主務大臣に指定され,主務大臣制の実効性や縦割り行政の弊害が指摘されて来た。
・個人情報保護に専門的知見を有する統一的な執行機関(データ保護委員会ないしプライバシー・コミッショナー)の不存在は,EUデータ保護指令の定める域外データ移転に関する「十分性」の認定を我が国が受ける際の障碍になるものと考えられて来た。
2.番号法と個人情報保護法の改正
・番号法(マイナンバー法)は特定個人情報保護委員会を番号制度の運用の監視,監督を一元的に担う強力な権限を有する独立行政委員会としている。
・番号制度の整備と並行してパーソナルデータの利活用について監視,監督,苦情,紛争処理機能を有する第三者機関の必要性も認識された。
・そこで特定個人情報保護委員会を改組して個人情報保護委員会として個人番号法及び個人情報保護法の監視,監督を一元的に担う独立行政委員会とした。
Ⅱ,委員会の組織
1.委員会の委員長及び委員は,独立してその職権を行う
委員会は内閣設置法49条3項の規定に基いて設置され,内閣の指揮監督がほとんど及ばない,いわゆる3条機関,独立行政委員会である。
2.任務
個人情報の有用性に配慮しつつ,個人の権利利益を保護する。
3.組織
委員長及び委員は6分野の専門家から選出される。(法§63)
委員のうち4人は非常勤
任期5年
非常勤の専門委員を置くことができる(法§69)
事務局の定員は52名
Ⅲ,委員会の機能権限
1.所掌事務
①基本方針の策定,推進 ②個人情報及び匿名加工情報に関する監督等 ③認定個人情報保護団体に関すること ④特定個人情報の取扱いに関する監視,監督等(マイナンバー法関係) ⑤特定個人情報保護評価に関すること(マイナンバー法関係) ⑥所掌事務に係る国際協力に関すること(データ保管・プライバシーコミッショナー国際会議等に正式メンバーとして参加等)
2.監督権限
①個人情報取扱事業者に対する報告徴収,助言,勧告,命令(改正前の主務大臣の権限) ②マイナンバー法に基づく番号制度の監視,監督のための立入検査,及び指導の権限
3.委員会と事務所管大臣との関係
委員会は一定の場合には,報告徴収,立入検査権を委員会から事業所管大臣に委任することができる(法§44)。
4.権限行使の制限
委員会は報道機関等には個人情報取扱事業者の義務等の規定の適用が除外される(法§76)。
5.認定個人情報保護団体
委員会は認定個人情報保護団体に対する認定,報告徴収及び認定取消の権限を有する(法§47,§56~§58)。
6.その他の権限
委員会は所掌事務について委員会規則を制定できる(法§74)。
Ⅳ,今後の課題
1.公的部門の監視,監督と委員会の関係
公的部門における情報の保護と利活用の調整をも委員会の機能に加えるかも検討課題となるか
2.委員会の機能,権限に関する課題
民間部門に対する委員会の機能,権限に関しては ①課徴金制度 ②紛争処理体制 ③プライバシー影響評課 等がある。
第4 改正個人情報保護法における個人データの第三者提供における手続
Ⅰ,改正個人情報保護法における第三者提供に関係する規定
・改正個人情報保護法における,個人情報取扱事業者の第三者提供に関係する義務は ①第三者提供の制限 ②外国にある第三者への提供制限 ③第三者提供に係る記録の作成等 ④第三者提供を受ける際の確認等
・①は (ⅰ)オプトアウト手続の届出・公表(§23,Ⅱ~Ⅳ) (ⅱ)要配慮個人情報のオプトアウトによる第三者提供の禁止(§23,Ⅱ)
・②は外国にある第三者への提供(法§24)
・③④はトレーサビリティの確保(法§25,§26)についての新たな手続が定められている。
・更に個人情報データベース等提供罪(法§83)も創設された。
・第三者提供の制限を受けない手続として,匿名加工情報の提供(法§2Ⅸ,Ⅹ,§36~§39)
・第三者提供の例外として,共同利用の範囲の明確化に関する修正(法§23,Ⅴ,No.3)等がなされた。
Ⅱ,オプトアウト手続の見直し
1.オプトアウト手続の趣旨
・「オプトアウト」とは,第三者提供に係る個人データを本人の求めに応じて第三者への提供を停止することにより,本人の同意を得ることなく個人データを第三者に提供する手続をいう。
・オプトアウトは,本人からの求めにより理由の有無を問わず第三者提供の停止に応ずる義務がある。
2.オプトアウト手続をめぐる問題
・オプトアウト手続は現行法の立法当時住宅地図業者などから示されたことを受けて設けられた手続である。
・オプトアウト手続では,「本人への通知又は容易に知り得る状態に置くことが義務付けられているが,その方法として事業者がウェブ上で公表することが一般的であるため,本人が認識できる機会に乏しく,手続の形骸化が指摘されている。
・オプトアウト請求の対象となる事業者を本人が把握することすら困難な状況にある。
3.オプトアウト手続の見直し内容
・個人情報保護委員会に下記事項について届出が義務付けられ,委員会は届出に係る事項を公表する。 ①第三者への提供を利用目的とすること ②個人データの項目 ③提供方法 ④本人の求めに応じた提供停止 ⑤本人の求めを受け付ける方法を本人に通知し,又は本人が容易に知り得る状態におく。
・当該届出に係る事項は事業者名など委員会規則で定める公表事項が委員会のウェブサイト等で公表される予定となっている。
・当該手続に違反した第三者提供は委員会の勧告命令の対象となる。
Ⅲ,要配慮個人情報のオプトアウトによる第三者提供の禁止
1.改正法は「要配慮個人情報」という概念を設定した。
「要配慮個人情報」とは,本人の人種,信条,社会的身分,病歴,犯罪の経歴,犯罪により害を被った事実,その他本人に対する不当な差別,偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう(法§2,Ⅲ)
2.要配慮個人情報の提供制限の趣旨
・要配慮個人情報の取得にあたっては本人同意を原則とし,オプトアウトによる提供は認めない。
・法§23,Ⅰ各号の例外による提供はある。
Ⅳ,トレイサビリティの確保
1.第三者提供に係る記録の作成等
・平成26年7月9日「ベネッセ情報漏えい事件」が発生したが,不正取得の事実を主務大臣が確認することはできず,適正取得義務に関する注意喚起と管理体制の強化を要請するにとどまった。
・改正法では,適法な個人データの提供と個人情報の適正な取得を確保するための手続として ①第三者提供時の記録作成 ②第三者提供を受ける際の確認と記録に関する手続を設け ③個人情報データベース等提供罪を新たに設けている。
・不正競争防止法の改正による営業秘密侵害罪の処罰範囲の整備が行われ,不正開示が介在したことを知って営業秘密を取得し,転売等を行う者を処罰対象に追加等(現行法では営業秘密を不正に取得した行為者から直接に開示を受けた者に限定)の改正をしている。
2.国内の第三者へ提供する際の手続
・個人データを第三者に提供したときは,当該個人データを提供した
①年月日
②当該第三者の氏名又は名称
③その他の委員会規則で定める事項
に関する記録の作成義務が課される。
委員会規制で定める期間保存しなければならない(法§25,Ⅰ,Ⅱ)
・記録の作成保法は,書面又は電子データのいずれでも良く,記録すべき事項がログやIPアドレス等の一定の情報を分析することによって明らかになる場合には,その状態を保存すれば足りる。
・記録義務の対象は「個人データ(個人情報データベース等を構成する個人情報)」の提供であり,個人情報(散在情報)の提供に際しての記録義務はない。
・記録義務の例外は, ①法§23,Ⅰ,No.1~No.4 ②法§23,Ⅴ,No.1~No.3
3.外国にある第三者へ提供する際の手続
・外国にある第三者に提供する場合 ①我が国と同等水準にある国への提供 ②日本国内の事業者と同等の安全管理措置体制が整備されている者への提供のいずれかに該当する場合には,法24条の適用除外になるため,記録義務の例外は国内の第三者への提供と同じであり法23条1項各号及び委託先等への提供は記録義務はない。
・一方①,②に該当しない者への提供は法24条の規定が適用される「外国にある第三者への提供」扱いとなり,国内では第三者提供の適用除外となる委託先等への提供であっても,本人同意原則の対象からは除外されない。
4.提供を受ける際の手続
・第三者から個人データの提供を受けるに際し,提供先(受領側)において ① 提供元である第三者の氏名又は名称及び住所並びに法人等については代表者の氏名 ② 提供元である第三者による当該個人データの取得の経緯を確認しなければならない。(法§26,Ⅰ,No.1,No.2)
・上記①,②の確認を行ったときは,当該個人データの提供を受けた年月日,当該確認に係る事項その他の委員会規則で定める事項に関する記録を作成しなければならない(法§26,Ⅲ)
記録の保存義務もある。
・法19条で新たに個人データの「消去」に関する努力義務との関係で消去に関する記録の作成,保存は不要である。
・提供元である第三者は,虚偽の確認事項を示すことが禁じられている。(法§26,Ⅱ)氏名や住所等を偽ることはもとより,不正取得した個人データの提供(法§17,Ⅰ違反)でありながら適正に取得した個人情報であるとして提供先に伝えることも違法である。
・取得の経緯を確認することで,違法に取得されたり手続違反により取り扱われている個人データを提供先が取得することを防ぐことができるとともに,確認事項を偽って提供すると罰則の適用がある。
(法§83)
Ⅴ,個人情報データベース等提供罪の創設
・改正法の罰則のうち民間人が対象になるのは
①個人情報データベース等提供罪(§83)
②委員会による命令,緊急命令への違反(§42,Ⅱ,Ⅲ)
③個人情報取扱事業者による委員会への報告懈怠虚偽報告等(§40,Ⅰ)
④個人データ提供時の確認事項を偽ること(§26,Ⅱ)
10万円以下の罰金
・個人情報データベース等提供罪の要件 ①個人情報取扱事業者又は従業員 ②業務に関して取り扱った個人情報データベース等の提供行為、検索性,体系性を有していない個人情報及び個人データの提供行為は対象とならない。 ③自己若しくは第三者の不正な利益を図る目的での提供又は盗用 ④1年以下の懲役又は50万円以下の罰金
Ⅵ,第三者提供の制限を受けない手続
1.匿名加工情報の提供
・匿名加工情報の取扱いに係る手続 ①匿名加工情報の作成等(§36) ②匿名加工情報の提供(§37) ③識別行為の禁止(§38) ④安全管理措置等(§39) が定められている。
・匿名加工情報は「本人の同意」を得ることなく提供が可能である。
・匿名加工情報取扱事業者(匿名加工情報を作成した個人情報取扱事業者を含む)が匿名加工情報を第三者に提供するときはあらかじめ(§37) ①匿名加工情報に含まれる個人に関する情報の項目 ②その提供の方法について公表しなければならない。 ③当該第三者に対して匿名加工情報であることを明示する義務がある。
2.共同利用
・ポイントサービス運営事業者による脱法的利用を規制するため改正
・共同利用においては ①共同して利用される個人データの項目 ②共同利用者の範囲 ③利用目的 ④管理責任者の氏名又は名称について 本人に通知又は容易に知り得る状態に置く
第5 個人情報保護法のグローバル化への対応
Ⅰ,国際動向
・OECD,EU,米国のプライバシー,個人データ保護法制は,2012年頃を境にして,大きく転換期に入った。
インターネットが登場し,データは日常的に国境を越え,越境データ問題は質量ともに拡大している。
Ⅱ,日本のグローバル化対応
・今回の個人情報保護法改正は,グローバル対応を見据え,EUにおける個人データの保護水準とわが国の個人情報の保護水準の格差を是正することで,個人データの流通が阻害されることのないように応対し,ビッグデータなど新産業・新サービス創出の法的基盤を整備していこうというものである。
・事業者もデータも日本の主権の外にあり,その法執行が日々困難になっている。そのため米国・EU等との間で執行協力体制を構築していかざるを得ない。その前提として,プライバシー,個人データ保護の内容や水準を一定程度すり合わせておく必要が生じる。グローバル対応は利用者・消費者保護上も不可避的な課題というほかない。
・保護水準の低い国に対しては個人データが提供されないという問題があるため,産業政策的にもグローバル対応は不可欠である。
Ⅲ,ビッグデータ時代と個人情報保護法
1.「個人情報」概念の変容
・「個人情報」は「特定個人の識別情報」と規定されていたが改正個人情報保護法ではこれに加えて「個人識別符号」が加えられた。
・米国では「特定個人の識別情報」の明確な定義がなされずにきていた問題を指摘し,又研究者によっては「特定個人の識別情報(PII)」概念の不要論が展開されている。
・事業者としては米国の動向に無頓着では,ビッグデータ、ビジネスに乗り出すことはできない。
2.記名式Suica履歴データ無断提供問題
(1)事実関係
2013年に鉄道会社がIC乗車券(記名式Suica)の履歴データを本人の同意またはオプトアウト手続を経ることなくIC企業に売却して社会問題となった。
(2)記名式Suica履歴データの加工方法と非個人情報化
鉄道会社は,個人情報保護法に違反しないように匿名化による非個人情報化措置を行っている(図1,記名式Suica履歴データの加工方法(推測))
すなわち
①氏名,フリガナ,電話番号のいわゆる本人確認情報を削除
②SuicaIDをキーに容易に照合されないようにSuicaIDから不可逆的な別番号を生成して置き換え,その別番号と乗降履歴データのみを提供データとし
③提供前にかかるハッシュ関数または対応表を削除した。
鉄道会社はこれによって特定個人は識別できないと理解した。
(3)記名式Suica履歴データと容易照合性
乗降履歴は図2に示しているように ①入札駅コード ②ゲート番号 ③通過時のタイムスタンプ(年月日時分秒) ④出札駅コード ⑤ゲート番号 ⑥通過時のタイムスタンプ(年月日時分秒) ⑦料金 によって構成されている。
・元データと提供データは1対1の単射の関係にあり,両者とも履歴データは同じものが記録されている。
・乗降履歴はゲート番号と秒単位のタイムスタンプであることから,その構造上,行ごとの履歴データはそれぞれ全て唯一無二の数字(番号)となっている。そのためSuicaIDに頼らずとも,乗降履歴自体が識別機能を有しており,コンピュータにおいて容易に照合することができ,それによって特定の個人を識別することが可能となる。
・本件で行われた非個人情報化措置は,SuicaIDという1列目のみ匿名化したにすぎず,乗降履歴の列は生データのまま,全データを見ればいわゆる仮名化措置にすぎなかったといえる。
・このためこれを完全匿名化と法的に評価することに疑問を持つ研究者もいる。
(4)記名式Suica履歴データと容易照合性の考え方
・改正個人情報保護法においては,提供データを取得した企業(IT企業)においては,当該情報のみでは特定個人を識別できず「個人情報」には該当しないため,IT企業には義務違反は問われることはない。
・しかしこのような考え方に対する批判もある。
・
第6,マイナンバー法改正の概要
Ⅰ,改正法の概要
・平成27年9月3日,個人情報保護に関する法律改正と同時に,マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)が改正された。
・マイナンバーの利用と情報連携の範囲の拡大等を行った
①預貯金口座へのマイナンバーの付番
②予防接種などの医療等分野における利用
③その他 (ⅰ)地方公共団体の要望等によるもの (ⅱ)特定個人情報保護委員会の改組に係る (ⅲ)年金情報の流出事案を踏まえての議員修正
1.預貯金付番
預金保険制度における預金口座の名寄せ事務においてマイナンバーを利用できるようにし,預貯金付番が実現することとなった。
(別表1,55の2,預金保険機構,56の2,農水産業協同組合貯金保険機構)
2.医療等分野における利用の拡充
① 健康保険組合等が行う特定健康診査(いわゆるメタボ検診)情報の管理等におけるマイナンバーの利用
② 予防接種法に基づく予防接種の履歴におけるマイナンバーを利用した情報連携
・医療機関や介護施設などの民間事業者でマイナンバーの利用や情報連携を可能とするものではない。
3.地方公共団体の要望を踏まえて利用者等の拡大
①特定優良賃貸住宅に関する事務におけるマイナンバーの利用 改正前のマイナンバー法では「公営住宅法」による公営住宅(低所得者向けの住宅)の管理に関する事務については,マイナンバーの利用が可能であった。
4.特定個人情報保護委員会の改組
個人情報保護委員会に改組された。
Ⅱ,日本年金機構の漏えい事案とその対応
・日本年金機構におけるマイナンバーの利用の延期を始めとした改正案が盛り込まれて
・日本年金機構は,平成29年5月31日までの政令で定める日まで,マイナンバーを利用することができなくなった。
・又日本年金機構は平成29年11月30日までの政令で定める日まで情報提供ネットワークシステムを用いた情報連携ができない。