改正個人情報保護法、5月30日全面施行。中小のWeb担当者が知っておくべきことまとめ
今日は、法律のお話しを。2017年5月30日に、改正個人情報保護法が全面施行されます。いままで除外されていた中小企業もすべて法律の対象となります。念のために、法律の変更点や注意点を確認しておきましょう。
5月30日施行の改正個人情報保護法で知っておくべきこと
保有個人データ5000件以下の会社も対象に。個人やNPOも
これまでの個人情報保護法では、保有している個人情報が5000人分以下の事業者(小規模取扱事業者)には適用されませんでした。しかし、5月30日以後は、小規模取扱事業者であっても個人情報保護法が適用されます。
つまり、「うちは扱う個人情報が少ないので、対象じゃないんです」という言い訳が、あらゆる企業や組織で使えなくなくなります。
Webからの問い合わせ・資料請求をリード獲得やリードナーチャリングのために使っている場合や、リード獲得のセミナーを開催している場合など、「個人情報データベース等を事業の用に供している」わけですからね。
となると、顧客は御社がこの法律を守っていることを期待しますし、守らなければ罰せられる可能性があります。
また、個人事業主やNPO・自治会などの非営利組織であっても「個人情報取扱事業者」に当たりますので、注意が必要です。
ちなみに、この記事は、改正でどんな点が変わったのかをざっくり解説しているだけですので、個人情報保護法の基本からぜんぶ解説しているわけではありません。
そのため、これまで個人情報取扱事業者ではなかった規模の方は、ここに示したもの以外にも、個人情報保護の基本を理解しておく必要あります。ですので、そのあたりを解説した書籍を読んで理解しておくことをおすすめします。
個人情報の種類が3種類に
法が対象とする「個人情報」の定義が明確にされ、次の3種類の個人情報が定められています。
個人情報
住所・氏名・生年月日・性別などの、特定の個人を識別できるもの
個人識別符号
特定の個人の身体の一部の特徴を電子計算機のために変換した符号(たとえば顔認識データ、指紋認識データなど)
対象者ごとに異なるものとなるように役務の利用、商品の購入又は書類に付される符号(たとえば旅券番号、免許証番号、マイナンバーなど)
要配慮個人情報
人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実などが含まれるもの
これまでは上記のうち「個人情報」に示すもの以外はグレーゾーンでした。
しかし、「特定の個人を識別できる情報」として「個人識別符号」が追加されました。
また、「本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの」として「要配慮個人情報」が追加されています。こちらに関しては、原則として本人の同意を得ずに取得することは認められていませんし、利用にも制限があります。
利用目的に関する変更制限の緩和
法律では、個人情報の取得時にはその利用目的をできる限り明確にしておくことが求められています。この利用目的を変更する場合の制限が緩やかになっています。
本人の同意を得ずに認められる利用目的の変更に関して、これまでは「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲」という定めだったのですが、ここから「相当の」という言葉がなくなりました。
もちろん「合理的に」「関連性がある」と認められる範囲を超える場合は本人の同意が必要ですが、多少はそこが緩和されています。
裁判を起こされることも
個人情報の開示・訂正・利用停止などに関して、本人が裁判する権利が明確になりました。
これまでは、こうしたことを行う裁判上の権利があるかないか明確にされていなかったのですが、改正法では裁判上の権利があることを明確化しています。
ほかにもいろいろ
改正個人情報保護法に関して中小企業のWeb担当者が知っておくべきことは、だいたいこんな感じでしょうか。
もちろん、これ以外にも、さまざまなことが変わっています。
たとえば、個人データの第三者提供に関しては、次のようなものです。
- 「オプトアウト」による第三者提供ならば、本人の同意が不要に(ただし事前の通知・告知と、個人情報保護委員会への届け出が必要)
- 「匿名加工情報」なら(条件を満たせば)本人の同意が不要に
- 個人データのトレーサビリティも確保するように
また、不正な利益を得る目的で個人データを盗んだり提供したりする行為を罰する「個人情報データベース等不正提供罪」も定められています。
海外事業者関連のことや、海外企業への個人データの第三者提供に関しても定められています。
これを見ておけば法務に聞かなくてもだいたいわかる?
なかなかわかりづらい改正ではありますが、いろいろ調べたなかで「何が変わったのか」を一番わかりやすく解説していたのは、経産省の説明資料でした。
また、三菱UFJ信託銀行の資料もわかりやすくまとまっています。
まずは、これらの資料に目を通しておくのがいいでしょう。
あとは、(決してわかりやすいとは言えませんが)経産省のページと、新たに権限を一元化された個人情報保護委員会のページも見ておくといいでしょう。
まずは「しなきゃいけないこと」「してはいけないこと」を、法の趣旨に則って、正しくできるようにしていきましょう。
ソーシャルもやってます!