背景
色々なIT技術を使ったサービスが次々に登場し、個人情報を含む、様々な情報が活用されています。
個人情報保護法ではそういった社会情勢を踏まえ、平成27年(2015年)より「いわゆる3年ごとの見直し」(附則第12条3項)を設けました。
個人情報保護法は前回の改正(施行は2017年)より3年が経過しており今年2020年に改正されます。
改定概要
- 個人の権利の在り方
〇利用停止・消去等の個人の請求権について、不正取得等の一部の法違反の場合に加えて、個人の権利又は正当な利益が害されるおそれがある場合にも要件を緩和する。
〇保有個人データの開示方法について、電磁的記録の提供を含め、本人が指示できるようにする。
※現行は、原則として、書面の交付による方法とされている。
〇個人データの授受に関する第三者提供記録について、本人が開示請求できるようにする。
〇6ヶ月以内に消去する短期保存データについて、保有個人データに含めることとし、開示、利用停止等の対象とする。
〇オプトアウト規定により第三者に提供できる個人データの範囲を限定し、①不正取得された個人データ、②オプトアウト規定により提供された個人データについても対象外とする。 - 事業者の守るべき責務の在り方
〇漏えい等が発生し、個人の権利利益を害するおそれがある場合に、個人情報保護委員会への報告及び本人への通知を義務化する。(現行法は努力義務)
〇違法又は不当な行為を助長する等の不適正な方法により個人情報を利用してはならない旨を明確化する。 - 事業者による自主的な取組を促す
〇認定団体制度について、現行制度に加え、企業の特定分野(部門)を対象とする団体を認定できるようにする。 - データ利活用に関する施策の在り方
〇イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」を創設し、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和する。
〇提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける。 - ペナルティの在り方
個人情報保護委員会による命令違反・個人情報保護委員会に対する虚偽報告等の法定刑を引き上げる。 - 法の域外適用・越境移転の在り方
〇日本国内にある者に係る個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とする。
〇外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求める。
「仮名加工情報」の新設
仮名加工情報とは
第2条
この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
一 第1項第1号に該当する個人情報
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第1項第2号に該当する個人情報
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
これは、2019年に話題となった、就活における内定辞退率のデータ活用の問題が背景にあります。
情報提供元(A社)では個人情報に該当しないデータであっても、情報の提供先(B社)では、ほかの情報と突合することで、個人を特定できるような情報の提供にあたっては、個人に対して許可を求めることを規定しています。
関連情報