改正個人情報保護法について(3)

個人情報保護法 改正ポイント(後編)

エフコムブログ「改正個人情報」特集記事の第三回は、前回記事に引き続き個人情報保護法の具体的な改正ポイントを取り扱います。

4.個人情報の保護強化(名簿屋対策)

個人情報の不正な流通を防ぎ、国民のプライバシーを守るために、個人情報の第三者提供に関するルールが厳格化されました。重要な改正ポイントは2点です。それぞれ詳しく見ていきましょう。

① オプトアウト方式で第三者提供する場合は、個人情報保護委員会に届け出る
個人情報を第三者に提供する場合、原則としてあらかじめ本人の同意を得る事が必要ですが、これを簡略化するために「オプトアウト方式」が認められています。
オプトアウト方式とは、個人情報の第三者提供について予め通知した上で、本人から第三者提供の拒否が無い限りは第三者提供ができる方式の事です。

オプトアウト方式

簡単にまとめると、予め「オプトアウト方式で第三者に提供します、拒否する方はこの手順で手続きをしてください」という事をきちんと公表していれば本人の同意を得たものとみなす、という事です。

現行法でも、個人情報のオプトアウト方式による第三者提供が認められていたのですが、改正法でルールがひとつ付け加えられ、個人情報保護委員会(※)への届け出が必要になりました。安易な第三者提供を防ぐために、オプトアウト方式の条件が厳しくなったという事ですね。
また、前回記事で取り扱った「要配慮個人情報」についてはオプトアウト手続きによる第三者提供が認められません。要配慮個人情報の第三者提供にあたっては、必ず個別に本人同意を得る必要があります。(この、個別に本人同意を得る方式を「オプトイン方式」と言います)

(※)番号法(マイナンバー法)で設置された「特定個人情報保護委員会」をベースに、 「個人情報保護委員会」が設けられました。マイナンバーを含めて、個人情報全体の監視・監督を行う行政機関です。

② 個人情報の第三者提供について記録を取る
個人情報の第三者提供にあたっては、提供する側、提供を受ける側の双方が記録を作って一定期間保存するように義務付けられました。
収入と支出を記録する現金出納帳のイメージに近いですね。集めた個人情報はお金と同じように大事に扱い、いつ、誰に、何を、どのように」提供・受領したかを記録するという事です。

5.匿名加工によるデータの利活用

個人情報の第三者提供に関するルールが厳格化した一方で、データの適切な流通と利活用を促すために「匿名加工情報」が定義されました。匿名加工情報とは、特定の個人を識別することができないように個人情報を加工した情報の事です。匿名加工情報の取り扱いには、個人情報とは別のルールが適用されます。
それでは、匿名加工情報に関するルールの重要ポイントを整理しましょう。

① 個人を特定できないように加工する

データ(1)

性別生年月日住所
エフコム 太郎 1980年9月12日 福島県郡山市堤下町13-8
マーケ 次郎 1982年3月1日 東京都千代田区岩本町2-3-3
福交 花子 1981年4月1日 福島県福島市飯坂町平野字三枚長


具体例を見てみましょう。データ(1)は、「姓名」「性別」「生年月日」「住所」を含む、加工前の個人情報データベースです。このデータを元に、姓名を単純な番号に、生年月日を年代に置き換え、住所は市町村以下を削除してデータ(2)を作成しました。

データ(2)

番号性別年齢地域
2017030001 30代 福島県郡山市
2017030002 30代 東京都千代田区
2017030003 30代 福島県福島市


この状態であれば特定の個人を特定する事ができませんので、匿名加工情報として利活用が認められます。

② 加工前の情報に復元することができないように加工する
データ(3)は、不適切な匿名加工の例です。データ(2)とどこが違うかわかりますでしょうか?

データ(3)

番号性別年齢地域
b4ccbad1c0dbb3 30代 福島県郡山市
cfb0b9bcdedbb3 30代 東京都千代田区
ccb8bab3cac5ba 30代 福島県福島市


データ(3)の「番号」は、元データの姓名を半角カナに変換し、さらにシフトJISという規則で文字コードに変換した文字列なのです。一見ランダムな英数字に見えますが、規則がわかってしまえば簡単に元データへ復元する事が出来ます。これでは、匿名加工情報として不適切です。
またこの例から、匿名加工情報の具体的な加工方法や使用したツールの情報は、情報を復元するためのヒントになり得ることがわかります。加工方法に関わる情報が第三者に知られないように、安全管理が重要です。

③ 第三者提供については公表する
ルールに沿って作成した匿名加工情報は、第三者提供にあたって本人の同意は不要です。ただし、「どのような情報を」「どのような方法で」提供したのか、という事について公表する義務があります。また、提供先に対してもその情報が匿名加工情報であるという事を予め明示する必要があります。

改正個人情報保護法 5月30日から全面施行です

以上、エフコムブログでは改正個人情報保護法について、その背景と改正の重要ポイントを特集しました。
改正法は2017年5月30日から全面施行になります。今回の改正によって個人情報保護法が適用される事になった中小企業の皆様、改正法への対応はお済みでしょうか? エフコムでは潜在的なリスクと対策を洗い出す簡易診断を始めとした、貴社のお悩み・ご不安に寄り添うサービスをご提供しております。改正個人情報保護法への対策は、是非エフコムまでご相談ください。