2005年に制定された個人情報の保護に関する法律(以下、個人情報保護法という)が改正され、平成29年5月30日の施行となりました。(以下、改正個人情報保護法という)
この施行に伴い、プライバシーマーク事務局から「対応方針」と「よくある質問と回答」が公表されています。
また、現在JISQ15001の見直しが進んでおり、年内迄に改定が予定されてるようです。(JISQ15001:2016となるようです)
これらを読み取ると、Pマーク取得事業者様の現地審査は、JISQ15001改訂前迄であれば不備があったとしても、即時の是正を求めず、次回審査迄の改善計画で済みそうです。※但しケースバイケースかと
ただし、JISQ15001改訂後は、一昨年の特定個人情報と今回の改正個人情報保護法を含めた審査チェックリストを基に審査が行われ、ここで不備が判明すると「指摘」になると思われます。
いずれにせよ、当社としては、次期審査チェックリスト情報を入手した段階で、雛形の修正等を行い、お客様にご案内させていただく予定です。
5,000人要件の撤廃
個人情報保護法では、5,000人を超える個人情報を保有する事業者が適用対象でした。
改正個人情報保護法では、同条項が削除されたため、保有している個人情報が5,000人以下の小規模事業者であっても、適用の対象になりました。
Pマーク取得事業者の留意点
そもそも人数の要件は無いため、特別な運用は必要ありません。
「個人識別符号」の新設
改正個人情報保護法では「個人識別符号」という概念が新設されました。
個人識別符号とは、指紋・掌紋データや容貌データ、DNAの塩基配列など「特定の個人の身体の一部の特徴」を変換した符号によって本人認証ができるようにしたもの、または旅券番号や免許証番号、住民票コードなど個人に割り当てられる符号となり、個人識別符号単体でも個人を特定できる個人情報として取扱うことになります。
Pマーク取得事業者の留意点
個人識別符号の取得、利用されている場合、個人情報の特定、リスク分析、運用が必要です。
「要配慮個人情報」の新設
改正個人情報保護法では、「要配慮個人情報」という概念が新設されました。
本人に対して不当な差別や偏見が生じないよう人種、信条、病歴、犯罪の経歴などを含む個人情報については「要配慮個人情報」として定義し、一般的な個人情報よりも大切に取扱うべきであるとしました。
なお、要配慮個人情報については、本人の同意がある場合や、法令に基づく場合など一定の場合を除いて、取得が禁止されます。
Pマーク取得事業者の留意点
「3.4.2.3 特定の機微な個人情報の取得、利用及び提供の制限」と同等の意味合いとなるため、特別な運用は必要ありません。
「匿名加工情報」の新設
改正個人情報保護法では、もともと個人情報であるデータを誰の情報か分からないように加工するとともに、個人情報として復元できないようにした「匿名加工情報」という概念が新設されました。
匿名加工情報は個人情報には該当しないため、本人の同意なしで第三者提供が可能となることから、企業はこうした匿名加工情報を基に、ビッグデータの利活用に向けた取り組みを促進することが可能となります。
なお、匿名加工情報の取扱いにあたっては、元の個人情報を加工して匿名加工情報を作成する立場(個人情報取扱事業者)と、それらの情報を受け取り利活用する立場(匿名加工情報取扱事業者)のそれぞれの事業者に対し、規制事項が定められています。
第三者への提供や第三者からの受取
個人データを第三者に提供したときは、提供先の氏名等、個人情報保護委員会が定める事項の記録を作成し、一定期間保管する必要があります。
また、個人データの第三者提供を受け取る側も、提供者や個人データの取得経緯等を確認した記録を作成し、一定期間保管する必要があります。
第三者への提供時のオプトアウト手続き
個人情報保護法においては、あらかじめ本人に対して、第三者への提供が利用目的であることや、提供の方法、本人の希望により第三者提供を停止することなどを事前に本人に通知し、又は知りえる状態に置いていれば、本人の同意がなくても個人データを第三者に提供できるというオプトアウト手続きという例外がありました。
改正個人情報保護法では、このオプトアウト手続きを行う場合には、個人情報保護委員会に届出をしなければならなくなりました。
Pマーク取得事業者の留意点
本人より事前に同意を得ている場合は特別な運用は必要ありませんが、オプトアウト手続により個人情報を第三者提供しようとする(している)場合(JISQ15001 3.4.2.8bに該当する場合です)、個人情報保護委員会に届出を行う必要があります。
外国にある第三者への個人データの移転に関する規制の新設
個人情報保護法は、外国にある第三者に対する個人データを提供することについて、特段の規定を設けていませんでした。
改正個人情報保護法では、次のいずれかに該当する場合でない限り、提供することはできません。
①外国にある第三者に対して個人データを提供する旨の本人の同意がある場合
②個人情報取扱事業者に求められるものと同等の体制を整備する第三者に対して個人データを提供する場合
③日本の個人情報保護法と同等の個人情報保護制度がある国にある第三者に提供する場合
④法令に基づく場合
なお、たとえ委託や事業承継、共同利用の場合であっても、上記①から③のいずれかを充たす必要があります。