改正個人情報保護法 今日から施行 (NHKニュースより)

企業などが保有する個人情報を、誰のものか特定できないよう加工すれば、本人の同意がなくても第三者に提供することを認める、改正個人情報保護法が、30日施行されました。

施行された改正個人情報保護法は、企業などが持つ個人情報を、名前や生年月日を削除するなどして誰のものか特定できないように加工すれば、本人の同意がなくても一定の条件の下で第三者に提供することを認めています。
この改正によって、大量の個人情報を「ビッグデータ」として有効活用し、ビジネスチャンスが拡大することが期待されています。

その一方で、情報をどこまで加工するかは企業などの自主的なルールに委ねられる部分が多く、ほかの情報などと集約されて個人の特定につながらないか懸念する声も出ています。

また、個人情報の不適切な取り扱いがあった場合、これまではその事業者を所管する各省庁が聞き取りや監督指導を行っていましたが、今後は国の個人情報保護委員会に一元化されます。個人情報保護委員会は30日から苦情などを電話で受け付けることにしていて、「これまで個人情報が漏れた際などにどこに相談すればいいのか不明確だった面があるが、権限が一元化されたことで、迅速で専門的な対応が可能になる」と話しています。

法改正の背景と変更点

個人情報を保護する目的で平成17年に施行された個人情報保護法は、5000人を超える個人情報を扱う事業者に対し、原則として本人の同意のないまま個人情報を第三者へ提供しないことを義務づけていました。
しかし、平成25年にJR東日本が、ICカード乗車券の利用者の情報から名前や連絡先などを除いた年齢や性別、乗り降りする駅などのビッグデータを、利用者に告知しないまま外部に提供していた事案をきっかけに、こうした情報を有効活用するためのルール化が検討されました。
そして、今回の法改正で、名前や生年月日などを削除して個人を特定できないように加工した情報であれば、本人の同意がなくても、一定の条件の下で第三者に提供できるようになりました。

一方、扱っている個人情報が5000人分以下で、法律の適用対象となっていない事業者から個人情報が漏れるケースが目立つといった指摘が出ていました。このため今回の法改正では、中小企業や自治会、それに、マンションの管理組合など、個人情報を扱うすべての企業や団体にも情報管理の徹底が義務づけられることになりました。

また、ベネッセコーポレーションから大量の個人情報が流出した事件などを踏まえ、不正に利益を得る目的で個人情報を漏らす行為に対し、罰則規定が設けられました。
保護の対象となる個人情報として、従来の氏名や生年月日に加え、顔の画像データや指紋、マイナンバーなども明確に位置づけられました。さらに、人種、信条、病歴、犯罪の前科、犯罪被害の情報などを配慮が必要な個人情報として、本人の同意なしに集めることを原則禁止しています。

【インステック総合研究所コメント】
★保険代理店も顧客情報を有していますが、その多くは5000人以下で従来は対象外でしたが、今日から対象となります。過去も保険代理店が車に個人情報を置き忘れるなどの事故がメディアに取り上げられています。保険は特に「センシティブ情報」が満載です。保険代理店として万全の対策を構築する必要があります。少なくとも社内データの閲覧は権限者だけしかアクセスできないといった社内体制整備は必須です★