改正個人情報保護法で変わった「個人情報」の定義

株式会社まぼろしの益子貴寛です。

2017年5月30日に、改正個人情報保護法(正式名称「個人情報の保護に関する法律」)が施行されました。ポイントは次の5つにまとめられます。

  1. 個人情報の範囲拡大(個人識別符号の追加、要配慮個人情報の新設)
  2. 個人情報取扱事業者の範囲拡大(取り扱う個人データが5,000件以下の小規模な個人や団体にも法律適用)
  3. 個人情報の利用目的の制限緩和(取得時の利用目的以外の匿名加工などの規定整備)
  4. 個人情報の保護体制の強化(トレーサビリティの確保、オプトアウトの徹底、提供罪の新設)
  5. 個人情報のグローバル対応(国境を越えた法律適用、外国執行当局への情報提供)

このうち、「1. 個人情報の範囲拡大」に関する2つの改正ポイントを詳しく見ていきましょう。

個人識別符号の追加

改正法では、個人情報の範囲が大幅に拡大されました。第2条では、個人情報を「生存する個人に関する情報」とし、次のどちらかに該当にするものとされています。

  1. その情報に含まれる氏名、生年月日その他の記述などによって、特定の個人を識別できるもの(他の情報と容易に照合でき、それにより特定の個人を識別できるものを含む)

  2. 個人識別符号が含まれるもの(特定の個人の身体的特徴を変換した文字、番号、記号などや、カードや書類で個人に割り当てられた文字、番号、記号などで、特定の個人を識別できるものを含む)

1 については、改正前と大きな違いはありません。一方、2 は新設された条文であり、新たに「個人識別符号」が定義されています。具体的には、指紋データや顔認識データ、虹彩、声紋、DNAのような個人の身体的特徴を変換した文字、番号、記号などや、パスポート(旅券)番号や運転免許証番号、住民票コード、基礎年金番号、保険証番号のような個人に割り当てられた文字、番号、記号なども個人情報に該当することになりました。

ほかにも、マイナンバー、クレジットカード番号、端末ID、サービスのアカウントIDなども個人情報(個人識別符号)に該当すると考えられ、個人情報取扱事業者として慎重に扱うべき情報となるでしょう。

なお、改正法では、取り扱う個人データが5,000件以下の小規模な個人や団体にも(つまり、規模の大小に関わらず、個人情報を取り扱うすべての事業者に)法律が適用される点に注意してください。

要配慮個人情報の新設

改正法の個人情報に関するもうひとつの目玉は、「要配慮個人情報」という規定が新設されたことです。

第2条第3項では「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」とされています。

この規定の背景には、EUではセンシティブ情報を取得することが原則として禁止されている一方、日本には明確な規定がなく、EU域内から日本への個人データの移管がむずかしかったことがあるようです。

EUにおいて、個人情報保護に関する十分な措置を行っているという判断を「十分性の認定」といいます。日本はこの「十分性の認定」を受けていなかったため、改正法に「要配慮個人情報」の規定を設け、事業者が国際的なレベルで個人情報保護を実施するように義務づけました。

さて、第2条第3項の例示を補足すると、まず「人種」には単なる国籍は該当せず、民族的や種族的な出身が該当するようです。「信条」には個人の思想や信仰が、「社会的身分」には自らの力によって容易にそこから脱し得ないような地位が該当します。「病歴」には病気に罹患した経歴が、「犯罪の経歴」には前科(有罪判決を受け、それが確定した事実)が該当します。最後に、「犯罪により害を被った事実」は、身体的、精神的、金銭的な犯罪被害を受けた事実のことです。

ほかにも、「本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等」としては、心身の機能障害、健康診断などの検査結果、医師などの指導・診察・調剤、本人を被疑者または被告人として行われた刑事事件に関する手続き、本人を対象者として行われた少年保護事件に関する手続きが該当するようです。

まとめ

個人情報の範囲については、テクノロジーの進歩など時代の流れによって暗黙的に広がってきた個人データなどの対象が、あらためて明確化されたといえます。

一方、要配慮個人情報については、改正法で新たに導入された概念であり、まだまだ一般的な理解が不足しているのが実情です。第17条第2項では、法令にもとづく場合や生命財産保護の場合などを除いて、本人の同意なしに要配慮個人情報を取得してはならないとされており、組織内の意識づけが必要です。

また、この機会に、ウェブサイトなどで公開している「個人情報保護方針(プライバシーポリシー)」を見直しましょう。必要であれば、法務部や顧問弁護士と対応策を検討し、社内の業務フローを改善した上で、個人情報保護方針の記述内容を修正することが大切です。

参考

法令データ提供システム「個人情報の保護に関する法律」
http://law.e-gov.go.jp/htmldata/H15/H15HO057.html

経済産業省「改正個人情報保護法の概要と中小企業の実務への影響」(PDF)
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/01kaiseikojinjoho.pdf

個人情報保護委員会事務局「個人情報保護法の基本」(PDF)
https://www.ppc.go.jp/files/pdf/28_setsumeikai_siryou.pdf

ドコモビジネスオンライン「個人情報保護法の改正 その2」
https://www.docomo.biz/casebook/column/00015-01.html

データのじかん「何が変わる? 改正個人情報保護法[インフォグラフィック]」
https://data.wingarc.com/privacy-infographic-4897

益子 貴寛さんの他の記事

益子 貴寛
株式会社まぼろし 取締役CMO。1975年、栃木県宇都宮市生まれ。早稲田大学大学院商学研究科修了。
ウェブサイトの企画、設計、プロジェクトマネジメントから、
リスティング広告運用、ソーシャルメディア運用、
アクセス解析レポーティング、ランディングページ設計、SEOまで、
ウェブマーケティング全般を担当。Google アナリティクス認定資格者(GAIQ)。Google AdWords認定資格者。
社団法人 全日本能率連盟登録資格「Web検定」プロジェクトメンバー。日本マーケティング学会 会員。主な著書に『Web標準の教科書』(秀和システム)など。