平成17年4月に施行された個人情報保護法が、その後の社会環境の変化を踏まえ、平成27年9月に改正個人情報保護法が公布、いよいよ平成29年5月30日に施行されます。
これまでは、保有する個人情報の数が 5,000件以下の事業者には適用されませんでしたが、改正後は個人情報を取り扱う全ての事業者に適用されます。
改正個人情報保護法では、保護が必要な情報を次の3つに分け、それぞれに実施しなければならない義務が定められています。
①個人情報…生存する特定の個人を識別できる情報をいいます。たとえば、マイナンバーや免許証番号、基礎年金番号などの個人識別符号が含まれるもののほか、指紋認証データや顔画像データなど、他の情報と容易に照合でき、その結果、特定個人を識別できることとなる情報も含まれます。
②個人データ…①のうちメールソフトやアドレス帳、ソフトウエアなどでリスト化された従業者や顧客台帳など個人情報データベースなどに含まれる個人情報
③保有個人データ…②のうち、開示、訂正、消去などの権限を有し、かつ、6か月を超えて保有するもの。
その他の主な改正項目では、不当な差別または偏見が生じる可能性のある個人情報は「要配慮個人情報」とし、本人の同意を得て取得することを原則義務化しました。一方、特定の個人を識別することができないように個人情報を加工した「匿名加工情報」については本人の同意なしに利用可能となります。
さらに、個人データを第三者へ提供する際や第三者から提供を受ける際には記録の作成が義務付けられ(いわゆる「名簿屋」対策)、本人が拒否した場合のみ第三者へ提供しない場合(オプトアウト)は、個人情報保護委員会への届出を義務付けるなど厳格化されます。
個人情報の取扱いには、今まで以上に注意しなければなりません。特に、これまで適用外であった中小企業や小規模事業者の皆様は、取得、利用、保管、第三者への提供、開示などそれぞれのケースに分けて個人情報取扱いのルールを定め、管理体制を見直すとともに、事業主のみならず従業員等にも徹底することが重要となります。
詳しくは、個人情報保護委員会 → https://www.ppc.go.jp/