※当記事は2016年4月時点の法令等に基づいて執筆されています。
2015年9月3日に成立した改正個人情報保護法(施行は2017年9月頃)の解説です。
今回は、規制強化の側面についての解説となります。 2014年7月、ベネッセホールディングスとベネッセコーポレーションは、同社の顧客情報が漏えいしたと発表し、大きな社会問題となりました。
同社から漏洩した顧客情報は、いわゆる名簿屋から名簿屋へと流通し、個人情報の売買が行われていました。
今回の規制強化は、この問題を受けて、いわゆる名簿屋対策を行い、個人情報の保護を強化しました。
名簿屋同士で売買が繰り返されることで、流出元が不明となり、どこから漏洩したのかが分からなくなるというのが今回の問題を複雑にしました。
そこで、改正個人情報保護法では、
「個人データを第三者に提供したときは、提供年月日、第三者の氏名・名称等の一定の事項を記録し、一定の期間その記録を保持しなければならない」という規定を新設するとともに、個人データを受け取る側についても、「第三者(提供する側)の氏名・名称等、当該第三者がその個人データを取得した経緯について確認するとともに、受領年月日、確認した事項等の一定の事項を記録し、一定の期間その記録を保持しなければならない」という規定も設けられました。
前述の規定により、個人情報の流出元を追跡できるようにしようとするものです(トレーサビリティの確保)。
また、不正に個人情報を提供した場合の罰則(刑事罰)も設けられることとなりました。
なお、そもそも、原則として、個人情報を本人の同意を得ることなく第三者に提供してはいけないのですが、改正前個人情報保護法では、予め以下の事項を本人に通知するか、本人が容易に知り得る状態に置いておけば、個人情報を第三者に提供することが可能となっています(オプトアウト方式といいます)。
- 第三者への提供を利用目的とすること
- 第三者に提供される個人データの項目
- 第三者への提供の手段又は方法
- 本人の求めに応じて第三者への提供を停止すること
4の要件にて、本人が利用停止を申し出ればいつでも第三者提供を停止することができるのですが、そもそも、本人が自分の個人情報が第三者へ提供されていることを知らない可能性があります。
そこで、改正個人情報保護法では、上記方法による場合には、予め個人情報保護委員会に届け出る義務を課すとともに、個人情報保護委員会が届けられた内容を公表することとされました。
また、改正前個人情報保護法は、取り扱う個人情報が5,000人以下の小規模取扱事業者に対しては、規制対象外とされていましたが(5,000人要件)、この5,000人要件は撤廃され、全ての事業者に対して個人情報保護法の規制が及ぶことになります。
お問い合わせはこちら
