ブログ

改正個人情報保護法についてのお話し~その6~

改正個人情報保護法についてお話しも今日が最後です。

(改正個人情報保護法の施行日は平成29年(2017年)5月30日となった旨、個人情報保護委員会ウェブサイトにアップされましたので併せてお知らせします。)

~その1~では今まで中小企業さんや個人事業主さんを対象としていたいわゆる「5000件要件」が撤廃されるお話しと5つのポイントについて、~その2~では個人情報の定義、~その3~では個人情報の新しい定義である「個人識別符号」と「要配慮個人情報」についてお話ししました。

~その4~では~その1~でご紹介した5つのポイントのうち「取得」と「利用」についてお話しして、前回~その5~では「保管」と「第三者提供」の途中までお話ししました。

今日は「5つのポイント」」の残りについてですね。

ちなみに再度「5つのポイント」を確認しましょう。

①個人情報「取得」時の規制

②個人情報「利用」時の規制

③個人情報「保管」時の規制

④個人情報「第三者提供」時の規制

⑤本人からの個人情報「開示請求」時の規制

という5点です。

なおこの「5つのポイント」の中には改正前から規定されていることもありますが、このシリーズでは「5000件要件」がなくなることを考えて、ひととおり簡単にではありますがお話ししていくことにします。

 

「第三者提供」の例外

前回は④の「第三者提供」の第三者についてお話ししました。

で、この「第三者提供」について、いろいろな例外規定があります。

「ルール上本人の同意を得なくてもいい場合」「手続きを踏めば本人の同意を得なくてもいい場合」そして「「第三者提供」に該当しない場合」の3つのパターンがあります。

まず「ルール上本人の同意を得なくてもいい場合」ですが、これは以前からあったお話しでして、第23条第1項に規定があります。

条文を確認しましょう。

(第三者提供の制限)
第23条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。                                   

一 法令に基づく場合

二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。

四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

この4つが条文に明記されているので「ルール上本人の同意を得なくてもいい場合」としましたが、特に第2号と第3号については「本人の同意を得ることが困難であるとき」という一文がついていることにご注意くださいね。

次に「手続きを踏めば本人の同意を得なくてもいい場合」ですが、これは通称「オプトアウト」と呼ばれる手続きです。

これも大事な条文なので第23条第2項をそのまま確認することにします。

第23条

2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ。)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一 第三者への提供を利用目的とすること。
二 第三者に提供される個人データの項目
三 第三者への提供の方法
四 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停
止すること。
五 本人の求めを受け付ける方法

長い条文ですがポイントは「本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合」という点とあらかじめやることとして第1号から第5号までのことを本人に通知するとかホームページなどで本人が簡単に知ることができるようにしていること、そしてこのことを個人情報保護委員会に届け出ることというあたりです。

この「個人情報保護委員会に届け出ること」は改正によってできた規制で「オプトアウトが厳しくなった」とよく言われる点です。

なおこの詳細は先日来ご紹介している「ガイドライン」にわかりやすく書かれていますので個人情報保護委員会のウェブサイトからご確認いただければ幸いです。

それからもう一つ~その3~でお話しした「要配慮個人情報」はこの「オプトアウト」手続きでは第三者提供ができませんのでご注意ください。

さて最後に「「第三者提供」に該当しない場合」ですが、これはごく簡単に業務委託、事業承継そして特定の者との共同利用という点が挙げられます。(第23条第5項に規定があります。)

そしてもう一点第三者提供については誰に個人データを渡したか、また逆に誰から個人データの提供を受けた場合は記録を作って一定期間保存しなければならないことになりました。(第25条、第26条に規定があります。)

これについては個人情報保護委員会のウェブサイトには今までご紹介してきました「通則編」の「ガイドライン」とは別に「ガイドライン」が設けられています。

けっこう細かいお話しもありますので、これについてはこのシリーズとは別に年明けにまた改めてお話しすることにしたいと思います。

 

お客様へのきちんとした対応

「5つのポイント」の最後⑤は「開示請求」です。

事業者さんが持っている個人データについてそのお客様ご本人から開示請求を受けたり、訂正や利用の停止を求められたら原則として対応しないといけないことになっています。

またそもそも保有個人データについては事業主さんがホームページなどで利用目的や本人さんからの請求手続の方法、苦情の申出先などを掲載したりして、条文の言葉を借りれば「本人の知り得る状態」(第27条第1項)にしておく必要があります。

この辺も整備しておかなければいけませんが、まず何よりお客さまにきちんとした対応をしてください、という点がポイントなのかなと思います。

ということで、駆け足でしたがごく簡単に改正個人情報保護法のお話しをしてきました。

イメージだけでも参考にしていただければ幸いです。

 

年内の更新は本日で最後になります。

今年もお付き合いいただきありがとうございました。

来年以降もいろいろとお話ししていきたいと思いますので引き続きよろしくお願いいたします。

関連記事

ページ上部へ戻る