政府のIT総合戦略本部「パーソナルデータに関する検討会」(座長=宇賀克也・東京大学大学院法学政治学研究科教授)の第13回会合(2014年12月19日)で、事務局が個人情報保護法改正に向けた骨子案を説明した。 以下、概要です。
尚、当初の予定通り、2015年1月の通常国会に改正法案を提出し成立を目指すようです。
Ⅰ.個人情報の定義を拡充
生存する個人に関する情報であって、次のいずれかに該当する文字、番号、記号その他の符号のうち政令で定めるものが含まれるものを個人情報として新たに位置づけるものとする。
- 特定の個人の身体の一部の特徴を電子計算機の用に供するため変換した符号であって、当該個人を識別することが出来るもの(例:指紋データ及び顔認識データ)
- 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割当て又は個人に発行される書類に付される符号であって、その利用者若しくは購入者又は書類を受ける者ごとに異なるものとなるように割当てられ、又は付与されるもの(例:携帯電話番号、旅券番号及び運転免許証番号)
Ⅱ.適切な規律の下で個人情報等の有用性を確保するための規定の整備
- 匿名加工情報(仮称)に関する規定の整備
- 第三者に提供するために匿名加工情報を作成するときは、個人情報保護委員会に届け出た上で、個人情報保護委員会規則で定める基準に従い、個人情報から特定の個人を識別することが出来る記述等の削除(他の記述等に置き換えることを含む。)をするなど、当該個人情報を復元することができないようにその加工をしなければならないこととする。また、匿名加工情報を作成した者は、削除した記述等及び加工の方法に関する情報の漏えいを防止するために必要かつ適切な措置を講じなければならないこととする。
- 前述により匿名加工情報を作成した者が当該匿名加工情報を第三者に提供する場合には、第三者提供する旨を公表し、提供先に匿名加工情報であることを明示しなければならないこととする。
- 前述により取得し匿名加工情報を事業の用に供する者は、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、aの削除をした記述等及び加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならないこととする(次項により取得した匿名加工情報を事業の用に供する場合も同様とする)。
- bにより取得し匿名加工情報を第三者に提供する場合には、第三者提供をする旨を公表し、提供先に匿名加工情報であることを明示しなければならないこととする。(この事項により取得した匿名加工情報を第三者に提供する場合も同様とする)。
- 利用目的の制限の緩和
個人情報取扱事業者は、個人情報を取得する際に本人に利用目的を変更することがある旨を通知し、又は公表した場合において、次の事項を、個人情報保護委員会規則で定めるところにより、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、利用目的の変更をすることが出来ることとする。- 変更後の利用目的
- 変更に係る個人情報の項目
- 本人の求めに応じて変更後の利用目的による扱いを停止すること及び本人の求めを受け付ける方法
この場合において、個人情報保護委員会は、その内容を公表しなければならないこととする。(本人への通知や本人が容易に知りうる状態が不適切な場合には、勧告・命令。)
- 情報の利用方法からみた規制対象の縮小
情報の利用方法からみて個人の権利利益を害する恐れが少ないもの(市販の電話帳等)は、個人情報データベース等の規制対象から除外する。
Ⅲ.個人情報の保護を強化するための規定の整備
- 要配慮個人情報(仮称)に関する規定の整備
本人に対する不当な差別又は偏見が生じないようにその取扱いについて特に配慮を要する記述等(例:本人の人種、信条、社会的身分、病歴、犯罪被害を受けた事実及び前科・前歴)が含まれる個人情報については、本人同意を得ない取得を原則として禁止するとともに、利用目的の制限の緩和及び本人同意を得ない第三者提供の特例対象から除外する。 - 第三者提供に係る確認及び記録の作成の義務付け
- 個人情報取扱事業者は、個人情報データベース等の提供を受けるときは、その提供をする者が当該個人情報データベース等を取得した経緯等を確認するとともに、提供の年月日、当該確認医係る事項等の記録を作成し、一定の期間保存しなければならないこととする。
- 個人情報取扱事業者は、個人情報データベース等の第三者提供をしたときは、提供の年月日、提供先の氏名等のの記録を作成し、一定の期間保存しなければならないこととする。
- 不正な利益を図る目的による個人情報データベース提供罪の新設
個人情報データベース等を取り扱う事務に従事する者又は従事していた者が、その業務に関して取り扱った個人情報データベース等を不正な利益を図る目的で提供し、又は盗用する行為を処罰対象にする。 - 本人同意を得ない第三者提供への関与(オプトアウト規定の見直し)
個人情報取扱事業者は、本人同意を得ない個人データの第三者提供をしようとする場合は、次の事項を、個人情報保護委員会規則で定めるところにより、あらかじめ本人に通知し又は本人が容易に知り得る状態に置くと共に、個人情報保護委員会に届けなければならないこととする。- 第三者への提供を利用目的とすること。
- 第三者に提供される個人データの項目
- 第三者への提供方法
- 本人お求めに応じて当該本人が識別される個人データの第三者への提供を停止すること及び本人の求めを受け付ける方法
この場合において、個人情報保護委員会は、その内容を公表しなければならないこととする。(本人への通知や本人が容易に知りうる状態が不適切な場合には、勧告・命令。)
- 小規模事業者への対応
取り扱う個人情報が少量である場合の個人情報取扱事業者からの除外規定を削除する。 - 個人情報取扱事業者による努力義務への個人データの削除の追加
個人情報取扱事業者は、個人データを利用する必要が無くなったときは、遅滞なく当該個人データを消去するように努めなければならないこととする。 - 開示等請求権の明確化
個人情報の本人が、個人情報取扱事業者に対して開示、訂正等及び利用停止等の請求を行う権利を有することを明確化する。
開示等の請求に係る訴えを提起する前に、個人情報取扱事業者に対して当該請求をしなければならないこととする。
Ⅳ.その他
- マイナンバー制度の特定個人情報保護委員会を改組して「個人情報保護委員会」を新設。(主務大臣に報告徴収や立ち入り検査の権限を委任)
- 国内企業などが外国で個人情報を取り扱う場合、個人情報保護委員会による命令を除いて個人情報保護法を適用。
- 外国にある第三者へ提供する場合は、本人同意を得るか、委員会が日本と同等水準の保護制度と認められると定める国か、委員会規則の基準に適合する体制を整備している企業に限る。