個人情報保護法改正法は、平成29年5月30日に全面施行

個人事業主も幅広く対象 ~ 5,000件ルールの撤廃 ~

個人情報データベース等を事業に利用していれば、レインズを利用していない小規模の不動産業者であっても、個人情報保護法の規制対象になる。要配慮個人情報という新たな概念が設けられ、厳格な取扱いが求められる。個人データの第三者提供を行ったとき、あるいは、第三者提供を受けたとき、確認と記録の作成等が義務づけられる。

主な改正ポイント

  1. 5,000件ルールの撤廃
  2. 個人情報の定義の明確化
  3. 個人データ第三者提供のルール拡充
  4. 個人情報保護委員会の新設

改正内容

1.5,000件ルールの撤廃

規制される事業者の範囲も広がる。従来は「半年間に5000人分を超える個人情報を扱う」事業者が対象だったが、改正法ではこの「5000人要件」を外し、小規模事業者や個人事業主も幅広く対象とする。たとえば、個人情報の安全管理が義務づけられ、紙の顧客台帳はカギのかかる引き出しで保管する、パソコン上の顧客台帳にはパスワードを設定するなどの措置が求められることになる。

2.個人情報の定義の明確化

改正法では、細かく定義され、身体的特徴等が個人情報に含まれることが明確にされた。

従来は、「氏名や成年月日など、特定の個人を識別できる情報」という曖昧な定義だったが、今後は「個人識別符号」という概念が加わる。政令では、指紋認証や顔認証のデータに加え、旅券や免許証の番号、国民に割り当てられたマイナンバーなどを個人識別符号として例示し、規制対象を事実上拡大した。防犯カメラに写される人の外貌も、個人情報に含まれる。

3. 個人データの第三者提供のルール拡充

情報を流出・拡散させる名簿業者への対策も盛り込まれた。

名簿業者は、第三者提供を行なっていることをホームページに載せるだけでオプトアウト()を済ませる事が多く、本人が知らないうちに名前などの情報が転売される例が後を絶たなかった。今回の改正ではオプトアウトの手続を厳格化し、今後は個人情報保護委員会への届出や公表が必要となる。

また、大量の個人情報を扱う業者から従業員がデータを持ち出し、他社に提供して利益を得るケースもあるため、こうした行為を罰する「データベース提供罪」を新設した。(オプトアウト手続の届出の主な対象者は、いわゆる名簿業者)

オプトアウトとは、個人情報の第三者提供に関し、本人の求めに応じて第三者への提供を停止することである。
また、個人情報の第三者提供に当たり、予め以下の4項目を本人に通知するかまたは、本人が容易に知りえる状態に置いておくことをオプトアウト方式と呼ぶ。
  1. 第三者への提供を利用目的とすること
  2. 第三者に提供される個人データの項目
  3. 第三者への提供の手段又は方法
  4. 本人の求めに応じて第三者への提供を停止すること

(用語集より)

4. 個人情報保護委員会の創設

個人情報の保護のための独立した機関として、個人情報保護委員会が創設された。個人情報保護委員会は、特定個人情報保護委員会を改組した内閣府の外局であり、平成28年1月1日に、個人情報保護法の所管が、消費者庁から個人情報保護委員会に移った。