PR

個人情報5000件以下の小規模事業者にも適用

 今回の個人情報保護法の改正は、これらの課題に応えることを目的とする。例えば、個人情報の利活用ルールを明確化するために「要配慮個人情報」を規定。本人に対する不当な差別や偏見が生じないように「人種、信条、病歴等が含まれる個人情報については、本人同意を得て取得することを原則義務化し、本人同意を得ない第三者提供の特例(オプトアプト)を禁止」とした(第2条3項)。医薬品の購入履歴が病歴に含まれるかどうかなどの医療分野に関わる細かい定義については「今後の政令で明確化していく」(瓜生氏)ことになっている。

 個人情報をビッグデータとして利活用する前提となる「匿名加工情報」も定義した(第2条第9~10項、第36~39条)。匿名加工情報とは個人を特定できないように加工された情報のことで、一定の条件を満たせば本人の同意がなくても第三者に提供できる。具体的な匿名加工の方法は、個人情報保護法を所管する「個人情報保護委員会」が定める基本ルールに従って、各業界の「認定個人情報保護団体」が作成。各団体が加工方法の指針を個人情報保護委員会に提出して、必要に応じて指導や勧告を受けることになる。

 名簿業者対策としては、トレーサビリティーを確保するために「(個人情報の)受領者は提供者の氏名やデータ取得経緯等を確認し、一定期間その内容を保存。また提供者も、受領者の氏名等を一定期間保存」を義務付けた(第25~26条)。個人情報データベース等を取り扱う事務に従事する(していた)者が個人情報を盗用した場合に適用する「データベース提供罪」も規定した(第83条)。グローバル対応としては「国境を越えた適用と外国執行当局への情報提供」(第75条、第78条)、「外国事業者への第三者提供」(第24条)などのルールを定めた。

 このほか医療分野に関係する改正には「小規模取扱事業者への対応」(第2条第5項)がある。これは現行法で適用除外となっている「取り扱い個人情報5000人以下の小規模事業者」も法律の適用対象にするというもの。これまで適用外であった小さな診療所も、要配慮情報の取り扱いなどで法律への準拠が求められることになる。