協働 公認会計士共同事務所

レポート

レポート > コラム,レポート

個人情報保護法について

 H27年9月に改正された個人情報保護法(以下「法」という)がH29年5月30日より施行となり、従前は保有する個人情報の数が5,000以下の事業者は適用除外とされていたものが、全ての事業者に適用されることとなりました。そこで、改めて個人情報保護法についてその内容や影響等を考えて見たいと思います。なお、法律の詳細は条文等を御確認下さい。

 

1.成立

 個人情報保護法とは、正式名称は「個人情報の保護に関する法律」であり、2003年5月に成立しました。個人情報に関して本人の権利や利益を保護するため、個人情報を取り扱う事業者などに一定の義務を課す法律であるとされています。

 「第一条  この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。」

 ITの発展等により大量の個人情報が処理されるようになったことから欧米では個人情報保護に関する法律が早くから制定されていました。日本でも遅ればせながら2003年に法律として制定されました。

 

2.概要

 そもそも、「個人情報」とは何でしょうか。法は、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」と定めています。

 その上で、個人情報取扱事業者が守るべきルールとして(1)取得、(2)利用、(3)保管、(4)提供、(5)開示請求等への対応、が定められています。ここでいう個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者が該当します。アドレス帳などのデータも個人情報データベースに該当するものと考えられます。

 簡単にまとめると、

(1)取得

 個人情報を取得する際に、何の目的で利用されるかを本人に通知又は公表する。

(2)利用

 取得した個人情報は予め特定した利用目的の範囲内で利用する。

(3)保管

 取得した個人情報は漏洩等が生じないように安全に管理する。

(4)提供

 取得した個人情報を無断で第三者に提供しない。提供する場合は予め本人から同意を得る。

(5)開示請求等への対応

 本人からの開示等の請求があった場合には対応し、苦情等にも適切に対応する。

といった内容となります。

 

3.改正

 冒頭にも述べたように、H27年の法改正によりH29年5月30日より従前は適用除外されていた保有する個人情報の数が5,000以下の事業者についても法が適用されることとなりました。新しく適用となる事業者には中小事業者も数多く含まれると考えられますが、当然に一定の負担を強いられることとなります。適切に対応するよう取り組むことが求められます。事業者の法遵守状況については「個人情報保護委員会」が監督し、必要に応じて報告を求め、立入検査を実施の上、実態に応じて指導・助言、勧告、命令が行われます。罰則としては懲役や罰金が科せられることもあります。

 特に上記(5)に関しては、a.事業者の名前、b.利用目的、c.請求手続き、d.苦情申出先について、「本人が知り得る状態」に置く必要があるとされています。「本人が知り得る状態」とは、HPでの公表、事業所での掲示等が挙げられており、それらを行わず、a.~d.に関する問い合わせに対して遅滞なく答えられるようにしておくことでもよいとされています。各事業者は自らの組織の現状を確認した上で必要な対応を図りましょう。

 

4.匿名加工情報

 今回の法改正においては、ビックデータに関する規律が設けられました。近年、企業等が保有する個人データから特定の個人の識別性を低減させた情報、いわゆるビックデータを利用・活用することが広まっています。法はこの、措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報を「匿名加工情報」として、個人情報を匿名加工情報に加工することをもって第三者へ情報提供する同意の代わりとすることとしています。匿名加工情報に関しては一定の規制が設けられていますが、個人情報保護から言えばある程度のリスクが含まれることに注意が必要であると考えられます。

 また、先の国会で匿名加工医療譲歩法(正式名称「医療分野の研究開発に資するための匿名加工医療情報に関する法律」)が成立しました。ここでは法律の詳細については記載しませんが、簡単に述べると、患者の病歴・治療歴等の医療情報を集積して研究開発に利用・活用しようというものです。本人が拒否しなければ、個人を特定しうる状態での医療情報を第三者の認定匿名加工医療情報事業者に提供できるようにするものであり、個人情報保護法の例外といえるものです。担当大臣の答弁によると、例外を設けるのは医療の産業化の為に必要であるとのことでした。非営利である医療の分野において産業化を推し進める施策は全くもって容認し難いものであると言わざるを得ません。医療の産業化の是非については議論の場所を他に譲りますが、個人情報保護の観点からも相反する施策であると言えるでしょう。

 個人情報保護法はいったい誰のための法律なのでしょうか?営利企業にとっては有用であることは分かります。我々国民個人にとって将来に渡って有用なものなのでしょうか?個人のプライバシーを営利に活用する、非常に危険な取組であるように思われます。

 個人情報の保護についても、医療の研究開発についても、我々国民にとって重要な取組です。必要な取組は進めながらも、別の側面から考えたときに我々国民を縛ったり、必要のないリスクを負わせたりする施策が進展しないよう注視していきたいと考えております。

 

(坂根 哲也)

トップへ戻る