「新個人情報保護法」がPMSに及ぼす影響 ~PMSハンドブック読者!必読!~  第1回
 目次     第一章 総則(第一条―第三条)    PDF       ▼Next
会員番号 1760 斎藤由紀子(個人情報保護監査研究会)
 

1.2015年9月9日「個人情報の保護に関する法律」改正

 「番号利用法=行政手続きにおける特定の個人を識別するための番号の利用等に関する法律」第6章に定められていた、特定個人情報保護委員会が、名称を改めて、「個人情報の保護に関する法律(以下、個人情報保護法と呼ぶ)」第5章に、個人情報保護委員会 として定められました。

 同時に「消費者庁及び消費者委員会設置法」第4条から、”個人情報の保護に関する基本方針の策定及び推進”の任務が削除され、また、第6条の消費者委員会から、”個人情報の適正な取扱いの確保に関する重要事項”の審議が削除され、2016年1月1日より、個人情報保護委員会が新個人情報保護法の所管となりました。

 今月号から、「新個人情報保護法」が個人情報保護マネジメントシステム(以下PMSと呼ぶ)に及ぼす影響について解説を連載します。

(※2016年7月15日 「個人情報の保護に関する法律施行令(改正案)」、「個人情報保護委員会規則(案)」
の内容を追記しています。)

【表記について】

読みやすさの点から、一部漢数字をアラビア数字、和暦を西暦で記載しています。
また、条項が新設されたことに伴い、施行時に条項番号が変更となる予定ですが、本解説は原則として、旧番号のままの条項を漢数字、変更後の条項番号をアラビア数字で記述します。
例:第二十四条(現行法:保有個人データに関する事項の公表等)→第27条

【本文について】

今回は、改正点に絞って解説します。従来から記述されている場合は省略することになりますが、ご了承ください。改正箇所は「赤字」で記載します。

【施行日について】

附則第1条に施行日が定められていますが、第2項、第3項に規定するほかは、 ”この法律は、公布の日から起算して2年を超えない範囲内において政令で定める日から施行する。” ことになっています。

  • 附則第一条第2項【交付の日から施行】
    • 第十条(個人情報の適正な取扱いを確保するための措置)
    • 第十二条(区域内の事業者等への支援)
    • 附則 第七条(委員長又は委員の任命等に関する経過措置)第2項 
  • 附則第一条 第3項【2016年1月1日から施行】 
    • 第一条(目的)
    • 第四条(国の責務)
    • 第六条(法制上の措置等)
    • 第七条第1項(基本方針)及び第3項(基本方針の閣議決定)
    • 第八条(地方公共団体等への支援)
    • 第九条(苦情処理のための措置)
    • 第十三条(苦情の処理のあっせん等)
    • 第二十二条(委託先の監督)
    • 第25条(第三者提供に係る記録の作成等) ・・・・・・・・新設
    • 第26条(第三者提供を受ける際の確認等) ・・・・・・・・新設
    • 第27条(保有個人データに関する事項の公表等)・・・・・・(旧二十四条)
    • 第30条(利用停止等)・・・・・・・・・・・・・・・・・・(旧二十七条)
    • 第32条(開示等の請求等に応じる手続)・・・・・・・・・・(旧二十九条)
    • 第34条(事前の請求) ・・・・・・・・・・・・・・・・・新設
    • 第37条(匿名加工情報の提供)・・・・・・・・・・・・・・新設
    • 附則第五条(特定個人情報保護委員会がした処分等に関する経過措置)
  • 上記以外【公布の日から起算して2年を超えない範囲内において政令で定める日から施行】

    ※基本方針は、2016年2月19日に一部改定されました。
    http://www.ppc.go.jp/files/pdf/280219_personal_basicpolicy.pdf

    それでは、今回は、第一章 総則 について解説します。

第一章 総則

第一条 (目的)

この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
  • 国際競争に立ち向かうため不可欠な、ビッグデータの活用が、“産業の創出” の言葉に表れています。

 

 

第二条 (定義)

この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
個人識別符号が含まれるもの
  • 第一項は、従来通りの考え方ですが、(個人識別符号を除く)とされ、第二項に、個人識別符号のみが別扱いとなりました。

 

この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの 
  • 第一は、顔認識・指紋データ等の生体情報、第二はカード等のID、免許証番号・バスポート等の符号・番号が想定されており、今後、具体的に政令等で定められる予定です。 個人番号も「個人識別符号」のひとつです。
  • 政令で定めるものとして、個人情報の保護に関する法律施行令(改正案)が公表されました。
★2016年7月15日 個人情報の保護に関する法律施行令(改正案)

第一条(個人識別符号)

個人情報の保護に関する法律(以下「法」という。)第二条第二項の政令で定める文字、番号、記号その他の符号は、次に掲げるものとする。
次に掲げる身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、特定の個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合するもの
  細胞から採取されたデオキシリボ核酸(別名DNA)を構成する塩基の配列
  顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌
  虹彩の表面の起伏により形成される線状の模様
  発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化
  歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様
  手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静脈の形状
  指紋又は掌紋
旅券法(昭和二十六年法律第二百六十七号)第六条第一項第一号の 旅券の番号 
国民年金法(昭和三十四年法律第百四十一号)第十四条に規定する 基礎年金番号
道路交通法(昭和三十五年法律第百五号)第九十三条第一項第一号 の免許証の番号
住民基本台帳法(昭和四十二年法律第八十一号)第七条第十三号に 規定する住民票コード
行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)第二条第五項に規定する個人番号
次に掲げる証明書にその発行を受ける者ごとに異なるものとなるように記載された個人情報保護委員会規則で定める文字、番号、記号その他の符号
  国民健康保険法(昭和三十三年法律第百九十二号)第九条第二項 の被保険者証
  高齢者の医療の確保に関する法律(昭和五十七年法律第八十号) 第五十四条第三項の被保険者証
  護保険法(平成九年法律第百二十三号)第十二条第三項の被保険者証
その他前各号に準ずるものとして個人情報保護委員会規則で定める文字、番号、記号その他の符号
  • さらに、個人情報保護委員会規則(案)も公表されました。
★2016年7月15日 個人情報保護委員会規則(案)

第一条(定義)

この規則において使用する用語は、個人情報の保護に関する法律(以下「法」という。)において使用する用語の例による。

第二条(身体の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号に関する基準)

個人情報の保護に関する法律施行令(以下「令」という。)第一条第一号の個人情報保護委員会規則で定める基準は、特定の個人を識別することができる水準が確保されるよう、適切な範囲を適切な手法により電子計算機の用に供するために変換することとする。

第三条(証明書にその発行を受ける者ごとに異なるものとなるように記載された文字、番号、記号その他の符号 )

令第一条第七号の個人情報保護委員会規則で定める文字、番号、記号その他の符号は、次の各号に掲げる証明書ごとに、それぞれ当該各号に定めるものとする。
令第一条第七号イに掲げる証明書 同号イに掲げる証明書の記号、番号及び保険者番号
令第一条第七号ロ及びハに掲げる証明書同号ロ及びハに掲げる証明書の番号及び保険者番号

第四条 (旅券の番号等に準ずる文字、番号、記号その他の符号)

令第一条第八号の個人情報保護委員会規則で定める文字、番号、記号その他の符号は、次に掲げる ものとする。
健康保険法施行規則(大正十五年内務省令第三十六号)第四十七条第二項の被保険者証の記号、番号 及び保険者番号
健康保険法施行規則第五十二条第一項の高齢受給者証の記号、番号及び保険者番号
船員保険法施行規則(昭和十五年厚生省令第五号)第三十五条第一項の被保険者証の記号、番号及び 保険者番号
船員保険法施行規則第四十一条第一項の高齢受給者証の記号、番号及び保険者番号
出入国管理及び難民認定法(昭和二十六年政令第三百十九号)第二条第五号に規定する旅券(日本国政府の発行したものを除く。)の番号
出入国管理及び難民認定法第十九条の四第一項第五号の在留カードの番号
私立学校教職員共済法施行規則(昭和二十八年文部省令第二十八号)第一条の七の加入者証の加入者番号
私立学校教職員共済法施行規則第三条第一項の加入者被扶養者証の加入者番号
私立学校教職員共済法施行規則第三条の二第一項の高齢受給者証の加入者番号
国民健康保険法施行規則(昭和三十三年厚生省令第五十三号)第七条の四第一項に規定する高齢受給者証の記号、番号及び保険者番号
十一 国家公務員共済組合法施行規則(昭和三十三年大蔵省令第五十四号)第八十九条の組合員証の記号、番号及び保険者番号
十二 国家公務員共済組合法施行規則第九十五条第一項の組合員被扶養者証の記号、番号及び保険者番号
十三 国家公務員共済組合法施行規則第九十五条の二第一項の高齢受給者証の記号、番号及び保険者番号
十四 国家公務員共済組合法施行規則第百二十七条の二第一項の船員組合員証及び船員組合員被扶養者証の記号、番号及び保険者番号
十五 地方公務員等共済組合法規程(昭和三十七年総理府・文部省・自治省令第一号)第九十三条第二項の組合員証の記号、番号及び保険者番号
十六 地方公務員等共済組合法規程第百条第一項の組合員被扶養者証の記号、番号及び保険者番号
十七 地方公務員等共済組合法規程第百条の二第一項の高齢受給者証の記号、番号及び保険者番号
十八 地方公務員等共済組合法規程第百七十六条第二項の船員組合員証及び船員組合員被扶養者証の記号、番号及び保険者番号
十九 雇用保険法施行規則(昭和五十年労働省令第三号)第十条第一項の雇用保険被保険者証の被保険者番号
二十 日本国との平和条約に基づき日本の国籍を離脱した者等の出入国管理に関する特例法(平成三年法 律第七十一号)第八条第一項第三号の特別永住者証明書の番号
  • 2016年8月現在、スマホ、携帯電話番号等の端末ID、携帯電話番号は第二号個人識別符号としてみなされていません。
  • 「EU一般データ保護規則」(GDPR:General Data Protection Regulation)では、自然人(総称してデータ主体(data subject)という:権利能力が認められる社会的実在としての人間のことで、法人と対比されている概念)に関するすべての情報として、スマホ、携帯電話等の端末ID、携帯電話番号、IPアドレス、クッキーなど、直接的または間接的に個人の特定を可能にするものは個人情報であると定義されています。

 

この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
  • JIS Q15001:2006における「特定の機微な個人情報」と比較すると、宗教、身体・精神障害、勤労者の団結権、保健医療が含まれていませんが、不当な差別等が生じないよう配慮を要するものとして、理由がより明確になりました。
  • 法第十七条で、原則として、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。とされています。
  • 政令で定めるものとして、個人情報の保護に関する法律施行令(改正案)が公表されました。
★2016年7月15日 個人情報の保護に関する法律施行令(改正案)

第二条(要配慮個人情報)

法第二条第三項の政令で定める記述等は、次に掲げる事項のいずれかを内容とする記述等(本人の病歴又は犯罪の経歴に該当するものを除く。)とする。
身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること。
本人に対して医師その他医療に関連する職務に従事する者(次号に おいて「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という 。)の結果
健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。
本人を少年法(昭和二十三年法律第百六十八号)第三条第一項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと。
  • 施行令改定案 第二条1項の(本人の病歴又は犯罪の経歴に該当するものを除く。)とする理由は不明です。パブコメで除外する意味を明確にするよう提案する予定です。
  • 個人情報保護委員会規則(案)も公表されました。
★2016年7月15日 個人情報保護委員会規則(案)

第五条 (要配慮個人情報)

令第二条第一号の個人情報保護委員会規則で定める心身の機能の障害は、次に掲げる障害とする。
身体障害者福祉法(昭和二十四年法律第二百八十三号)別表に掲げる身体上の障害
知的障害者福祉法(昭和三十五年法律第三十七号)にいう知的障害
精神保健及び精神障害者福祉に関する法律(昭和二十五年法律第百二十三号)にいう精神障害(発達障害者支援法(平成十六年法律第百六十七号)第二条第二項に規定する発達障害を含み、前号に掲げるものを除く。)
治療方法が確立していない疾病その他の特殊の疾病であって障害者の日常生活及び社会生活を総合的に支援するための法律(平成十七年法律第百二十三号)第四条第一項の政令で定めるものによる障害の程度が同項の厚生労働大臣が定める程度であるもの
  • 「知的障害者福祉法」には知的障害の定義が書かれていないことは、以前から問題視されています。
  • 「障害者の日常生活及び社会生活を総合的に支援するための法律」とは、いわゆる障害者自立支援法のことです。
    • 第四条(定義)
      この法律において「障害者」とは、身体障害者福祉法第四条に規定する身体障害者、知的障害者福祉法にいう知的障害者のうち十八歳以上である者及び精神保健及び精神障害者福祉に関する法律第五条 に規定する精神障害者(発達障害者支援法 (平成十六年法律第百六十七号)第二条第二項 に規定する発達障害者を含み、知的障害者福祉法 にいう知的障害者を除く。以下「精神障害者」という。)のうち十八歳以上である者並びに治療方法が確立していない疾病その他の特殊の疾病であって政令で定めるものによる障害の程度が厚生労働大臣が定める程度である者であって十八歳以上であるものをいう。
    • 2項以降省略
  • 厚生労働大臣が定める程度、とは「難病の患者に対する医療等に関する法律」(平成22年5月30日法律第50号)の「指定難病」を指すものと解することができる

 

この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。
  • 「個人情報データベース等」のうち、一定の規則で匿名化したものを、第三者提供できるようにするため、カッコ書きが追加されました。

 

この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
  • 「匿名加工情報」は、復元することができないよう、個人情報保護委員会規則で定める基準に従うことになります。また、匿名だからといって自由に取り扱ってよいというものではなく、さまざまな制約が設けられています。詳しくは、第4章第2節 匿名加工情報取扱事業者等の義務(第36条―第39条 )で解説します。

 

10

 この法律において「匿名加工情報取扱事業者」とは、匿名加工情報を含む情報の集合物であって、特定の匿名加工情報を電子計算機を用いて検索することができるように体系的に構成したものその他特定の匿名加工情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの(第36条第一項において「匿名加工情報データベース等」という。)を事業の用に供している者をいう。ただし、第五項各号に掲げる者を除く。
  • 「匿名加工情報」として認められれば、「匿名加工情報取扱事業者」は本人の同意なく第三者提供が可能となります。しかし、どのような個人情報を匿名化したのかを公表するなど、いくつかの義務が課せられることになります。(詳細:第4章第2節で解説)
  • 第五項各号に掲げる者とは、国の機関、地方公共団体、独立行政法人等、地方独立行政法人をいいます。
  • 2016年5月27日「行政機関の保有する個人情報の保護に関する法律」(「新行政機関個人情報保護法」と呼ぶ)が改定され、「行政機関非識別加工情報」について規定されました。
★2016年5月27日 「新行政機関個人情報保護法」

第二条(定義)

9. この法律において「行政機関非識別加工情報」とは、次の各号のいずれにも該当する個人情報ファイルを構成する保有個人情報(中略)の全部又は一部(中略)を加工して得られる非識別加工情報をいう。
第十一条第二項各号のいずれかに該当するもの又は同条第三項の規定により同条第一項に規定する個人情報ファイル簿に掲載しないこととされるものでないこと。
行政機関情報公開法第三条に規定する行政機関の長に対し、当該個人情報ファイルを構成する保有個人情報が記録されている行政文書の同条の規定による開示の請求があったとしたならば、当該行政機関の長が次のいずれかを行うこととなるものであること。
イ 当該行政文書に記録されている保有個人情報の全部又は一部を開示する旨の決定をすること。
ロ 行政機関情報公開法第十三条第一項又は第二項の規定により意見書の提出の機会を与えること。
行政の適正かつ円滑な運営に支障のない範囲内で、第四十四条の十第一項の基準に従い、当該個人情報ファイルを構成する保有個人情報を加工して非識別加工情報を作成することができるものであること。
  • 「行政機関非識別加工情報」の対象となるのは、行政基幹内で、照合禁止義務の対象ではないものである(第1号規定)ため、作成の元となったデータと照合することが可能であり、個人情報に該当します。 

第二条(定義)の改定部分は、2016年4月現在未施行です。今後、政令または個人情報保護委員会規則等で詳細が定められる予定で、PMSへの影響はもう少し先のこととなりますが、まずは用語に慣れておきましょう。

 目次     第一章 総則(第一条―第三条)      ▼Next:第二章
 

※「PMSハンドブック」の読者専用ダウンロードサイトでは、第二条で新たに規定された用語について、
「3301個人情報取扱規程」に追加し、2016年5月1日公開しました。!!

SAAJ「PMSハンドブック」ご紹介サイト:http://www.saaj.or.jp/shibu/kojin.html 

 

認定NPO法人 日本システム監査人協会 個人情報保護監査研究会