改正個人情報保護法で追加される「仮名加工情報」について
改正個人情報保護法施行までのスケジュール
※公布の日から起算して2年を超えない範囲内において、政令で定める日から施行することとされている。
改正個人情報保護法の気になるポイント
1.「仮名加工情報」の追加
- 個人情報取扱事業者が自社内部で個人データを匿名化して活用しようとする場合、「仮名加工情報」の加工基準・加工方法を満たす場合においては個人の各種請求に応ずる義務がなくなる。
- 個人情報に該当する「仮名加工情報」については、目的外利用が禁止され、取得にあたって利用目的について公表等が必要となるので、事業者内部で制限なく利用するためには、個人情報に該当しない「仮名加工情報」にする必要がある。
- 仮名加工情報は事業者内部で利用することが想定されており、本人の同意を得て個人データとして提供する場合しか第三者提供はできないので、ビックデータとして広く利用されることにはならないのではないかと考えられます。
2.個人情報漏洩時の「委員会への報告」及び「本人への通知」の義務化
- 漏えい等報告について、法令上の義務として明記する(現行個人情報保護法では、個人情報の漏えいの報告は努力義務)。
- 改正法により、一定数以上の個人データ漏えい、要配慮個人情報の漏えい等、一定の類型に該当する場合に限定して、速やかに委員会へ報告することを義務付ける。
- 明確な時間的な制限は設けないものの、報告内容を一定程度限定した上で「速やか」に報告することを義務付ける。(速報)
- 速報とは別に、一定の期限までに確報として報告を求める。(確報)
- 漏えい等報告先は委員会又は権限委任官庁への提出に限定する。(現行個人情報保護法上は、一定の場合、委員会以外に、権限委任官庁及び認定個人情報保護団体に対して提出することを認めている。)
- 報告対象事案については、原則として本人への通知を義務付ける。
3.6ヶ⽉以内に消去する短期保存データを保有個⼈データに含める
※参考:「個人情報」「個人データ」「保有個人データ」の違い
「個人情報」
- ①生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
- ②個人識別符号
- 個人情報保護法上、「個人情報」という用語が用いられている場合は、事業者の「個人情報データベース等」(同法2条4項、下記(2)参照)にまだ取り込まれていない「生の個人情報」のこと。例えば、データベース化されていない書面・写真・音声等に記録されているものがこれに該当する。
「個人データ」
- 「個人情報データベース等」を構成する個人情報
「保有個人データ」
「仮名加工情報」とは
- 「個人情報」と「匿名加工情報」の中間的な制度として、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工した個人に関する情報
この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定め
る措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
- 一 第一項第一号に該当する個人情報当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
- 二 第一項第二号に該当する個人情報当該個人情報に含まれる個人識別符号の全部を削除すること(この法律において「仮名加工情報取扱事業者」とは、仮名加工情報を含む情報の集合物であって、特を含む。)。
【参考】Q&A改正個人情報保護法(2020 年8月 21 日全面改訂版)
[弁護士法人三宅法律事務所]