日本の改正個人情報保護法の主な変更ポイント

1. 第三者提供の届け出
2. 第三者提供に際しての記録の作成・保存
3. 匿名加工情報の取扱い
4. 海外の第三者への提供に際しての本人の同意取得

日本国内においても、個人情報保護法の改正法案が2015年9月に可決され、2017年5月末より施行される。

改正法では、オプトアウトによる第三者提供に関して、新たに個人情報保護委員会への届け出が必要となる。オプトアウトとは、個人情報の第三者提供の停止を要求できる仕組みが本人に与えられていることを意味する。この仕組みが本人に提供されている限り、引き続き本人から明示的に同意を得ていなくても第三者提供は可能だが、改正後はその届け出が必要になるということだ。ただし、新たに定義された「要配慮個人情報（病歴や犯罪歴など本人に対する不当な差別や偏見を生じさせかねないセンシティブな情報）」に該当するデータについては、改正後もオプトアウトによる第三者提供も認められていない。

今回の法改正では、個人データの第三者への提供や第三者から受領する場合に、記録の作成・保存も義務付けられている。この場合の第三者提供には委託は含まれない。これは違法に取得された個人データの流通を防ぐためのトレーサビリティー要件と言われている。企業にとっては事務負担が増えることから、具体的な対応に関しては慎重な検討が必要になるだろう。

個人情報保護委員会のガイドライン草案には、記録の一括作成など許容される簡便的な対応も例示されているので、関連する業務プロセスの検討を行う場合には、それらも参照すると良い。

さらに、改正法における大きな変更点の一つとして、匿名加工情報に関する規制も挙げることができる。

匿名加工情報を第三者へ提供しようとする企業は、その情報を公表するとともに、提供される情報が匿名加工情報であると第三者へ明示しなければならない。匿名加工情報は一定の基準を満たす加工を施したうえで、元となった個人情報や加工情報と厳密に分離管理される必要がある。

また、個人データを海外の第三者へ提供する場合、原則としてあらかじめ本人の同意を取得することが義務付けられる。この場合の第三者提供には委託も含まれるため、クラウドサービスを利用して海外事業者に個人データの管理委託を行っている企業では特に注意を払わなければならない。本人からの明示的な同意が得られていない場合には、同意取得文書の見直しなどが必要になる。

• 個人情報の定義の明確化
• 要配慮個人情報の明確化
• 匿名加工情報の取り扱いに関する規則の制定
• 個人情報の第三者提供に係る記録作成等の義務化
• 外国の第三者へ提供する場合の制限
• オプトアウトによる第三者提供の届け出の義務化

KPMGコンサルティング
ディレクター　大洞 健治郎

日経産業新聞　2016年11月4日掲載（一部加筆・修正しています）。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。