閉じる
企業法務お役立ち情報 その他

重要【個人情報保護法が改正】法律改正に伴うプライバシーポリシーのチェックポイントを弁護士が解説!

  • シェア
  • ツイート
  • はてブ
  • Google+
  • LINEで送る
  • 個人情報保護法改正に伴うプライバシーポリシーチェック

    平成27年9月に個人情報保護法の法律が改正されました。この法律改正により、個人情報の取扱のルールに変更が加えられ、中小企業にとっても対応が必要な内容になっています。特に、個人データを第三者に提供する場合のルールが厳格化され、違反には刑事罰も定められている点に注意が必要です。

    今回は、個人情報保護法の改正に伴い、対応が必要となるプライバシーポリシーに関するチェックポイントについてご説明します。

     

    今回の記事で書かれている要点(目次)

    ●【重要!】個人情報保護法改正で対応が必要となるプライバシーポリシーのチェックポイント
    ●ポイント1:個人情報の定義規定の変更に伴うチェックポイント
    ●ポイント2:第三者提供のルールの変更に伴うチェックポイント
    ●【補足】第三者提供のルールの変更に伴う注意点について

     

    【重要!】
    個人情報保護法改正で対応が必要となるプライバシーポリシーのチェックポイント

    平成27年9月に個人情報保護法が改正されたことに伴い、対応が必要となるプライバシーポリシーのチェックポイントは以下の2点です。

    個人情報保護法が改正されたことに伴い、対応が必要となるプライバシーポリシーのポイント

    ポイント1:
    個人情報の定義規定の変更に伴うチェックポイント

    ポイント2:
    第三者提供のルールの変更に伴うチェックポイント

    以下、順番にご説明しますが、具体的な内容のご説明に入る前に、「そもそもなぜプライバシーポリシーを作る必要があるのか」と「プライバシーポリシーを作成する必要がある企業の範囲」について確認しておきましょう。

    そもそもなぜプライバシーポリシーを作る必要があるのか?

    「プライバシーポリシー」は、企業が個人情報の取扱について自ら定める指針のことで、「個人情報保護方針」と呼ばれることもあります。個人情報保護法では、「事業者が個人情報を取得した場合は、あらかじめ利用目的を公表している場合を除き、速やかに、利用目的を、本人に通知又は公表しなければならない。」とされています。

    そして、実際には、個人情報を取得するたびに本人にその利用目的を通知するのは面倒であることから、「あらかじめ個人情報の利用目的を公表する」方法で対応している企業が大多数です。インターネットなどに「プライバシーポリシー」あるいは「個人情報保護方針」を公表しているのも、「あらかじめ個人情報の利用目的を公表する」という個人情報保護法の要請にこたえるものです。

    このことからもわかるように、プライバシーポリシーは企業が自ら定める指針ではあるものの、個人情報保護法上も必要とされるものです。

    プライバシーポリシーを作成する必要がある企業の範囲について

    では、「どのような企業がプライバシーポリシーあるいは個人情報保護方針を定めなければならないのでしょうか?」

    結論から言うと、平成27年9月の改正により、ほとんどすべての企業で作成することが必要になりました。

    平成27年9月の個人情報保護法改正の前は、個人情報保護法の適用を受ける企業は、5,000人分を超える個人情報を取り扱っている企業に限定されていました。しかし、平成27年9月の個人情報保護法の改正で、この「5000人ルール」が撤廃されました。その結果、取り扱う個人情報の件数が5,000人分以下の場合であっても個人情報保護法の適用を受け、個人情報を取得する際にはあらかじめ利用目的を公表するか、その都度、本人に利用目的を通知しなければならないことになりました。

    なお、データベース化するなどして検索可能な方法で取り扱う個人情報が存在しない企業は、改正後も個人情報保護法の規制対象になりません。しかし、たとえば、メールソフトのアドレス帳や携帯電話の電話帳に、顧客や従業員の個人情報を記録している場合は、「検索可能な方法で個人情報を取り扱っている」という扱いになりますので、「検索可能な方法で取り扱う個人情報が存在しない」という理由で個人情報保護法の適用を受けない企業はほとんどないと思われます。

    そのため、平成27年9月の個人情報保護法の改正により、ほぼすべての企業が、個人情報保護法の適用を受けることになったといえます。そして、これらの企業では、個人情報を取得するたびに本人にその利用目的を通知するのでなければ、個人情報保護法の遵守のために、プライバシーポリシーあるいは個人情報保護方針を定めて、あらかじめ個人情報の利用目的を公表しておく必要があるといえるでしょう。

    このように、平成27年9月の個人情報保護法の改正の結果、プライバシーポリシーあるいは個人情報保護方針は、ほとんどすべての企業において作成する必要があるということをおさえておきましょう。

     

    ポイント1:
    個人情報の定義規定の変更に伴うチェックポイント

    個人情報保護法の改正に伴うプライバシーポリシーのチェックポイントの1つ目は、「個人情報の定義規定の変更に伴うチェックポイント」です。

    平成27年9月の個人情報保護法の改正で、「個人情報」の定義が変更されたことにより、プライバシーポリシーの個人情報の定義に関する規定を改正法に対応したものに変更することが必要になります。
    改正前と改正後の法律で、「個人情報」の定義は以下のように異なります。

    平成27年9月の個人情報保護法改正による、「個人情報」の定義の変更の内容

    改正前は「個人情報」は、個人情報保護法上次のように定義されていました。

    【改正前の個人情報の定義】

    「個人情報とは?」

    生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの。他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。

    この定義は改正後も引き続き使用されますが、改正後は、これに加えて、 「生存する個人に関する情報であって、個人識別符号が含まれるもの」が「個人情報」として新たに定義されました。
    その結果、改正後の個人情報の定義は次の通りです。

    【改正後の個人情報の定義】

    「個人情報とは?」

    改正後の個人情報の定義では、以下の「定義1」あるいは「定義2」のどちらかにあたれば、その情報は個人情報になります。

    定義1:
    生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの。他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。

    定義2:
    生存する個人に関する情報であって、個人識別符号が含まれるもの。この定義2の「生存する個人に関する情報であって、個人識別符号が含まれるもの」とは、運転免許証の番号やパスポートの番号、指紋認識データなどが含まれた情報をいい、これらの情報が「個人情報」としての取り扱いを受けることが明確にされました。

    このように個人情報保護法における「個人情報」の定義が変更されましたので、プライバシーポリシーや個人情報保護方針でも、改正後の法律による定義にそう内容に変更しておく必要があります。

    個人情報の定義規定の変更に伴うプライバシーポリシーの対応のポイント

    たとえば、プライバシーポリシーに以下のような規定がある場合、これは改正前の個人情報保護法による個人情報の定義を記載したものであり、変更が必要です。

    ●参考例●

    【個人情報保護法改正に対応する前の規定例】

    このプライバシーポリシーで「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別できる情報を指します。

    これに対して、個人情報保護法改正に対応した修正例は以下の通りです。

    【個人情報保護法改正に対応した修正例】

    このプライバシーポリシーで「個人情報」とは、生存する個人に関する以下の情報を指します。

    (1)当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別できるもの
    (2)個人識別符号が含まれるもの

    ●●●●

    自社のプライバシーポリシーで、個人情報の定義規定がある場合は、平成27年9月の個人情報保護法改正に対応した内容になっているかを確認しておきましょう。

     

    ポイント2:
    第三者提供のルールの変更に伴うチェックポイント

    個人情報保護法改正で対応が必要となるプライバシーポリシーのチェックポイントの2つ目は、「第三者提供のルールの変更に伴うチェックポイント」です。

    個人情報保護法の改正前は、「個人データの第三者提供」が本人の同意がなくても一定のルールのもとで認められていました。しかし、個人情報保護法の改正により、このルールが変更され、原則として本人の同意がない個人データの第三者提供は禁止されることになりました。これに伴い、個人データの第三者提供を本人の同意がなくても行うことができる内容になっているプライバシーポリシーあるいは個人情報保護方針は変更しておく必要があります。

    まずは、個人情報保護法改正による「第三者提供のルールの変更」の内容がどのようなものかをみていきましょう。

    平成27年9月の個人情報保護法改正による、「第三者提供のルールの変更」の内容

    改正前の法律による第三者提供のルールは以下のとおりであり、本人の同意がなくても個人データを第三者提供することができる場合が認められていました。

    【個人情報保護法改正前の第三者提供のルール】

    個人情報保護法改正前は、「第三者への提供を利用目的とすること」や、「第三者に提供する個人データの項目」、「第三者提供の手段または方法」などをプライバシーポリシーに記載するなどして容易に知りうる状態においていれば、個別に本人の同意を取らなくても、個人データを第三者に提供することが可能でした。

    しかし、このルールは平成27年9月の個人情報保護法改正で改正され、以下の通り変更になりました。

    【個人情報保護法改正後の第三者提供のルール】

    個人情報保護委員会への届出をしない限り、本人の同意なく、個人データを第三者提供することができなくなりました。
    ただし、以下の4つの場合に限り、例外的に本人の同意なく個人データの第三者提供が可能です。

    (1)個人情報保護法以外の他の法令に基づき、個人データを第三者提供する場合
    (2)人の生命、身体又は財産の保護のために個人データの第三者提供が必要がある場合であって、本人の同意を得ることが困難であるとき。
    (3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
    (4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

    なお、「個人情報保護委員会」というのは、個人情報の適切な取扱いを確保するために平成27年9月の個人情報保護法改正で設けられた国の機関です。この「個人情報保護委員会」に事前に届け出た企業でない限り、本人の同意なく個人データを第三者に提供することが上記4つの例外を除いて禁止されました。

    では、次に、「第三者提供のルールの変更」の内容を踏まえて、プライバシーポリシーではどのような対応が必要かをご説明したいと思います。

    第三者提供のルールの変更に伴うプライバシーポリシーの対応のポイント

    改正前は、本人の同意がなくても、「第三者への提供を利用目的とすること」や、「第三者に提供する個人データの項目」、「第三者提供の手段または方法」などをプライバシーポリシーに記載するなどして、個人データを第三者に提供することが可能でした。そのため、プライバシーポリシーの内容が、本人の同意がなくても第三者に個人データを提供する内容になっていることがあります。
    たとえば、以下のような規定例です。

    ●参考例●

    【個人情報保護法改正に対応する前の規定例】

    弊社は、次の場合を除いて、あらかじめ本人の同意を得ることなく、第三者に個人データを提供することはありません

    (1)個人情報保護法以外の他の法令に基づき、個人データを第三者提供する場合
    (2)人の生命、身体又は財産の保護のために個人データの第三者提供が必要がある場合であって、本人の同意を得ることが困難であるとき。
    (3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
    (4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
    (5)あらかじめ次のアからエに定める事項を本人に通知し、あるいは公表をしている場合

    ア 利用目的に第三者への提供を含むこと
    イ 第三者に提供されるデータの項目
    ウ 第三者への提供の手段または方法
    エ 本人の求めに応じて個人データの第三者への提供を停止すること

    この規定例では、(1)~(5)の場合は、個人データを本人の同意なく第三者提供できるという内容になっています。そして、このうち、(1)~(4)については、改正後も、本人の同意なく第三者提供が認められるケースですが、(5)は個人情報保護委員会への届出をしない限り、認められません。そのため、個人情報保護委員会への届出をしないときは、(5)は削除しておく必要があります。

    改正に対応した修正例は以下の通りです。

    【個人情報保護法改正に対応した修正例】

    弊社は、次の場合を除いて、あらかじめ本人の同意を得ることなく、第三者に個人データを提供することはありません。

    (1)個人情報保護法以外の他の法令に基づき、個人データを第三者提供する場合
    (2)人の生命、身体又は財産の保護のために個人データの第三者提供が必要がある場合であって、本人の同意を得ることが困難であるとき。
    (3)公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
    (4)国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

    ●●●●

    自社のプライバシーポリシーあるいは個人情報保護方針の内容を確認して、個人情報保護法の改正による第三者提供のルールの変更に伴い、プライバシーポリシーを見直す必要があるか、確認をしておきましょう。

     

    【補足】
    第三者提供のルールの変更に伴う注意点について

    以上、個人情報保護法改正で対応が必要となるプライバシーポリシーのチェックポイントについてご説明しましたが、最後に、今回の個人情報保護法改正の重要なポイントである「第三者提供のルールの変更」について、補足しておきたいと思います。

    本人の同意なく個人データを第三者提供することが原則として禁止されたことはすでに述べたとおりですが、それ以外にも「第三者提供のルール」について以下の3点が新設されました。

    個人情報保護法改正で新設された第三者提供のルール

    ルール1:
    自社が保有する個人データを第三者に提供する場合のルール

    平成27年9月の個人情報保護法改正により、「第三者提供をした年月日」や「提供先の氏名、名称」等について、記録を作成して一定期間保存することが、新たに義務付けられました。改正された個人情報保護法は、平成29年9月までに施行されることになっており、具体的に記録するべき項目の詳細や、保存期間については、施行までに定められる予定です。

    ルール2:
    第三者から個人データの提供を受ける場合のルール

    平成27年9月の個人情報保護法改正により、「提供元の氏名、名称、代表者名」や「提供元が個人データを取得した経緯」等について、提供元に確認して記録し、一定期間保存することが新たに義務付けられました。こちらも具体的に記録するべき項目の詳細や、保存期間については、施行までに定められる予定です。

    ルール3:
    罰則

    個人データの提供先がルール2に基づき個人データを取得した経緯について提供元に確認した際に、提供元が虚偽の説明をした場合、提供元に対する罰金刑が定められました。

    この3つのルールは、あくまで「個人データ」の第三者提供のルールです。「個人データ」とは、個人情報のうち、データベース化されるなどして、検索可能な方法で保有されるものをいいます。検索可能な方法で保有されていない個人情報については、上記のルールの適用外となります。

    具体的は、以下のようなケースが、個人データの第三者提供に該当し、上記の3つのルールに基づき、記録の作成や保存の義務が課されます。

    個人データの第三者提供として、記録の作成、保存が義務付けられるケースの例

    ケース例1:
    自社の顧客からの要望により、その顧客を担当する自社の従業員の氏名や電話番号を顧客に伝える場合

    従業員の氏名や電話番号に関する情報は、検索可能な方法で保有されていることが多く、個人データにあたることが通常です。そのため、自社の従業員の氏名や電話番号を、顧客に伝えることは、個人データの第三者提供に該当します。このケースで提供元の注意点、提供先の注意点はそれぞれ以下の通りです。

    【提供元の注意点】

    提供元は、個人情報保護委員会への届出をしていない限り、従業員本人の同意を得なければ、従業員の個人データを顧客に教えることができません。また、従業員の同意を得て教えるときも、その年月日や、個人データの提供先の氏名、社名等について、記録を作成して保存することが必要です。

    【提供先の注意点】

    個人データの提供を受けた顧客側は、提供元の社名、代表者名や提供元が個人データを取得した経緯等について記録を作成して保存することが必要です。

    ケース例2:
    自社の顧客を他の事業者に紹介するために、顧客の連絡先などを他の事業者に伝える場合

    たとえば、自社が不動産業を経営していたとして、お客様から「リフォーム業者を紹介してほしい」と言われ、リフォーム業者にお客様の連絡先を伝えるケースです。この場合、その顧客の連絡先等の情報が自社で検索可能な方法で保有されていれば、その顧客の連絡先に関する情報は「個人データ」にあたります。そのため、リフォーム業者にお客様の連絡先を伝えて、リフォーム業者からお客様に連絡してもらう場合は、個人データの第三者提供にあたります。
    このケースで提供元の注意点、提供先の注意点はそれぞれ以下の通りです。

    【提供元の注意点】

    提供元は、個人情報保護委員会への届出をしていない限り、お客様ご本人の同意を得なければ、お客様に関する個人データを、他の事業者に提供することができません。
    また、お客様の同意を得て、お客様の氏名や電話番号を他の事業者に伝えるときも、その年月日や、提供先の氏名あるいは社名等について、記録を作成して保存することが必要です。

    【提供先の注意点】

    個人データの提供を受けた側は、提供元の社名、代表者名や提供元が個人データを取得した経緯等について、提供元に確認し、記録を作成して保存することが必要です。

    このように、個人データの第三者提供の場面では、個人情報保護法改正以前には必要がなかった、記録の作成と保存が新たに義務付けられることになりましたので、注意しておきましょう。

     

    まとめ

    今回は、平成27年9月の個人情報保護法改正を踏まえて、改正に伴うプライバシーポリシーのチェックポイントとして以下の2点をご説明しました。

    ポイント1:
    個人情報の定義規定の変更に伴うチェックポイント

    ポイント2:
    第三者提供のルールの変更に伴うチェックポイント

    また、補足として、個人データの第三者提供のルールが変更になることに伴う注意点についてもご説明しました。平成27年9月の個人情報保護法改正は、平成29年9月までに施行されることになっており、早めに自社のプライバシーポリシーを見直しておかれることをおすすめします。個人情報保護法改正に伴い、自社の対応に不安がある場合は、お気軽に個人情報保護法に詳しい咲くやこの花法律事務所の弁護士までご相談下さい。


    企業法務におけるお悩みは、企業法務に強い弁護士へ。「咲くやこの花法律事務所」へご相談下さい。

  • シェア
  • ツイート
  • はてブ
  • Google+
  • LINEで送る
  • 【各種紛争・事件に関する相談!】<お電話でお問い合わせ>06-6539-8587
    メールによる問い合わせはこちら
    自社の「労務トラブル」発生の危険が、今スグわかる。労務管理チェックシート無料プレゼント!

    同じカテゴリの関連記事を見る

    他のカテゴリから記事を探す

    情報カテゴリー

    ご覧になりたい「カテゴリーをクリックしてください」