今週火曜日に書いたとおり、4/9(日)に、個人情報保護士会の講演会「改正個人情報保護法とガイドラインへの対応ポイント」を聞きに東京へ行きました。

www.joho-hogo.jp

5/30に迫っているのに今一つ認知されていない改正法施行。今回は5,000人要件の廃止など、中小零細企業や非営利の組合などにも影響するのですが、対応が進んでいるのはほとんど大企業だけ、のようです。

以下、ポイントを箇条書きで。

・改正の背景

　・ICTの発展で収集・分析可能なデータが多様化・膨大化

　・JR東日本Suica事件（2013/6）

　　⇒匿名化パーソナルデータの利活用に影響。匿名加工情報新設へ

　・国際化対応：EU一般データ保護規則（GDPR）適用開始（2018/5/25）

　　　⇒域外移転ルールの厳格化。違反に対する高額な制裁金

　・ベネッセ顧客漏洩事件（2014/7）

　　⇒名簿取引規制の必要性。トレーサビリティの法制化へ

・改正のポイント

　・個人情報の明確化

　　・個人識別符号（法2条2項）

　　　⇒指紋等は画像（JPEG等）そのものではなく特徴点を符号化したもの（法2条2項1号、施行令1条1号）

　　　　※画像は法2条1項に含まれる

　　　　法2条2項2号の個人識別符号は、施行令1条7号・8号、施行規則3条・4条で定める（記号・番号・保険者番号等、2～3個の要素の組み合わせで1セット）

　・匿名加工情報

　　⇒特定の個人を識別・復元できないようにした情報

　　・作成事業者の義務

　　　・適正加工義務（法36条1項）

　　　・安全管理義務（法36条2項）

　　　・項目公表義務（法36条3項）

　　　・第三者提供に関する公表・明示義務（法36条4項）　など

　　・利用（取扱）事業者の義務

　　　⇒提供を受ける側の義務

　　　・識別行為の禁止（法38条）

　　　・公表・明示義務（法37条）　など

　・要配慮個人情報（センシティブ情報）

　　・取扱規制

　　　・本人の同意（法17条2項）

　　　・オプトアウトによる第三者提供禁止（法23条2項）

　　・該当する情報の例（法2条3項）

　　　・人種

　　　・信条

　　　・社会的身分

　　　・病歴　など

　　・取得制限（法17条2項）

　　　⇒適用除外事由（法17条2項1号～6号）

　　・第三者提供に関する記録作成の義務付け

　　　⇒トレーサビリティ確保

　　　・提供者の義務（法25条）

　　　・受領者の確認・記録義務（法26条）

　　・個人情報データベース等提供罪（法83条）

　　・オプトアウト規定見直し（法23条2～4項）

　　・小規模事業者の適用除外規定の削除

　　　⇒安全管理措置等の負担への配慮あり（従業員100人以下）

　　・開示等請求権の明確化（28～34条）

　　・グローバル化対応

　　　・域外適用

　　　・外国への第三者提供制限（法24条）

結構、大きな改正であることがわかります。

大企業などでは、個人情報の取り扱いルールはもちろんのこと、Webサイトなどでのプライバシーポリシーや個人情報保護規定の改訂についても、神経をとがらせているようです。

「匿名加工情報にあたらないつもりで項目の公表をしていなかったが、実は匿名加工情報の要件を満たしていた」とか、トレーサビリティに関する義務が発生するのかしないのか（委託や共同利用の場合には適用外になるので）による業務ルールの線引きなど、考慮が必要な事項が意外とたくさんあります。

また、改正法そのものではありませんが、EUのGDPRなどは、実際に始まってみないとどうなるかわかりませんし。

マイナンバーによる混乱の「ヤマ」が、一昨年の年末～年始ではなく昨年末～今年の年初だったのと同じように、改正法施行後にかなり混乱しそうな気がします。

この講演会では、何度も「重要なのはガイドラインとQ&A」というキーワードが出てきました。特にQ&Aは頻繁に更新され、以前と真逆の結論になっている項目もあるそうです（マイナンバー対応の社内体制・ルール作りで大変だった方は、マイナンバー法のQ&Aの更新頻度と内容をイメージしていただけるといいかと思います）。

そのため、一部、昨年あたりにPマークを取得・更新した企業などは、「すでに先行して改正法に対応した体制・ルールを構築しているから大丈夫」と思い込んでいて、実際には対応できていなかった、ということもありそうです。