「個人情報の保護に関する法律（通称：個人情報保護法）」が施行されてから、10年。情報技術の発展によりビッグデータを取り扱うことが可能になった現在、個人情報保護法が改正に向けて動いています。

2014年12月、「パーソナルデータに関する検討会」において、「パーソナルデータの利活用に関する制度改正に係る法律案の骨子（案）」が提出されました。
パーソナルデータの利活用に関する制度見直しは、主に

自由な利活用が許容されるのかが不明確な「グレーゾーン」の明確化
企業がパーソナルデータの利活用に躊躇するという「利活用の壁」を取り払うこと

を目的として2015年初頭に通常国会で改正法案を提出、成立を目指しているものです。
（※法律改正の全体の動きについては過去のブログ記事でまとめていますので、そちらをご参照ください）。
今回公表された骨子では「個人情報」をどう定義するのか、どう扱うのか、ということを5つの項目に分けて説明しています。
※2015年2月16日の「マイナンバー等分科会」において明らかになった改正案も反映した内容となっています。

1.個人情報の定義の明確化
2.有用性の確保
3.個人情報の保護の強化
4.個人情報保護委員会（仮）の新設
5.グローバル化への対応

以下、それぞれについて概要をまとめました。

<目次>

1.個人情報の定義の明確化
2.有用性の確保
- 匿名加工情報（仮称）の利活用
3.個人情報の保護の強化
4.個人情報保護委員会（仮称）の新設
- 個人情報保護委員会の権限
- 個人情報保護指針の作成への関与
5.グローバル化への対応

1.個人情報の定義の明確化

現行法では、個人情報とは、「生存する個人に関する情報であって、特定の個人を識別できるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）を言います（法第2条）」。※現在はリンク切れ。改正後のパンフレットはこちら

2014年12月に発表された骨子案では、「定義の拡充」とあり、氏名や生年月日といったいわゆる個人そのものを表す情報だけではなく、個人に付帯され、個人に容易に紐付けることが可能な符号（指紋データ、顔認識データ、携帯番号、旅券番号、運転免許証番号など）についても言及した形となっていました。

ただ、その適用範囲が不明確であるなどの懸念の声が大きかったこともあり、2月の改正案では定義の拡充については行わない方針のようです。ただし上記の「符号」に当たるような情報については、取扱業者で自主ルールを定めるなどの対応が必要とされています。

2.有用性の確保

有用性の確保の項は、企業が個人情報を利活用するためにはなにを守らなければならないかについて書かれています。
2014年の骨子では大きく2つでしたが、改正案では「個人情報の取得後の利用目的の変更は認めない」という方針としたため、大きくは「匿名加工情報の利活用」のみの追加です。

匿名加工情報（仮称）の利活用

匿名加工情報は、特定の個人を識別することができない形で、かつ復元が不可能な形で作成しなければならない。
作成した匿名加工情報を第三者に提供する場合は、その旨を公表する必要がある。

199_sibata_07

199_sibata_03

個人情報の取得後の利用目的の変更については、2014年12月の骨子では「利用目的の制限の緩和」となっており、議論を呼んでいた部分です。
内容は、個人情報は、取得の際に本人に変更の可能性を通知すれば（もしくは誰もが確認できる状態で公開すれば）、その後本人への通知なしに利用目的を変更できるというものでした。
2月の改正案では、本人への通知なしに利用目的を変更することは認められないとされました。ユーザーが自分のあずかり知らないところで個人情報のやりとりが可能になるため、不安を感じる部分に配慮されたのでしょう。
他方、匿名加工情報の第三者機関への届け出は不要になりました（取扱業者の公表は必要）。

3.個人情報の保護の強化

前項で記載されているような特例対象にならない、個人情報の定義や個人情報取扱業者の義務や努力義務などについて書かれています。
大きくは以下の7つです。

要配慮個人情報（仮称）の定義

要配慮個人情報（仮称）は、本人の同意を得ない取得は禁止。また、利用目的の制限の緩和など特例の対象からも除外される。
※要配慮個人情報とは本人の人種、信条、社会的身分、病歴、犯罪被害を受けた事実および前科・前歴など

第三者提供に関する義務

個人情報取扱事業者は、データベースを取得した経緯や提供の年月日、当該確認に関わる事項などの記録を作成し、一定期間保存しなければならない。

処罰の新設

個人情報を不正な目的で提供・盗用する行為を処罰対象とする（個人情報データベース提供罪）。

オプトアウト規定の見直し

本人の同意を得ない個人データの第三者への提供には、あらかじめ個人情報保護委員会に届け出た上で、本人に変更の可能性を通知（もしくは誰もが確認できる状態で公開）しなければならない。

小規模事業者の除外規定の廃止

情報量の少ない小規模事業者（5,000以下）についての、個人情報取扱事業者からの除外規定を廃止し、新たな監督対象とする。

個人情報取扱事業者に対する個人データ消去の努力義務

不要になった個人データは迅速に消去するよう努める。

個人情報取扱事業者に対する開示などの請求権の明確化

個人情報の本人が、個人情報取扱業者に対して開示・訂正および利用停止などを請求する権利の明確化。

199_sibata_04

4.個人情報保護委員会（仮称）の新設

前述までに何度も出てきている「個人情報保護委員会（仮称）」について、内閣府の外局機関として機能する機関であることと、その権限について書かれています。

個人情報保護委員会の権限

個人情報取扱事業者などに対する報告徴収および立入検査の権限を、事業所管大臣などに委任することができる。

個人情報保護指針の作成への関与

個人情報保護委員会は、認定個人情報保護団体が作成した個人情報保護指針を公表し、変更を命じることができる。

5.グローバル化への対応

日本国内だけではなく、国家間で個人情報をやりとりする場合の規定の整備について書かれています。
大きくは以下の3つです。

国境を越えた個人情報の取り扱いに対する適用範囲に関する規定の整備
外国執行当局への情報提供に関する規定の整備
国外の第三者への情報提供の制限

まとめると、

国内で取得した個人情報を海外で取り扱う場合も、国内と同様の規定が適用されること
日本と同等の水準の保護制度を有している国の間に限り、海外への第三者提供を可能とすること
他方、外国執行当局へ情報提供を行うことが可能ということを規定として明確化することが書かれています。

各項目でも述べた通り、大綱～骨子～改正案にいたる流れの中で、消費者と企業それぞれに配慮した内容にするべく、改善検討されています。骨子や改正案の内容を見る限り、個人情報の定義の見直し、オプトアウト規定の見直しや第三者提供の記録義務など、これまでの情報取得過程を見直さなければならないもの、フローを整備しなければならないものも多くありそうです。逆に、その目的などを公表しておけば許諾が不要になるものなどもあり、個人情報を取り扱う企業にとっては影響範囲が大きい改正になることは間違いありません。

個人情報保護法の各規定は3年ごとに見直しを行うという附則が追加されることもあり、個人情報の取り扱いは社会の状況に即したものに見直されていくようです。
引き続き当ブログでは、この法律改正についてキャッチアップしていきます。