約10年ぶりの改正:新しい個人情報保護法とその影響 後編 ブックマークが追加されました
ナレッジ
約10年ぶりの改正:新しい個人情報保護法とその影響 後編
個人情報保護法が、2015年9月、約10年ぶりに改正され、今後2年以内の施行が見込まれています。後編では、前回からの続きとして「トレーサビリティの確保と個人情報データベース等提供罪の新設」及び「国境を越えた適用、越境データに関する規制」に関し企業にかかわる部分を中心にポイントを概説します。
目次
- 約10年ぶりの改正:新しい個人情報保護法とその影響 後編
- トレーサビリティの確保と個人情報データベース等提供罪の新設
- トレーサビリティの確保のための主な義務
- 第三者提供における記録
- 国境を越えた適用、越境データに関する規制
約10年ぶりの改正:新しい個人情報保護法とその影響 後編
後編では、前回からの続きとして「トレーサビリティの確保と個人情報データベース等提供罪の新設」及び「国境を越えた適用、越境データに関する規制」に関し企業にかかわる部分を中心にポイントを概説します。
トレーサビリティの確保と個人情報データベース等提供罪の新設
昨年(2014年)、いわゆる名簿屋を介して、不正に持ち出された個人データ※1が大量に流通していることが大きな問題となりました。改正前の現行法では、個人データを提供する者がそれをどこから取得したのか明らかにすることや、受け取った者が適正な取得であったのを確認することが義務付けられておらず、個人データの不正な流通を予防したり、その状況を把握したりすることが困難な状況でした。このため、そのような不正な流通の予防や状況の把握のため、改正後の個人情報保護法では次の事項が新設されました。※1 個人情報データベース等を構成する個人情報
トレーサビリティの確保のための主な義務
第三者提供における記録
記録事項や記録の方法、保存期間等の詳細は、個人情報保護委員会が定める規則等により明らかにされる見込みです。なお、第三者への提供が委託や共同利用にあたる場合には、記録の作成や保存の義務はないとされています。
また、個人データの意図しない流通を予防するための対応として、「個人情報データベース提供罪」が新設されました。個人情報データベース等を取り扱う者※2が、個人データベース等を持ち出し、不正な利益を得る目的で提供又は盗用した場合、改正後の個人情報保護法では直接罰の対象になり、1年以下の懲役又は50万円以下の罰金が科せられるとされています。
国境を越えた適用、越境データに関する規制
インターネットに代表されるITの発展や企業活動のグローバル化などにより、国境を越えた個人情報の取扱いが活発に行なわれるようになりました。例えば、ネットショッピングのサービスにおいて日本国内の居住者の個人情報を外国の事業者が取得したり、国内の居住者の個人情報に関する情報処理を外国にある委託先に国内の事業者が委託したりすることなどが挙げられます。
また、欧州では、かねてよりEUデータ保護指令において、第三国に個人データを移転する際、移転先の国が十分な保護水準であることを求める規定があり、EU側がその水準に達しているか認定することになっています。本稿の執筆時点では、日本はまだそのような十分な保護水準を有していると認められていません。
このような状況を踏まえ、改正後の個人情報保護法では、外国にある第三者への個人データ提供制限、国境を越えた法の適用(域外適用)、外国執行当局への情報提供を定めています。ここでは、日本企業に特に関係すると考えられる、外国にある第三者への個人データ提供制限について紹介します。 そもそも改正後の個人情報保護法における「外国」については、「我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものは除く」とされています。また、「外国にある第三者」については、「個人情報保護委員会規則で定める基準に適合する体制を整備している者」を含まないとされています。これらを踏まえ、外国にある第三者への個人データの提供には、次の3つのケースがあると考えられます。
個人情報の越境移転
[1]委員会規則により、移転先の国が日本と同等の水準の制度があると定められている場合
[2]委員会規則により、移転先の国が日本と同等の水準の制度があるとされていないものの、提供先の事業者が同規則で定める基準に適合する保護体制を整備しているとされる場合
[3]上記[1][2]のいずれでもない場合
移転のための具体的な方法については、上記[1][2]の場合、、国内と同様の提供方法(第三者提供の同意、オプトアウト手続、委託、共同利用や合併等)により提供できるとされています。一方で、上記[3]の場合には、外国の第三者への提供を認める旨の本人による同意を得なければならないとされています。
サイバー・情報セキュリティについて、詳しくは以下のメニューからお進みください
サイバー・情報セキュリティTOP
サイバーセキュリティマネジメントサービス 一覧
プライバシー・個人情報保護サービス 一覧
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。