改正個人情報保護法が、平成29年5月30日より全面施行されます。
これまでは取り扱う個人情報の数が5000以下の事業者には、個人情報保護法が適用されていませんでした。
この度、改正法の全面施行によって、適用除外の規定が撤廃されます。
個人情報を取り扱う事業者はすべて個人情報取扱事業者として法規制の対象になります。
ほとんどの事業者が対象になるでしょう。
企業は、個人情報保護法の内容を正しく理解し、社内体制の整備をする必要があります。
改正個人情報保護の概要は以下になります。
小規模取扱事業者への対応(5000件要件の撤廃)
取り扱う個人情報が5000人分以下の事業者へも個人情報保護法を適用。
個人情報の定義の明確化
「個人識別符号」を新設。
特定の個人の身体的特徴を変換したもの(顔認識データなど)は特定の個人を識別する情報であるため、これを個人情報として明確化。
要配慮個人情報
「要配慮個人情報」を新設。
本人に対する不当な差別又は偏見が生じないように、人種、信条、病歴等が含まれる個人情報については、本人同意を得て取得することを原則義務化。本人同意を得ない第三者提供(オプトアウト)を禁止。
匿名加工情報
「匿名加工情報」を新設。
特定の個人を識別できないように個人情報を加工したものを匿名加工情報と定義。匿名加工情報の取扱規制を設ける。
利用目的の制限の緩和
個人情報を取得した時の利用目的から新たな利用目的へ変更することを制限する規定の緩和。
オプトアウト規定の厳格化
オプトアウト規定による第三者提供をしようとする場合、データの項目等を個人情報保護委員会へ届け出。個人情報保護委員会は、その内容を公表。
トレーサビリティの確保
受領者は提供者の氏名やデータ取得経緯等を確認、記録し、一定期間その内容を保存。また、提供者も、受領者の氏名等を記録し、一定期間保存。
データベース提供罪
個人情報データベース等を取り扱う事務に従事する者又は従事していた者が、不正な利益を図る目的でその個人情報データベース等を第三者に提供し、又は盗用する行為を処罰。
改正個人情報保護法で知っておきたいことはこちら!
・改正個人情報保護法「個人情報の定義」が明確化。企業に求められる対応は?
・改正個人情報保護法「小規模事業者も対象に」5,000件要件の撤廃
