改正個人情報保護法が、平成29年5月30日より全面施行されます。
これまでは取り扱う個人情報の数が5000以下の事業者には、個人情報保護法が適用されていませんでした。
この度、改正法の全面施行によって、適用除外の規定が撤廃されます。
個人情報を取り扱う事業者はすべて個人情報取扱事業者として法規制の対象になります。
企業は、個人情報保護法の内容を正しく理解し、社内体制の整備をする必要があります。
以下では、改正事項のひとつである「要配慮個人情報」について、ご説明します。
要配慮個人情報とは?
改正個人情報保護法では、「要配慮個人情報」が新設されました。
「要配慮個人情報」とは、心身の機能障害や健康診断結果、刑事事件に関する手続きが実施されたことなど、本人に不当な差別や偏見などが生じないように特に配慮が必要な情報をいいます。
- 本人の人種、信条
- 社会的身分、病歴、
- 犯罪の経歴、犯罪被害の事実
などがあります。
これらの情報に関しては、通常の個人情報と異なり、以下の事項が定められています。
(1)原則、本人の同意が無い場合は取得禁止
通常の個人情報を取得する場合には、本人の同意は求められていません。但し、あらかじめ利用目的を公表し、又は取得後に速やかに本人に利用目的を通知し、若しくは公表する必要があります。
これに対して、要配慮個人情報に関しては、本人に対する不当な差別又は偏見が生じないように、人種、信条、病歴等が含まれる個人情報については、本人同意を得て取得することが原則義務化されました。
(2)オプトアウトによる第三者提供は認められない
本人同意を得ない第三者提供(オプトアウト)が禁止されました。
要配慮個人情報に当たる個人データは、その他の個人データと異なり、オプトアウト手続きによる第三者提供をすることができません。
企業に求められる対応は?
企業は、「要配慮個人情報」の取り扱いの有無、内容を確認したうえで、規制(上記(1)、(2)等)に違反しないよう、同意の取得など対応する必要があります。
改正個人情報保護法で知っておきたいことはこちら!
・改正個人情報保護法「個人情報の定義」が明確化。企業に求められる対応は?
・改正個人情報保護法「小規模事業者も対象に」5,000件要件の撤廃