個人情報の保護を強化
今回の改正では、匿名加工情報の取り扱い以外にも第三者提供についての規定が増えている。個人データを第三者に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成し、同規則で定める期間保存しなければならない。
第三者から個人データの提供を受ける場合は、個人情報保護委員会規則で定めるところにより、提供元の氏名又は名称及び住所並びに法人にあっては、その代表者(法人でない団体で代表者又は管理人の定めのあるものにあっては、その代表者又は管理人)の氏名、当該個人データの取得の経緯を確認しなければならない。
また、当該個人データの提供を受けた年月日、当該確認に係る事項などを記録しなければならない。これらは不正に持ち出された個人情報について(いわゆる名簿屋などを経由して)本人の意図しない流通が起きることを防止するためのものである。
また、不正な利益を図る目的による個人情報データベース提供罪が新設されているのも大きな修正と言えるだろう。これは個人情報取扱事業者、もしくはその従業者(過去従業者であった者を含む)が、その業務に関して取り扱った個人情報データベースなど(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、一年以下の懲役又は五十万円以下の罰金に処するというものである。
現行の民間事業者に対する個人情報保護法では、内部関係者が個人情報の持ち出すことによる情報漏えい事件を直接的に処罰することができなかった。(行政機関むけの個人情報保護法については現行法でも不正な持ち出しなどに対して直接の罰則がある。)
また、形のない「情報」は「財物」でないため、刑法上の窃盗にも問われないことから、近年では不正競争防止法違反で検挙されているケースが多い。こうした背景から直接的な罰則を導入したものと思われる。
個人情報保護委員会の新設及びその権限
今回の改正の最大の「目玉」の1つがこの個人情報保護委員会の新設であろう。1月から「行政手続における特定の個人を識別するための番号の利用等に関する法律」、いわゆる番号法(マイナンバー法)に基づく特定個人情報保護委員会が設置されているが、これが改組されて個人情報保護委員会になると想定されている。
改正案では「内閣府設置法(平成十一年法律第八十九号)第四十九条第三項の規定に基づいて、個人情報保護委員会(以下「委員会」という。)を置く。」とされており、内閣総理大臣の所轄となっている。
改正によって新設された各種の制度などについては、個人情報保護委員会が規則として詳細を定めることになっている部分が多い。
また立ち入り調査権を含む、強い権限が付与される予定であり、現在は各産業分野ごとに主務大臣が行っている監督業務を一元的に集約して担うことになる(欧州ではEUデータ保護指令によって各国のデータ保護機関にはこうした強い権限が与えられており、国際的なバランスも考慮されていると思われる)。