個人情報の取扱いのグローバル化
個人情報やプライバシーの保護がグローバルな潮流となる中で、海外の法制度とのバランスを考慮した改正が行われている。その大きなポイントは海外への提供の制限を新設したことであろう。
改正案の新24条では「外国にある第三者への提供の制限」として、以下の2つの条件をどちらも満たさない外国の第三者に個人情報を提供する場合には、「外国の第三者に情報を提供する」ことについて本人から同意を得なければならない、としている(以下2つのどちらかを満たせばよい)。
- 日本と同等の水準で個人情報が保護されていると認められた国にある
- 日本の個人情報取扱事業者と同じような個人情報保護の体制を整備していると認められている
国外や域外への個人情報の持ち出しを禁じている法律としてはEUのデータ保護指令が有名であるが、近年マレーシア、シンガポールなど、アジア各国の法律も個人情報の国外持ち出しを禁じていることから、今後こうした規制は各国に広まっていくであろう)。
日本の法制度もこれらと整合性を取る形で改正されることになる。
その他改正事項
現行法と変わるポイントは他にも以下のような点がある。
- 本人の同意を得ない第三者提供(オプトアウト規定)を行う場合は、個人情報保護委員会への届出が必要になる。また届出に関わる事項は個人情報保護委員会によって公表される。
- 従来は取り扱う個人情報が5000人以下の小規模取扱事業者は「個人情報取扱事業者」から除外されていたが、その根拠となる条文「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」という部分が削除されており、全ての事業者に適用されることとなった
このように、個人情報保護法の改正は多くの変更点を含んでおり、実際に個人情報を取り扱う業務の現場にもさまざまな影響を及ぼすと考えられる。法案が予定通りに可決、成立し、2016年に施行されるとすれば、それまでにその影響範囲と対応の方法を十分に検討しておく必要があるだろう。
また、一定のルールが決まることで、ビッグデータ分析など、情報の活用が促進され、産業振興や国際競争力の向上に寄与することが期待される。
- デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員 北野晴人
- 二種通信事業者、外資系通信機器ベンダーなどを経て、2001年から2013年春までリレーショナル・データベース、アイデンティティ管理を中心にセキュリティ関連製品の販売戦略・ビジネス開発などを担当。その後、セキュリティ技術と法律、マネジメントをつなぐコンサルティングを提供中。情報セキュリティ大学院大学博士前期課程修了(情報学)、(ISC)2アジア・パシフィック・アドバイザリーボードメンバー。公認情報システムセキュリティプロフェッショナル(CISSP)日本行政情報セキュリティプロフェッショナル(JGISP)