本稿では5月21日に衆議院で可決された、「個人情報の保護に関する法律」、いわゆる個人情報保護法の改正案(個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案)について、前回に引き続きビジネスの現場にどのような実務的な影響を与えるのかについて検討する。
なお、改正案については後日政令によって確定する部分があるなど、まだ不確定な要素を含んでいることをご了承頂きたい。また、本稿は私見であり、所属組織などの公式見解ではない。
要配慮個人情報の新設
改正案では新たに「要配慮個人情報」が新設されており、収集する場合は原則、本人から同意を得なければならない。条文では以下のように定義されている。
改正案条文:
(定義)
第二条
(略)
3 この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
(適正な取得)
第十七条
(略)
2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
五 当該要配慮個人情報が、本人、国の機関、地方公共団体、第七十六条第一項各号に掲げる者その他個人情報保護委員会規則で定める者により公開されている場合
六 その他前各号に掲げえる場合に準ずるものとして政令で定める場合
これは欧州のEUデータ保護指令における「special categories of data」「sensitive data」と呼ばれているものと似ている。EUデータ保護指令では人種、民族、政治的見解、宗教、思想、信条、労働組合への加盟に関する情報を漏えいする個人データの処理、もしくは健康又は性生活に関するデータの処理を原則、禁止している。
