個人情報保護法改正後のデータ活用法

個人情報保護法改正での実務の変化--データベース提供罪の新設 - (page 2)

北野晴人

2015-09-07 07:00

 現行法のもとでは、プライバシーマークの規格である「JISQ15001:2006」に慎重に扱われるべき情報を指す「機微情報」の定義があるものの、個人情報の種類や性質、機微度などによる法的な定義の差はなかった(情報漏えいが起きて損害賠償の裁判になった場合には、情報の性質によって慰謝料などに差がある)。

 そのため、何らかのトラブルが起きる場合、どちらかと言うと機微度に関する問題が取り上げられるよりも、特定の情報(例えば電車の乗降履歴)について「この情報は個人情報として扱うべきか否か」という点が問題になることの方が多かった。

 しかし改正案が可決・成立して施行された後、個人情報の収集を伴う業務を行う際には人種、信条、社会的身分、病歴、犯罪の経歴などを指す「要配慮個人情報」に相当しないかという点について確認する必要があり、もし要配慮個人情報に相当する場合は収集する前にあらかじめ、その旨の同意を得なければならない。

 また、第三者提供を行う場合、現行法ではいわゆるオプトアウト方式が認められているが、要配慮個人情報についてはこれが認められていないことにも注意が必要である。実務的には企業や当該サービスのウェブページなどに必要事項を掲載し、「本人が容易に知り得る状態に置いている」として要配慮個人情報を含む個人データを第三者に提供する、といったことはできない。この点は以下の条文で示されている。

 改正案条文:

 (第三者提供の制限)

 第二十三条 (略)

 2 個人情報取扱事業者は、第三者に提供される個人データ(要配慮個人情報を除く。以下この項において同じ)について、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、個人情報保護委員会規則で定めるところにより、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。

 実際は要配慮個人情報を収集・利用するケースはあまり多くないと考えられるが、病歴などは注意する必要があるだろう。例えば、この12月には「労働安全衛生法の一部を改正する法律」が施行され、50人以上の労働者を有する職場でのストレスチェックが義務化される。

 それに伴い、多くの企業でメンタルヘルス関連の相談窓口や初期対応を外部の専門企業に委託することが想定されている。このような場合には委託元、委託先、連携する医療機関を含めた枠組みの中で、相談内容や病歴などの情報について、受付(情報取得)時の同意の取得や、組織間での共有方法などについて確実に検討しておく必要がある。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  3. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  4. 開発

    「スピード感のある価値提供」と「高品質な製品」を両立させるテスト会社の使い方

  5. セキュリティ

    「どこから手を付ければよいかわからない」が約半数--セキュリティ運用の自動化導入に向けた実践ガイド

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]