また、写真などの画像・映像については今後、要配慮個人情報か否かについての検討が必要になる場合があるかもしれない。なぜなら個人の姿が写っている写真には、肌の色が写っていて黒人・白人など大まかな人種が判別できる場合や、健康状態等が判別できる場合があり、その場合は要配慮個人情報とみなされる可能性があるからである。EUデータ保護指令では、こうした情報を含む写真データは「sensitive data」であるとしていることなどを考慮すると、個人情報としての画像データを取り扱う場合は留意が必要となる可能性がある。
個人情報保護委員会の新設
改正案の大きな特徴の一つが個人情報保護委員会の新設である。実務的にも個人情報保護委員会に関わる変化が少なからず発生すると考えられるが、特に目新しいポイントを以下に取り上げたい。
データを第三者に提供する際の届出
既に示した第二十三条では、第三者に提供する場合、個人情報保護委員会に届け出なければならない。また、個人情報保護委員会は届け出があった場合にはこれを公表することになっている(具体的な公表方法はまだ明らかになっていないがウェブサイトでの公開などが予想される)。
また、改正案の条文で修正されているわけではないが、2014年の経済産業省の個人情報保護ガイドライン(「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」)の改定において、従来ルールがあいまいと言われていた共同利用の運用がより明確になっている。その結果、従来は共同利用だとしていた事業者が第三者提供に移行するケースなどがあり、今後は第三者提供の枠組みを使うケースが増える可能性がある。その場合には常に個人情報保護委員会への届け出が必要になるのである。
報告と立入検査
個人情報や匿名加工情報の取り扱いに問題があると判断された場合、現行法では主務大臣が報告の徴収や、勧告、命令を行うことができるが、改正案では新たに個人情報保護委員会に、立入調査権を含む強い権限を与えている。
改正条文:
(報告及び立入検査)
第四十条 個人情報保護委員会は、前二節及びこの節の規定の施行に必要な限度において、個人情報取扱事業者又は匿名加工情報取扱事業者(以下「個人情報取扱事業者等」という。)に対し、個人情報又は匿名加工情報(以下「個人情報など」)の取扱いに関し、必要な報告若しくは資料の提出を求め、又はその職員に、当該個人情報取扱事業者等の 事務所その他必要な場所に立ち入らせ、個人情報等の取扱いに関し質問させ、若しくは帳簿書類その他の物件を検査させることができる。
このことから、今後重大な個人情報漏えい事件を起こした場合などには、警察などの法執行機関が捜査があるだけではなく、個人情報保護委員会からの立入検査を受ける可能性があると考えておかなければならない。これはあくまで警察などの捜査とは別のものであり、改正案の同条第三項では、立入検査の権限は犯罪捜査のために認められたものではない旨が明記されている。
