treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

改正個人情報保護法5月30日全面施行開始

なんだか漢字ばっかりのタイトルになってしまっていますが…。
セキュリティ関連の担当者にとって個人情報保護法は全く無関係というわけにはいかない法律の一つです。
これが5月30日から改正されたらしいのでご報告します。

個人情報保護法

個人情報保護法はご存知の方も多いと思いますが、要するに誰か情報を別の人が勝手に利用できないようにしている法律です。だからといって現実に流通した個人情報が法律通り厳格に運用されているわけではありませんが。(いや法律が緩いじゃないかっていう意見もちらほら)
こういう無駄話はさておきまして、改正個人情報保護法です。

個人情報ってのは法律では「生存する個人に関する情報」を指していて、氏名や生年月日などの情報から特定の個人を識別することができる情報」を指して個人情報と定義されています。加えて「他の情報と容易に照合することができ、それにより特定の個人を識別することができる情報」も含める、とされています。

改正で気になった点

「すべての事業者が個人情報保護法の適用対象となる」
という改正点が一番大きいような印象があります。いままでは「5000件以上の個人情報を保有する事業者が対象」とされていました。詳しくは「その事業の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人の数の合計が過去六カ月以内のいずれの日においても五千を超えない者とする」という定義が従来にはあって、要するに保有する個人情報が5000人分に満たない企業は対象外とされていました。
これが、保有する個人情報が5000件に満たないような小規模事業者であっても個人情報保護法の適用対象になる、という改正になります。
しかも企業だけじゃなくて、非営利な団体や個人事業主のような法人外(個人の事業)であっても、事業者に該当するようになります。

新たな個人情報として、指紋(指紋認証データ?)とかマイナンバーとかが加わりました。そういや、ザ・個人情報とも言えるマイナンバーって個人情報保護法施行時はありませんでしたからね。また指紋情報も特定個人を識別する情報として指定されるようになりました。社内のユーザの指紋認証デバイスをサーバに保管している、ってな仕組みの認証サーバなんぞを運用していると「そのサーバには個人情報が保管されています」なんて言われそうですね。

個人情報じゃない情報

新たに個人情報に仲間入りする情報がある中で、個人情報じゃないことにされた情報もあります。
加工して匿名化された個人情報は情報主体の同意なく第三者利用可能、という点ですね。
企業が保有する個人情報は誰か特定できないようにしてしまえば第三者利用が可能になるという情報の取り扱い方法の改正です。
ビッグデータの取り扱いに配慮したような改正ですね。データが特定されないよう匿名になっていれば、個人情報の持ち主の同意なく情報を利用していいですよ、という利用上の制限を緩めた感じですね。

ん?非営利も対象?

前段でサラッと流してしまいましたが、自治会とかPTAみたいな非営利であっても対象になる、という改正になりました。

てことは、学校行事とかで何か役を仰せつかって居たら、今回の改正の影響を受けるかもしれません。

とりあえず、これを見ておけば何をやらなきゃいけないか、何をやらなくていいか、が分かるかな…?

■自治会・同窓会向け、会員名簿を作るときの注意事項(個人情報保護法の改正に伴う対応について)

http://www.ppc.go.jp/files/pdf/meibo_sakusei.pdf

とりあえず、個人情報収集時の利用目的の範囲内での扱いであれば、情報を再取得したり新たに情報主体に同意を取ったりしなくても大丈夫みたいです。