企業法務2017年04月27日 まもなく施行！改正個人情報保護法 執筆者：北山昇

　改正個人情報保護法が平成２９年５月３０日に全面施行される。平成１７年の個人情報保護法の施行から１０余年が経過したが、その間、情報通信技術の発展はめざましく、ビッグデータの収集・分析が可能となったことで、個人情報保護法の制定時には想定されていなかったような情報の利活用がされるようになった。その一方で、ビッグデータに含まれる個人に関する情報について、どの範囲まで自由な利活用が許容されるのか不明確なグレーゾーンが発生し、利活用が躊躇される局面が生じるようになった。今回の改正は、このようなグレーゾーンを解消し、ビッグデータの利活用を促進しつつ、個人の権利利益が適切に保護される規律を整備するものである。その観点から、改正個人情報保護法では、個人識別符号・要配慮個人情報等、個人情報の定義の明確化、匿名加工情報の利活用の規定の創設等がされ、また、いわゆる名簿屋対策としてのトレーサビリティの確保に関する制度も導入された。
　さらに、改正個人情報保護法は、従来、取り扱う情報の数が５０００人分以下である事業者を規制の対象外としていた制度を廃止し、取り扱う個人情報の数量の多寡を問わず、個人情報をデータベース化して事業に用いる事業者を個人情報取扱事業者として、法律上の義務を課すことにした。これにより、従来は、個人情報取扱事業者としての義務を負わなかった中小規模の事業者も、安全管理措置をはじめとした社内体制を整備する必要があり、大きな影響が予想されるところである。
　改正個人情報保護法は、規律の詳細の多くを政令や個人情報保護委員会規則に委ねており、改正法成立から１年以上が経った平成２８年１０月に、ようやく個人情報保護法施行令及び個人情報保護法施行規則が公布され、それに続いて、個人情報保護委員会が作成したガイドラインが公表された。ガイドラインは「通則編」が作成されているほか、改正個人情報保護法により、新たに設けられた規律である「外国にある第三者への提供」「第三者提供時の確認・記録義務」「匿名加工情報」について、特化して分かりやすく一体的に示す観点から、それぞれ別にガイドラインが作成され、公表されている。さらに、平成２９年２月１６日には、個人情報保護委員会から、「個人データの漏えい等の事案が発生した場合等の対応について」および「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ＆A」が発表されている。
　各個人情報取扱事業者は、施行に向けて、上記改正個人情報保護法令及びガイドライン等の内容を踏まえて規程類や社内体制を整備する必要があるが、法令やガイドラインはその内容が多岐に亘り、容易に理解できない点もあると思われる。また、EU保護規則に代表されるように、グローバル企業は、改正法だけでなく、ビジネスを展開するすべての国の個人情報保護・プライバシー保護法制への対応も見据える必要がある。そのため、改正法の施行に向けては、単に改正法に対応するだけでなく、グローバルな個人情報保護・プライバシー保護法制への対応をも見据えた規程類や社内体制の整備が必要と思われる。そのため、個人情報取扱事業者は、改正個人情報保護法令及びガイドラインの内容を正確に理解し、また、グローバルな対応に備えるため、世界各国の個人情報保護・プライバシー保護に精通した法律実務家に適宜助言を求める等して、適切な対応を行っていく必要がある。

（２０１７年４月執筆）