改正個人情報保護法とは？改正ポイントと対応方法を総解説

個人情報保護法とは

「個人情報の保護に関する法律」（以下「個人情報保護法」）は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人の権利利益を保護することを目的として平成15年5月30日に公布され、平成17年4月1日に全面施行された法律である。

その後、情報通信技術の発展や事業のグローバル化等の急速な環境変化により、個人情報保護法施行当時想定されていなかった、以下のような点に対応することを目的として、平成27年9月9日に改正個人情報保護法が公布され、平成29年5月30日に全面施行される。

• 個人情報に該当するかどうかの判断が困難な「グレーゾーン」の拡大
• パーソナルデータを含むビッグデータの適切な利活用ができる環境の整備の必要性
• 国境を越えたパーソナルデータの流通等

▼筆者：伊藤真弥氏の関連著書
アジアにおけるシンジケート・ローンの契約実務と担保法制

改正個人情報保護法のポイント① 個人識別符号

個人情報保護法の改正前、個人情報とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などにより特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう」ものとされていた。

改正前個人情報保護法第2条第1項。

改正個人情報保護法では、個人情報の範囲自体は変わらないものの、情報の性質上、特定の個人を識別することができるものを新たに「個人識別符号」として定義している。

改正個人情報保護法第2条第2項。

「個人識別符号」とは、基本的に以下2つのどちらかに該当するものをいう。

1. 身体の一部の特徴を電子計算機のために変換した符号
2. 役務の利用や書類において対象者ごとに割り振られる符号

具体的には、政令で定められることとされているが、例えば①の身体の一部の特徴として、DNAを構成する塩基の配列、顔の骨格、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋が挙げられる。

また、②として旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証などが挙げられる。

金融分野に関連するものとして、クレジットカードや口座番号については、様々な契約形態や運用実態があり、およそいかなる場合においても特定の個人を識別することができるとは限らないことなどから個人識別符号としては位置づけられていない。

「「個人情報の保護に関する法律についてのガイドライン」および「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A」（以下「Q&A」）1-22）。

ただ、このような番号も、氏名や住所などと容易に照合できて特定の個人を識別することができる場合には、個人情報に該当することになるので、留意が必要である。

改正個人情報保護法のポイント② 要配慮個人情報

改正個人情報保護法では、個人情報のうち、本人の人種、信条、病歴など本人に対する不当な差別または偏見が生じる可能性のある個人情報を「要配慮個人情報」と規定している。

改正個人情報保護法第2条第3項。

要配慮個人情報については、改正個人情報保護法において一段厳しい規律が課されており、その取得の場合に原則として本人の同意を取得すること（※1）や、いわゆるオプトアウトによる第三者提供が禁止されること（※2）などが盛り込まれた。

1.改正個人情報保護法第17条第2項。
2.改正個人情報保護法第23条第2項。

金融機関の場合、現行の「金融分野における個人情報保護に関するガイドライン」において、機微（センシティブ）情報が規定されているが、改正個人情報保護法の下での「金融分野における個人情報保護に関するガイドライン」では、この要配慮個人情報と機微情報を合わせて新たに機微（センシティブ）情報を定義し、この取扱いにつき、より厳格な対応を要請しているため、留意する必要がある。

改正個人情報保護法のポイント③ 匿名加工情報の導入

情報通信技術の進展により、膨大なパーソナルデータが収集・分析される、いわゆるビッグデータ時代に対応した、ビッグデータの利活用の促進を図るため、改正個人情報保護法では「匿名加工情報」の概念が導入された。

匿名加工情報とは、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。

この匿名加工情報の取扱いについては、基本的に個人情報の取扱いよりも緩やかな規律（第三者提供時の公表等）を適用するものとし、流通・利活用の促進を図っている。

匿名加工情報を作成したときには、個人情報保護委員会規則で定めるところにより、当該匿名加工情報に含まれる個人に関する情報の項目を公表することが必要だが、「匿名加工情報を作成したとき」とは、匿名加工情報として取扱うために、個人情報を加工する作業が完了した場合のことを意味するものとされている。

「個人情報保護法ガイドライン（匿名加工情報編）」3－4。

すなわち、あくまで個人情報の安全管理措置の一環として一部の情報を削除しあるいは分割して保存・管理する等の加工をする場合または個人情報から統計情報を作成するために個人情報を加工する場合などを含むものではないため、留意する必要がある。

改正個人情報保護法のポイント④ 適正な個人情報の流通を確保

改正個人情報保護法では、頻発する情報漏えいおよびいわゆる名簿屋対策を目的として、個人データの第三者提供にかかる確認記録作成などが義務化された。

改正個人情報保護法第25条第1項。

また、個人情報データベースなどを不正な利益を図る目的で第三者への提供、または盗用する行為が処罰の対象となった。

改正個人情報保護法第83条。

記録の対象となる提供は、原則として以下2点である。

• 本人同意に基づく第三者提供
• オプトアウト手続による第三者提供

そもそも第三者提供が可能な場合（法令に基づく場合、人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき等）や、委託を伴う提供や共同利用などは記録の対象外となる。

また、この他にも個人情報の保護に関する法律についてのガイドラインでは、解釈により確認・記録義務が適用されない第三者提供の類型が以下のとおり記載されている。

第三者提供時の確認・記録義務編。

1. 本人による提供の場合
   （例えば、SNS上で、投稿者のプロフィール、投稿内容等を取得する場合）
2. 本人に代わって提供する場合
   （例えば、事業者が、顧客から電話で契約内容の照会を受けたため、社内の担当者の氏名、連絡先等を当該顧客に案内する場合）
3. 本人と一体と評価できる関係にある者に提供する場合
   （例えば、金融機関の営業員が、家族と共に来店した顧客に対して、保有金融商品の損益状況を説明する場合）
4. 不特定多数の者が取得し得る公開情報を提供する場合
   （例えば、ホームページ等で公表されている情報、報道機関により報道されている情報などを提供する場合）

なお、第三者提供の記録は、文書、電磁的記録またはマイクロフィルムを用いて作成する方法とされており（※1）、提供する側の義務として、「個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他個人情報保護委員会規則で定める事項に関する記録」を作成しなければならないものとされている。（※2）

1.改正個人情報保護法施行規則第12条第1項。
2.改正個人情報保護法第25条。

また、受領者側も第三者から個人データの提供を受けるに際し、提供元の氏名等や取得経緯等の確認記録義務が追加された。

改正個人情報保護法第26条。

改正個人情報保護法のポイント⑤ 個人情報の取扱いのグローバル化

改正個人情報保護法では、企業が海外で活動している実態に鑑み、外国にある第三者に対する個人データの提供に関する規定が設けられた。

改正個人情報保護法第24条。

具体的には、原則として本人の同意を得なければ外国にある第三者に個人データを提供することができないものとしつつ、以下2点に該当する場合には、当該第三者への提供が可能とされている。

1. 当該第三者が個人情報保護委員会によって、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として」定められている国に所在する場合
2. 当該第三者が、個人情報保護委員会規則に定める基準に適合する体制を整備している場合、および、改正個人情報保護法第23条1項各号に該当する場合

「本人の同意」とは、本人の個人データが、個人情報取扱事業者によって第三者に提供されることを承諾する旨の当該本人の意思表示をいうものとされており、本人の権利利益保護の観点から、外国にある第三者に個人データを提供することを明確にした上での承諾であることが必要とされている。

「個人情報の保護に関する法律についてのガイドライン（外国にある第三者への提供編）」（以下「外国第三者ガイドライン」）2-1。

さらに、「外国にある第三者」の「第三者」とは、個人データを提供する個人情報取扱事業者と当該個人データによって識別される本人以外の者であり、外国政府などもこれに含まれるものとされている。

外国第三者ガイドライン2-2。

法人の場合には、個人データを提供する者と別の法人格を有するかどうかで第三者への該当性が判断されることになる。

例えば、日本企業が外国で設立された別個の法人格を有する子会社に対して個人データを提供する場合には、「外国にある第三者」への提供に該当することになるが、別個の法人格を有さない単なる外国所在の支店に提供する場合には、「外国にある第三者」への提供に該当しないため留意する必要がある。

また、外国の法令に準拠して設立され外国に住所を有する外国法人であっても、当該外国法人が「個人情報取扱事業者」である場合には、「外国にある第三者」には該当しなないものとされている。

改正個人情報保護法第2条第5項。

例えば、日系企業の東京本店が外資系企業の東京支店に個人データを提供する場合、当該外資系企業の東京支店は「個人情報取扱事業者」に該当し、「外国にある第三者」には該当しないため、留意する必要がある。

外国にある第三者提供が可能な場合として前述した①にいう「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として」定められている国については、現時点で特に定められていない。

また、②にいう「個人情報保護委員会規則に定める基準に適合する体制」については、以下の2つの基準が挙げられている。

• 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第4章第1節の規定の趣旨に沿った措置の実施が確保されていること。
• 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。

改正個人情報保護法規則第11条。

「適切かつ合理的な方法」は、個々の事例ごとに判断すべきだが、外国にある第三者が、日本の個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずることを担保することができる方法である必要があるものとされている。

外国第三者ガイドライン3-1。

外国第三者ガイドラインでは、例として、外国にある事業者に個人データの取扱いを委託する場合には、提供元および提供先間の契約などが挙げられており、同一企業グループ内で個人データを移転する場合には、提供元および提供先に共通して適用される内規やポリシーなどが挙げられている。

「国際的な枠組みに基づく認定」については、アジア太平洋経済協力（APEC）の越境プライバシールール（CBPR）システムの認証を得ている場合が該当するものとされている。

改正個人情報保護法のポイント⑥ その他

改正個人情報保護法では、外国にある個人情報取扱事業者のうち、国内にある者に対する物品または役務の提供に関連してその者を本人とする個人情報を取得した者が、外国においてその個人情報または当該個人情報を用いて作成した匿名加工情報を取り扱う場合に、一定の改正個人情報保護法上の義務が課されるものとされている。

例えば、外国のインターネット通信販売業者が、日本の消費者からその個人情報を取得し、商品を販売・配送する場合や、外国のメールサービス提供事業者が、アカウント設定等のために日本の消費者からその個人情報を取得し、メールサービスを提供する場合などが該当するものとされている。

金融機関においても、海外から国内にある者に対するサービスの提供などを行っている場合には、上記のような域外適用があり対応が必要になるため、留意する必要がある。

• 利用目的の特定（改正個人情報保護法第15条）
• 利用目的による制限（改正個人情報保護法第16条）
• データ内容の正確性の確保（改正個人情報保護法第19条）や安全管理措置等（改正個人情報保護法第20条）

まとめ

以上のように、改正個人情報保護法は、金融機関に対しても種々の影響を及ぼすものである。上記以外にも種々のガイドラインが出ており、また、個人情報保護委員会からは、Q&A等も出している。

今後の対応については、適宜これらを確認しながら進めていく必要があると共に、今後の状況に応じたガイドラインなどの見直しにも注目していく必要がある。

▼筆者：伊藤真弥氏の関連著書
アジアにおけるシンジケート・ローンの契約実務と担保法制