Q5、個人情報の保護強化にはどのような配慮がされていますか。
A5、
もともと個人情報取扱事業者は、法令に基づく場合等の他、予め本人の同意を得ないで個人データを第三者に提供できないとされています(もっとも、委託先や事業承継に伴う提供、グループによる共同利用は「第三者」に該当しないとされています)。
しかし、データベース事業のように、事前に本人の同意を得ることは非現実的であっても、社会的に有用性が認められる事業が存在します。そこで、従前の個人情報保護法では、事業者が個人情報を第三者に提供しようとした場合、一定の手続きのもと、本人からの反対がない限りこれに同意したものとみなして、個人情報を第三者に提供できる仕組み(これを「オプトアウト」手続といいます)が規定されていました。
ところが、近時この制度は形がい化しており、名簿業者等によって濫用されているとして、批判が増加していました(例えば平成26年のベネッセ個人情報流出事件では2070万件の個人情報が名簿業者に流出したとされています)。
そこで、改正法では、
①本人の求めに応じて第三者提供を停止すること
②法23条2項各号で定める事項について、予め(第三者提供の開始前に)本人に通知し、または本人に容易に知り得る状態に置く(例えばHPへの掲載)とともに、個人情報保護委員会に届け出ること
が要件とされました。
もっとも、Q3で説明した「要配慮個人情報」である個人データはこの手続きでは第三者に提供できず、原則に戻って本人の同意を得ることが必要となります。
また、個人情報の第三者提供の規定に基づくことなくこれがなされた場合、個人情報保護委員会の勧告・停止命令違反は、6か月以下の懲役または30万円以下の罰金に処せられます。それに止まらず、被害者から損害賠償請求を受ける可能性があります。
Q6、個人情報を第三者に提供する場合、あるいは第三者提供を受ける場合、何らかの確認記録を残さなければならないのでしょうか。
A6、
個人情報漏えい事件が起きた場合、特に複数の事業者が関わっている場合には、情報がどの事業者から漏れたかを探し当てることは困難です。そこで名簿屋対策のため、改正法は、個人情報の「トレーサビリティ(追跡可能性)」を確保するため以下の規制を設けました。
①個人データを第三者に提供する場合、提供者は、提供年月日や受領者の氏名を記録し一定期間保存すること
②個人データを第三者から受領する場合、受領年月日や確認事項を記録し、一定期間保存すること
Q7、個人情報データベースの不正提供には罰則がありますか。
A7、
近年、企業の従業員が個人情報データベースを不正に持ち出し、金銭目的で名簿業者に売却する事案が多発しています(前述のベネッセ事件等)。このような行為については、従前、不正競争防止法違反、窃盗罪等が適用されてきましたが、限界もありました。そこで改正法では、個人情報取扱事業者もしくはその従業員が個人情報データベースを不正な利益を得る目的で提供し、または盗用した場合、1年以下の懲役または50万円以下の罰金に処せられることになりました。
Q8、これらの改正が適用される個人情報取扱事業者の範囲・規模はどの程度ですか。
A8、
従前の個人情報保護法では、事業活動に利用している個人情報が5,000人分以下の小規模取扱事業者は適用対象とされていませんでした。
しかし、インターネットを利用した取引が普及し、取り扱う個人情報の量は少なくとも、クレジットカード情報や購買履歴等の多様な個人情報を取り扱う業者に対する規制の必要があることから、改正法では5,000人要件が削除されました。
従って、自治会等や小規模事業者に対しても個人情報保護法上の各義務が課されることになります。