「個人情報保護法と管理組合」目次  >【前頁】2. 個人情報保護法改正概要> 3. 個人情報保護法改正の要点 >【次頁】4. 基本方針と個人情報管理規約

3. 個人情報保護法改正の要点

1.個人情報保護法改正の要点

管理組合は全面施行時からの適用になりますので、下記は全面施行版の条文で示しています

1)利用目的の明確化
  ・利用目的をできる限り特定しなければならない。(15条)
  ・利用目的の達成に必要な範囲を超えて取り扱ってはならない。(16条)
  ・利用目的を通知又は公表しなければならない。(18条)
  ・利用目的を変更したときは通知又は公表しなければならない。(18条)

2)不正取得の禁止
  ・偽りその他不正の手段により取得してはならない。(17条)

3)個人情報の管理
  ・正確かつ最新の内容に保つよう努めなければならない。(19条)
  ・安全管理のために必要な措置を講じなければならない。(20条)

4)監督
  ・従業者・委託先に対し必要な監督を行わなければならない。(21条、22条)

5)第三者供与
  ・本人の同意を得ずに第三者に提供してはならない。(23条1項)オプトイン方式
  *本人の求めを受け付ける方法を講じた場合等の提供は適用外。(同条2項)オプトアウト方式
  *利用目的達成のための業務委託の際の提供は適用外。(同条5項1号)
  *合併等による事業継承時の提供は適用外。(同条5項2号)
  *共同利用についてあらかじめ同意を得ている範囲での提供は適用外。(同条5項3号)

6)本人の関与(トレーサビリティの確保・名簿屋対策)
  ・事業者名、利用目的等を本人の知り得る状態に置かなければならない。(27条)
  ・本人の求めに応じて保有個人データを開示しなければならない。(27条2項)
  ・本人の求めに応じて訂正等を行わなければならない。(同上)(29条)
  ・本人の求めに応じて利用停止等を行わなければならない。(30条)
  ・適切かつ迅速な苦情の処理に努めなければならない。(35条)

*開示、訂正、利用停止等については、合理的な理由がある場合は、応じない決定も可能ですが、本人に対し、遅滞なく、その旨を通知しなければなりません。(30条5項)

7)個人情報の保護を強化(名簿屋対策)
  ・トレーサビリティの確保(25条、26条)
  ・受領者は提供者の氏名やデータ取得経緯等を確認し、一定期間その内容を保存。
   また、提供者も、受領者の氏名等を一定期間保存。
  ・データベース提供罪(第83条)
   個人情報データベース等を取り扱う事務に従事する者又は従事していた者が、
   不正な利益を図る目的で提供し、又は盗用する行為を処罰。

罰則

 上記の義務違反があった場合、現行法では、主務大臣より当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告されます。(現34条)
義務違反⇒主務大臣の勧告・命令⇒命令違反⇒罰則⇒6ケ月以下の懲役又は30万円以下の罰金
全面施行以後は、主務大臣が個人情報保護委員会に替わります。

なお、従業員が行なった違反に対しては、その企業も罰則の対象となります。(両罰規定)

開示請求権

 個人情報取扱事業者が義務違反を犯した場合、本人はまず事業者に開示・訂正・利用停止等の請求(新28〜33条)を求め、 その請求から2週間を経過しなければ訴訟提起ができない。(請求前置主義)(新34条)

2. 個人情報の該当性判断基準

1.用語の定義

個人情報を扱う者にとって重要なことは「何が個人情報の対象となるのか」という客観的な該当性を判断する基準です。 最初にそれらの前提となる用語の定義を示します。(現個人情報保護法2条及び番号法2条)

個人情報

生存する個人に関する情報であって、 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの。 音声、動作その他の方法を用いて表された一切の事項により特定の個人を識別することができるもの、 他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。

個人番号

住民票コードを変換して得られる12桁の番号(番号法2条1項)

特定個人情報

個人番号を含む個人情報(番号法2条8項)

個人識別符合

情報単体で特定の個人を識別することができるもの (個人番号、運転免許証番号、旅券番号、クレジットカード番号等)

要配慮個人情報

本人の人種、信条、社会的身分、病歴、犯罪の経歴、 犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの。
要配慮個人情報は、原則として本人の同意を得てこれを取得することとし、また、あらかじめ、本人同意を必要としない第三者提供の特例(オプトアウト手続き、23条2項)から除外した。

個人情報データベース等

名簿やデータベース等に整理されて検索可能な状態となっている個人情報

個人情報取扱事業者

個人情報データベース等を事業の用に供している者

個人情報取扱事業者の範囲
現行個人情報法では、取り扱う個人情報が過去6ケ月にわたって5千人以下の小規模取扱事業者は施行令2条で個人情報保護法の義務履行の対象から除外されていましたが、 取り扱う個人情報に係る個人の数が少なくても個人の権利利益を侵害するリスクが高まっていることから、 H28改正法の完全施行日(平成29年5月30日)以後は、現2条3項5号を削除し、管理組合も自治会もすべて、 個人情報保護法の適用対象事業者となりました。

一方、マイナンバーを扱う番号法では最初からすべての事業者が対象となる一方で、 従業員の数が100人以下の小規模事業者は「中小規模事業者」として一般の事業者よりも緩和された安全管理措置を講ずることが認められています。

個人情報法の完全施行時においても同法附則第11条の配慮規定によって、管理組合のような中小規模事業者に対するこのような特例が設けられる可能性があります。

2.個人識別符合の該当性判断基準の考え方の一例

()一意性:個人と符合が1対に対応している
()本人到達性:符号に基づいて本人に接触できる
()共用性:複数の事業者によって使用されることで個人が特定できる
()所有物との密接関連性:人に割りふられた識別番号だけではなく携帯端末の機器番号のように、それ自体個人識別機能をもつもの

個人識別符合の該当性判断基準についての考え方は情報技術の進歩や新しいサービスの出現によってどんどん変わっていきます。 社会の変化で国民の生命、身体、財産に新しい被害が生じたとき、後追い行政、いたちごっこと言われながらも、 現実に合わせて規制を頻繁に追加していく消防法と同じ性格を情報保護法も持っているのですが、 個人情報保護委員会の場合は、情報市場、情報技術の進展と論理の中で、 公共の福祉としてのプライバシーの確保の実効的体制の構築に向けて統一的・横断的に法整備をしていくという難しい役割を担っています。(附則12条2項、3項)

(掲載)2017/1/20