◇SH0745◇個人情報保護委員会、個人情報保護法施行令改正案の骨子(案)及び施行規則案の骨子(案) 田中貴士(2016/07/27)

未分類

個人情報保護委員会、個人情報保護法施行令改正案の骨子(案)
及び施行規則案の骨子(案)

岩田合同法律事務所

弁護士 田 中 貴 士

 

 本年7月15日、個人情報保護法委員会(第12回)が開催され、その配布資料として「個人情報の保護に関する法律施行令改正案の骨子(案)」及び「個人情報の保護に関する法律施行規則案の骨子(案)」が公表された。

 周知のとおり、昨年9月に「個人情報の保護に関する法律」(個人情報保護法)の改正法[1]が公布、本年1月にその一部が施行され、個人情報保護法の所管が消費者庁から個人情報保護委員会に移行された[2]。全面施行は、公布後2年以内とされている[3]。今般の骨子案は、この全面施行後の政令、委員会規則の骨子として検討されているものであり、本稿では、当該骨子案に示されている「個人識別符号」について紹介する。

 

1 改正の背景と「定義の明確化」

 個人情報保護法は、施行後10余年を経るが、その間の情報通信技術の発展により、多種多様なパーソナルデータ[4]が収集・分析されるようになり、いわゆる「ビッグデータ」としてその利活用の可能性が広がるなど、個人情報を含むパーソナルデータの取扱い環境は大きく変容した。これに伴い、事業者にパーソナルデータの利活用ニーズが高まる一方、パーソナルデータのうち個人情報として取り扱うべき範囲の曖昧さ(グレーゾーン)ゆえに、その利活用に躊躇するという状況が指摘された。かかる状況を踏まえ、改正個人情報保護法では、「個人情報」の定義を明確化すべく新たに「個人識別符号」の概念が設けられた。

 

2 個人識別符号

 改正個人情報保護法は、情報単体で特定の個人を識別することができる文字、番号、記号、その他の符合のうち政令で定めるものを「個人識別符号」とし(同法2条2項)、個人識別符号が含まれる情報を「個人情報」としている(同法2条1項2号)。改正前より、①特定の個人を識別することができる情報、及び②他の情報と容易に照合することができ、それによって特定の個人を識別することができる情報が、個人情報とされていた。個人識別符号は、①に該当するものであり、これを政令で定めることによって、どのようなパーソナルデータがそれ単体で個人情報に該当するかを明確にし、事業者の判断を客観的かつ容易にしようとする狙いがある[5]。ただし、個人識別符号に該当しない情報であっても、②の容易照合性の要件を満たす場合に個人情報とされることに変更はない(同法2条1項1号)。

 

3 政令、委員会規則の骨子案における個人識別符号

 改正個人情報保護法による政令への委任事項と、今般の政令及び委員会規則の骨子案で示されている具体的な個人識別符号は、次の表のとおりである。

 

 <個人識別符号>
政令への委任事項(概要) 政令(骨子案) 委員会規則(骨子案)

身体の一部の特徴を電子計算機の用に供するために変換した符号のうち、個人識別符号に該当するものを政令で定める。

  1. ⑴ 次に掲げる身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、特定の個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合するもの
  2. (ア) DNAを構成する塩基の配列
  3. (イ) 顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌
  4. (ウ) 虹彩の表面の起伏により形成される線状の模様
  5. (エ) 発声の際の声帯の振動、声門の開閉並びに声道の形状及びその変化
  6. (オ) 歩行の際の姿勢及び両腕の動作、歩幅その他の歩行の態様
  7. (カ) 手のひら又は手の甲若しくは指の皮下の静脈の分岐及び端点によって定まるその静脈の形状
  8. (キ) 指紋又は掌紋
  1. ⑴ (略)

役務の利用や商品の購入、カード・書類の発行に関して対象者ごとに異なるように割り当てられた符号のうち、個人識別符号に該当するものを政令で定める。

  1. ⑵ 旅券の番号、基礎年金番号、運転免許証の番号、住民票コード及び個人番号

 

  1. ⑶ 国民健康保険、後期高齢者医療制度及び介護保険の被保険者証にその発行を受ける者ごとに異なるものとなるように記載された個人情報保護委員会規則で定める文字、番号、記号その他の符号
  1. ⑵ (略)
  2. (ア) 国民健康保険の被保険者証の記号、番号及び保険者番号
  3. (イ) 後期高齢者医療制度及び介護保険の被保険者証の番号及び保険者番号
  1. ⑷ 上記に準ずるものとして個人情報保護委員会規則で定める文字、番号、記号その他の符号
  1. (ウ) 健康保険の被保険者証等の記号、番号及び保険者番号、公務員共済組合の組合員証等の記号、番号及び保険者番号、雇用保険被保険者証の被保険者番号並びに特別永住者証明書の番号等

 ここで、従前から議論されているとおり、役務の利用やカードの発行に関して対象者ごとに割り当てられる符号ではあっても、携帯電話番号、メールアドレス、クレジットカード番号は、個人識別符号に含まれていない。もっとも、容易照合性の要件を満たす場合にこれらが個人情報に該当することは、上記のとおりである。例えば、ある事業者が、氏名と住所、クレジットカード番号、購買履歴を各々のデータベースに格納している場合であっても、これらを共通のIDで特定の顧客に紐付けている場合には、容易照合性があるものとして、クレジットカード番号や購買履歴も個人情報に該当することになるとされている[6]

 

4 個人情報保護法のその他の改正点

 そのほか、今回の改正点は、「要配慮個人情報」に関する規制(改正個人情報保護法2条3項、17条2項、23条2項)、「匿名加工情報」に関する制度の新設(同法2条9項、同条10項、36条ないし39条)、利用目的変更の要件の緩和(同法15条2項)、オプトアウト手続の厳格化(同法23条2項ないし4項)、外国にある第三者への個人データの提供に関する規定の整備(同法24条)、トレーサビリティの確保(同法25条、26条)、小規模事業者適用除外の廃止など多岐に亘る。

 本稿執筆時の委員会規則の骨子案では、「個人識別符号」と「要配慮個人情報」の定義、オプトアウト手続に関する規定内容が示されているに留まるが、全面施行までにさほど準備の間があるわけではなく、今後の議論を注視する必要があろう。



[1] 「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」(平成27年法律第65号)

[2] 個人情報保護委員会には、規則制定権が付与されており(改正個人情報保護法65条)、また、改正法の全面施行後は、これまで事業分野ごとに各省庁が行ってきた個人情報取扱事業者の監督等の権限が同委員会に一元化されるとともに、立入検査権限が付与されるなど、同委員会の権限が強化される(同法40条ないし42条)。

[3] 改正法附則1条柱書

[4] パーソナルデータとは、個人情報保護法の規定する「個人情報」に限らず、広く個人に関する情報を指し、GPSを利用した位置情報、インターネットショッピングでの購買履歴、交通機関のICカードから割り出される乗降履歴などがこれに該当する。

[5] 瓜生和久編著『一問一答 平成27年改正個人情報保護法』(商事法務、2015)10頁

[6] 日置巴美=板倉陽一郎『平成27年改正個人情報保護法のしくみ』(商事法務、2015)43頁

 

タイトルとURLをコピーしました