個人情報保護委、改正法に基づく個人情報保護ガイドラインを公示
岩田合同法律事務所
弁護士 佐 藤 修 二
個人情報保護委員会(以下「委員会」という。)は、2016年11月30日、2015年9月に成立した改正個人情報保護法(以下「改正法」という。)に対応する各種ガイドラインを制定した。委員会は、これらガイドラインの案を事前にパブリックコメントに付しており、パブリックコメントにおいて提出された各種意見及びこれに対する委員会の回答も同時に公表されている。また、今後、Q&Aの策定も予定されているようである。改正法の施行期日は未だ決定されていないが、来年4月にも施行されるとの見方もある。既に制定済みの改正法に対応する政令・規則に加え、詳細なガイドラインも制定されたことで、事業者としても、施行に向けた準備を進める体制が整い、準備を始めるべき状況となったと言えよう。
改正法に関する法律を頂点としたルールの体系は、下表のようなものである。
| 法律 | 個人情報の保護に関する法律 | |||
| 政令 | 個人情報の保護に関する法律施行令 | |||
| 委員会規則 | 個人情報の保護に関する法律施行規則 | |||
|
委員会 ガイドライン |
通則編(個人情報保護法全体の解釈・事例) | 外国にある第三者への提供編 | 第三者提供時の確認・記録義務編 | 匿名加工情報編 |
改正法下におけるルール体系の特色としては、改正前に比べ、政令・規則に委ねられる事項が増加したこと、ガイドラインが従前の各省庁ごとのものから委員会のものへと一元化されたこと、他方で、委員会によるガイドラインが分野ごとに複数化されたことが挙げられる。全体感としては、平成17年の新会社法の制定時と同様、規制内容を理解するためには法律だけでなく政令・規則を参照すべき場合が増えたと思われ、また委員会ガイドラインも大部なものとなって、規制が「詳細化」したと言えようか。なお、今後更に、医療関連、金融関連(信用等含む)、情報通信関連については、別途のガイドラインの制定も予定されているようである。
事業者としては、これら改正法の下でのルール体系の全体に即して体制整備を行う必要があり、まずは、従前の自社の規程体系を、改正法に即してどの程度見直す必要があるのかという点の検討が必要となると思われる。たとえば、個人情報の定義そのものも、(個人識別符号が含まれることを明示する形に)改正されているため(改正法2条1項2号)、規程において個人情報の定義規定を置いている場合には、その改正が必要となるだろう。
また、より重要なのは、改正法が新たに導入した規制への対応である。その例としては、委員会のガイドラインが独立に設けられた、外国にある第三者への提供、第三者提供時の確認・記録義務、匿名加工情報といった点が挙げられる。中でも、第三者提供時の確認・記録義務(改正法25条・26条)は、2014年に発覚したベネッセにおける大規模漏えい事故を背景に、個人データにつき第三者との間で授受をする場合に一定の事項の確認・記録義務を課すものであり、多くの事業者において対応が必要となると思われる。この点については、事業者の負担がいたずらに拡大することの無いよう、ガイドラインの「第三者提供時の確認・記録義務編」において、規制の適用範囲を合理的なものとする方向での解釈、事例等が示されており、実務対応の参考となる。
パブリックコメントにおいても、経過措置を設けるなど改正法対応を出来るだけ先延ばしできるようにしてほしいとの意見も強かったようであるが、残念ながらそのような対応はなされないものと見込まれる。今般のガイドラインの制定も受け、事業者としては、先手の対応をしていくことが望ましいと言えよう。