【直前対策】4月から施行！ 改正個人情報保護法 中小企業が「最優先ですべきこと」：3つの対応（3/4 ページ）

[企業実務]

【3】事業者による自主的な取組みを促す仕組みの在り方

　改正法における認定団体制度により、企業の特定分野（部門）を対象とする団体を認定できるようになりました。企業における直前対策に直接影響するものではないため、詳細は割愛します。

【4】データ利活用に関する施策の在り方

　改正法では、（1）仮名加工情報、（2）個人関連情報という新たな情報類型が創設されました。対応の要否は企業によってさまざまですが、データ利活用を考える企業は、確認が必須の項目です。

（1）仮名加工情報

　平成27年の法改正では、データ利活用の観点から、新たな情報類型として「匿名加工情報」が創設されました。しかし、匿名加工情報に該当するためには、法および施行規則が定める厳格な加工水準を満たす必要がありました。そのため、単に氏名だけを削除したような情報については、匿名加工情報には該当せず、引き続き「個人情報」として取り扱う必要がありました。

　もっとも、「氏名」を削除した場合には、未加工の個人情報と比較して一定の安全性が確保されているといえます。

　そこで、改正法では、氏名等の個人を識別できる記述等を削除した情報を「仮名加工情報」と類型化し、当初の利用目的を変更した利用など、一定の柔軟な内部利用が認められることとなりました。

（2）個人関連情報

　Cookieなどを活用するWeb業界に大きな影響を与えるのが、「個人関連情報」規制の創設です。

　本来、個人データを第三者提供する場合には、本人の同意を得て行うのが原則です。しかし、CookieやIPアドレス、閲覧履歴、広告IDなどの情報（以下「Cookie等のデータ」といいます）は、当該情報単体では特定の個人を識別するものではありません。従って、現行法上、個人データに該当しないCookie等のデータの提供にあたっては本人の同意を得る必要はありませんでした。

　一方、Cookie等のデータを第三者に提供した場合に、当該第三者において保有する個人データと、取得したCookie等のデータをひも付けることは可能です。現に、就職情報サイトの提供事業者が、就活生ユーザーの閲覧履歴やそれを基にした内定辞退率スコア（これらは単体では個人情報ではありません）を、求人企業に対し、求人企業が個人データとひも付けて利用することを想定したうえで提供していたことが問題視されたことは記憶に新しいでしょう（いわゆる「リクナビ事件」）。

　そこで、改正法では、提供元では個人データに該当しないCookie等のデータ（個人関連情報）が、提供先において個人データとして取得することが想定されるときは、提供元から提供先への提供に先立ち、あらかじめ提供先において本人の同意を得ることなどが求められることになりました。

写真はイメージです（提供：ゲッティイメージズ）

【5】ペナルティの在り方

　改正法では、罰則の法定刑が、類似する他の経済事犯と同等のレベルまで引き上げられました。これにより、法人については、最大1億円以下の罰金が課せられることになります。

【6】法の域外適用・越境移転の在り方

　個人データが、インターネットなどを通じてグローバルに取り扱われる昨今の状況に鑑み、外国にある第三者への個人データの提供にあたっては、移転先国の名称や個人情報の保護に関する制度の有無等、本人に対する情報提供を行うことが義務付けられました。

　また、外国で個人データを取り扱っている場合における当該外国の個人情報保護制度を把握しておくこと（外的環境の把握）は、法が定める安全管理措置にも含まれており、改正法の下では法定の公表事項となっています。

　なお、本項の改正項目に含まれる「域外適用」は、外国事業者に対する日本法の適用のことであるため、日本企業を想定読者とする本稿の解説からは割愛します。