2017年5月30日に個人情報保護法が改正が実施！改正ポイントを徹底解説

個人情報の保護を目的に策定された「個人情報保護法」は2005年より制定され12年経過しました。この12年間で個人情報のあり方が大きく変わったことで、2016年12月20日の閣議決定により今回2017年5月30日より個人情報保護法が大幅に改正されることになりました。

今回、個人情報保護法が改正されることに伴い、改正されるポイントを解説します。

保有する個人情報5000人の要件を撤廃

今回の個人情報保護法で改正される大きなポイントとしては、保有する個人情報が5000人以上が個人情報保護法の適用要件となっていましたが、この要件が撤廃され、保有する個人情報の数が5000人以下でも個人情報保護法の適用になります。

そのため、中小規模の事業者でも個人情報をしっかりと管理を行い対応していくことが求められます。

個人情報の利用目的制限の緩和

個人情報保護法では、個人情報の利用目的を的確に定めその目的に沿って取り扱うことが義務付けられていました。一方で、個人情報の利用目的が変更になる場合、変更前と変更後の利用目的が「相当の関連性を有すること」が合理的に認められる必要がありました。（改正法第15条第2項）

今回の改正では、「相当の」の文言が削除され動機的に利用目的を変更することができるようになりました。

オプトアウト手続きが厳格化

管理している個人情報を第三者に提供する場合、本人の同意を得た上で提供する必要がありますが、あらかじめ利用目的で、関連会社などで共有するなど提供目的と提供方法などを通知しておき、いつでも参照できる状態にしておけば、本人の同意がなくても提供することが可能でした。

今回の改正では、オプトアウト方式により第三者に個人情報を提供する場合は、あらかじめ本人に通知もしくは知り得る状態にしておくことに加え、個人情報保護委員会に届け出を行う必要があります。（改正法第23条第4項）

オプトアウト手続きを厳格化することにより、同委員会が事業者が適切に個人情報を扱っているかを監視できるなどより厳格に管理できるようになります。

トレーサビリティの確保

事業者が個人情報の提供をする場合や提供を受ける場合、改正前の状態ではそれらの記録を作成することに関する記述はありませんでしたが、今回の改正法ではそれらの記録を作成を行い、トレーサビリティを確保することが求められます。

本人の同意を得て、第三者に個人情報を提供を行う場合は「1.提供先の事業者名」、「2.本人の氏名」、「3.個人情報の各項目」、「4.本人の同意を得ていることを証明する内容」を記録しておく必要があります。一方で、オプトアウト方式で第三者に提供する場合は、各1から3項目に加え、「4.個人情報を提供した年月日」を記録しておく必要があります。

逆に個人情報の提供を受けた場合は「1.氏名もしくは名称」、「2.住所」、「3.代表者の氏名（法人）」をい記録しておきます。

記録方法は文章の他、電磁的記録又はマイクロフィルムで記録しておく必要があります。（規則12条1項）また、作成した日から3年間の保存義務があります。（法26条4項、規則14条）

最後に

今回改正される個人情報保護法に対応するにあたり、紙に記載された個人情報が不要になった場合はシュレッダーや溶解処理などで確実に破棄することはもちろん、個人情報が記載された書類を保管する場合も鍵付きのキャビネットなどに収納するといった管理体制が重要です。

ただし、一般的なシュレッダー処理はコストが以外と高く手間が発生し仕事の効率を低下させることになります。そこで、大塚商会が提供している機密文章処理サービス「メルティBOX2」を利用することで、専用のダンボールを設置し不要になった書類を入れるだけで溶解処理を行うため低コストで個人情報を確実に破棄できます。さらに、鍵付きの専用ボックスでよりセキュリティを高めた形で溶解処理できる「メルティBOXあんしん＋（プラス）」もおすすめです。

また、個人情報が記載された個人情報を保管するには、1箱120円で利用できるセキュリティ万全な倉庫で保管できるサービス「セービングBOX」を利用することで、自社で鍵付きキャビネットを備えると行った手間とコストが省け、保有している個人情報を厳格に管理できますので、今回の個人情報保護法改定に向けて検討してみるのも良いでしょう。