この記事を読むのに必要な時間は約 3 分です。

今年、個人情報保護法の大改正がありました。
今日はこの改正について、おおまかにご説明しておきます。

1. 小規模取扱事業者への対応（5000 件要件の撤廃）
今までは「取り扱う個人情報が 5000 人分以下」の場合には、個人情報保護法の適用外でしたが、今後は個人情報を取り扱うすべての業者が対象となります。

2. 個人情報の定義の明確化
個人情報の中に新たに「個人識別符号」が新設されました。 ある人の身体的な特徴をデータに変換したもの（顔認識データ、遺伝子情報など）を個人情報として取り扱うようになりました。

3. 「要配慮個人情報」を新設。
人種や信条（宗教）などが含まれるような個人情報は、本人の同意がないと取得できない（原則）ことになりました。
それに伴って、要配慮個人情報の本人同意を得ない第三者提供（オプトアウト）が禁止になりました。

4. 匿名加工情報
「匿名加工情報」が新設されました。
特定の個人を識別できないように個人情報を加工したものを匿名加工情報と定義して、データとして利用しやすくしました。
どのように匿名加工したのか、その方法の公表が求められます。

5. 利用目的の制限の緩和
個人情報を取得した時の利用目的から新たな利用目的へ変更することを制限する規定が緩和されました。

6. オプトアウト規定の厳格化
オプトアウト規定による第三者提供をしようとする場合、データの項目等を個人情報保護委員会へ届け出しなければならなくなりました。 個人情報保護委員会は、その内容を公表します。

7. トレーサビリティの確保
個人情報の提供を受けた事業者は、提供した事業者や個人の氏名、名称や提供を受けた経緯などを記録しなければならなくなりました。 この義務は提供した側にも課せられます。

8. データベース提供罪
個人情報のデータベースなどを取り扱う事務職などをしていた人が、不正な利益を得る目的で不正に提供（個人情報をまるごと売りさばくなど）した場合、厳しく処罰されることになりました。
※一年以下の懲役、50 万円以下の罰金

なかなかの大改正ですね。
個人情報をしっかりと保護するという観点と、せっかく集まったデータをビッグデータとしてしっかり利用できるようにするという相反する目標を両立させるために苦慮した後がわかります。

次回は、先日顧問先企業さんで行ったPMS教育において、受講者の皆さんから多く寄せられたウェブストアにクレジットカードの情報を預けても大丈夫なの？にお応えします。