窓口・渉外お役立ちコラム

1　本年５月３０日に、改正個人情報保護法が全面施行されます。

　今回の個人情報保護法の改正は、膨大な個人データが収集・分析されるビッグデータ時代が到来する一方で、どのような情報が個人情報にあたるのか、範囲の曖昧さが情報活用を妨げているといった問題（例えば、大手交通系企業が交通系ＩＣカードの利用情報を、個人が特定できないよう加工して第三者に提供していたことが判明し、大きな非難を受けたことがありました。）や、大手教育出版系企業の個人情報大量流出の過程で問題視されたいわゆる名簿屋対策などを目的として行われたものです。
　改正点は多くに及んでいますが、本コラムではＪＡ職員として最低限認識しておくべき改正の内容を解説します。

2　個人情報の定義の明確化

　まず、改正法では、個人情報の定義に含まれるかどうかが不明確な情報が存在する状況（いわゆるグレーゾーン）を解消するために、「個人識別符号」という概念を作り、これが個人情報の定義に含められました。
　「個人識別符号」には、いわゆる生体情報（個人の身体の特徴をコンピュータの用に供するために変換した文字、番号、記号等の符号）と公的番号（旅券番号や運転免許証番号のような個人に割り当てられた文字、番号、記号等の符号）があり、具体例は以下のとおりです。

　「個人識別符号」に該当する情報については、これまでＪＡ内で個人情報として取り扱われていない可能性があるため、営業店も含め改めて取得する可能性がある個人識別符号の有無を洗い出し、取得の手続きが改正法に沿ったものとなっているか確認しておく必要があるでしょう。

3　要配慮個人情報、機微情報

　改正法では、人種、信条、社会的身分、病歴、犯罪歴、犯罪被害歴、その他不当な差別等が生じないよう配慮を要する個人情報として、「要配慮個人情報」という概念が設けられました。

　「要配慮個人情報」については、本人の同意がない取得が原則禁止され、また、本人の同意がないオプトアウト（本人の求めに応じて提供を停止することとしている場合で、法令上必要な情報を本人が容易に知り得る状態に置いたうえ、本人の同意を得る ことなく個人データを第三者に提供すること）による第三者提供が禁止されています。
　ＪＡを含む金融機関では、これまでも「金融分野における個人情報保護に関するガイドライン」（以下「金融分野ガイドライン」といいます。）に基づいて、機微情報（センシティブ情報）については、一定の例外を除くほか、取得、利用または第三者提供を行わないこととしてきました（例えば、顧客から取引時確認時に受領した運転免許証コピーに本籍地が記載されていた場合、塗り潰しなどの処理が行われていました。）。
　今回の改正法施行に合わせて「金融分野ガイドライン」も改正され、機微情報（センシティブ情報）は「要配慮個人情報」を含む概念とされていることから、実務的には、改正後の機微情報（センシティブ情報）に関する内部ルールを遵守していれば、法令・ガイドラインを遵守できることとなります。
　ただし、現行の「金融分野ガイドライン」では機微情報に含まれていなかった情報で、法及びガイドライン改正後は要配慮個人情報や機微情報に含まれる情報があるため（社会的身分、犯罪被害の事実、刑事事件・少年保護事件の手続など）、このような情報の洗い出しは必要となるでしょう。

4　第三者提供の場合の確認・記録義務

　現行法では、個人データの流通を確認・記録する仕組みがないため、個人データの転々とした流通に歯止めがなく、これが、名簿業者による大量の個人情報の不正な流通に繋がったといわれています。
　そこで、改正法では、個人データを第三者に提供する場合の記録義務を定めるとともに、第三者から個人データの提供を受ける側にも確認・記録義務が定められ、これにより個人情報におけるトレーサビリティ（追跡可能性）が確保されました。

　ＪＡにおいて、個人データを第三者と授受する場面は限定されると考えられますが、個人データの第三者との授受に際しては、上記のような確認・記録義務が生じることを認識した対応が必要となります。
　なお、現行法では、オプトアウトによる第三者提供を行う場合にも、提供者は必要事項をホームページで公表していれば問題はありませんでしたが、改正法施行後は、個人情報保護委員会への届出が必要とされました。これによって名簿業者の多くは、個人データの第三者提供のために個人情報保護委員会への届出が必要となります。