個人情報保護法改正のポイントと企業に求められる対応：すご腕アナリスト市場予測（4/5 ページ）

個人情報の保護を強化

　2014年の大規模情報漏えい事件でクローズアップされた「名簿屋」対策として、「トレーサビリティの確保」の義務化が挙げられる。

　トレーサビリティの確保（第25条、第26条）は、個人データを受け取った者に対して提供者の氏名やデータ取得経緯などを確認し、一定期間その内容を保存することを義務付けるものだ。同様に、提供者も受領者の氏名等を一定期間保存することがやはり義務付けられた。これはある意味当然のことなのだが、今まで義務化されていなかったために、不正な売買を防ぐことができなかったという反省が込められている。

　取得経緯を確認するという部分で不正な売買を見つけることができ、事件が発覚した場合には過去の記録から事実を確認できる仕組みをつくることが目的だ。また不正な売買に対してある程度の抑止効果も期待される。

　もちろん対象は名簿業者に限らない。特にイベントやセミナー業者などでは参加者情報を協賛各社に提供するのが一般的になっており、従来通りの本人同意の取り方で十分なのかどうかはよくチェックしておくべきだ。

　また、どのように情報を収集したのかの情報を提供先に示し、提供先でもそれを確認する必要があるため、そのための書面やシステムなど実務的な仕組みを準備しておく必要がある。いずれにせよ、透明性を確保し不正が忍び込まないように注意する必要がある。

　データベース提供罪（第83条）は、個人情報データベース等を取り扱う事務に従事する者または従事していた者が、不正な利益を図る目的で提供または盗用する行為を処罰する法律だ。1年以下の懲役または50万円以下の罰金刑になる。

現行法では、個人情報を盗んだ内部関係者を直接的に処罰する規定はなく、情報を盗み出した犯人を検挙する場合は不正競争防止法違反や威力業務妨害などを適用することが多い（行政機関むけの個人情報保護法については現行法でも不正な持ち出しなどに対して直接の罰則がある）。

　これは根本的には、形のない「情報」が「財物」と見なされず、刑法の窃盗罪が適用できないことに端を発している問題である。このデータベース提供罪の新設によって、今後は直接的に個人情報保護法違反で逮捕される、というようなケースが出てくるということである（ただし不正競争防止法違反の方が量刑が重いため、どちらも適用できるようなケースでは、従来通りの適用が行われる可能性はある）。

　さらに、内部の従業者が個人情報を盗むなどの事件が起きると、実際に行為を行った従業者本人が処罰されるだけでなく、その雇用主である法人やその代表者も同時に処罰される「両罰規定」が新設されたことにも注意が必要である。罰金そのものは高額ではないが、処罰を受けた事実が報道されるなどによって企業イメージの毀損や信用喪失などのリスクがあるという認識をする必要があるだろう。

個人情報保護委員会の新設およびその権限

　従来の個人情報保護法では各主務大臣が報告徴収、命令、認定個人情報保護団体の認定などの権限を持っていた。これが内閣府の外局機関として新設される個人情報保護委員会に移管される。個人情報保護委員会は個人情報および匿名加工情報の取扱いに関する監督などの事務を担当することになる。

　2016年1月には発足し、その後、具体的な政令策定やガイドライン策定が行われる運びとなる。現行の主務大臣の有する権限を集約するとともに、立入検査等の強い権限を追加しているのが特徴である（報告徴収および立入検査の権限は事業所管大臣等に委任できる）。

　この背景には、個人情報保護の責任が各主務大臣に分散していることが、海外から問題視されていたことが挙げられよう。次項でも説明するが、特にEUでは個人情報保護に対する見方が厳しい。個人情報やプライバシーの保護についての監督・監視を行う独立した機関がないことが、個人情報保護のための制度と運用が十分ではないとみなされる一因となっていた。個人情報保護委員会に権限と責任を集約し、海外制度との整合性をとることが必要とされていた。

個人情報保護委員会の発足後は、各種のガイドラインの改定等は常にこの委員会を注視していく必要がある。また第三者提供等の届出など、新たな実務が発生するので、きちんと確認・把握しておく必要がある。また特に個人情報に依存度の高い事業や業態の場合、重大な問題を起こしてしまったら、立入検査を受けるということも想定しておかなければならない。