「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集について」が公表されています(〆切は、2016年8月31日)。
2015年の個人情報保護法の改正についての政令案、及び法律施行規則案ということになります。
(2015年改正法の情報については、内閣官房情報通信技術(IT)総合戦略室のサイトに情報があります)
まず、政令案について簡単に紹介したいと思います。
1.政令案
(1)個人識別符号の定義(政令案1条)
改正個人情報保護法2条2項の「この法律において『個人識別符号』とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう」の「政令で定めるもの」を具体化しています。身体的特徴としては、DNAを構成する塩基配列、容貌、虹彩の模様、声紋、歩行態様、静脈、指紋・掌紋が、番号としては、パスポート番号、基礎年金番号、免許証等が該当するものとされています。したがって、これらに該当する場合は、個人情報に該当することになります(改正法2条1項2号)。
なお、「特定の個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合するもの」と言う形で、基準は規則で定める事になっており(規則2条)、
個人情報の保護に関する法律施行令(以下「令」という。)第1条第1号の個人情報保護委員会規則で定める基準は、特定の個人を識別することができる水準が確保されるよう、適切な範囲を適切な手法により電子計算機の用に供するために変換することとする。
という内容になっています。この基準で実務が運用できるのかよく分かりません。問題があれば規則改正で対応するということなのかもしれませんが、定義がはっきりしないのではないかという疑問があります。
(2)要配慮個人情報(政令案2条)
改正個人情報保護法2条3項の「この法律において『要配慮個人情報』とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。」の、下線部分を定義するものです。
「その他」となっていますので、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実」以外にどのようなものが、要配慮個人情報に該当するのかを下記のように定義しています。
1 身体障害、知的障害、精神障害(発達障害を含む。)その他の個人情報保護委員会規則で定める心身の機能の障害があること。
2 本人に対して医師その他医療に関連する職務に従事する者(次号において「医師等」という。)により行われた疾病の予防及び早期発見のための健康診断その他の検査(同号において「健康診断等」という。)の結果
3 健康診断等の結果に基づき、又は疾病、負傷その他の心身の変化を理由として、本人に対して医師等により心身の状態の改善のための指導又は診療若しくは調剤が行われたこと。
4 本人を被疑者又は被告人として、逮捕、捜索、差押え、勾留、公訴の提起その他の刑事事件に関する手続が行われたこと。
5 本人を少年法(昭和23年法律第168号)第3条第1項に規定する少年又はその疑いのある者として、調査、観護の措置、審判、保護処分その他の少年の保護事件に関する手続が行われたこと。
政令案で示されている内容は、要配慮個人情報の範囲をかなり限定しているという印象です。ただ、政令案とは直接関係しませんが改正法2条3項の「社会的身分」というのがあいまいなので(立案担当者は、嫡出子・非嫡出子の別、被差別部落出身者であることが、社会的身分に該当し、特定の職業についていることや、特定の学校の出身者であること等は社会的身分に該当しないと整理しているようです)、実務的にどのような内容が要配慮個人情報に該当するのかは、この政令案でははっきりしないままです。このあたりは、ガイドラインでもう少し明確になるのでしょうか。
なお、下線部の個人情報保護規則案(心身の機能の障害)は下記のとおりです。
1 身体障害者福祉法(昭和24年法律第283号)別表に掲げる身体上の障害
2 知的障害者福祉法(昭和35年法律第37号)にいう知的障害
3 精神保健及び精神障害者福祉に関する法律(昭和25年法律第123号)にいう精神障害(発達障害者支援法(平成16年法律第167号)第2条第2項に規定する発達障害を含み、前号に掲げるものを除く。)
4 治療方法が確立していない疾病その他の特殊の疾病であって障害者の日常生活及び社会生活を総合的に支援するための法律(平成17年法律第123号)第4条第1項の政令で定めるものによる障害の程度が同項の厚生労働大臣が定める程度であるもの
(3) 個人情報データベースから除外されるもの(政令案3条)
改正個人情報保護法2条4項の「この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの(利用方法からみて利益を害するおそれが少ないものとして政令で定めるものを除く。)をいう。」の下線部分に関するもので、1~3号のいずれにも該当する場合に、除外されるとするものです。
1 不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。
2 不特定かつ多数の者により随時に購入することができ、又はできたものであること。
3 生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。
「販売することを目的」とする場合にのみ限定されている理由がよく分かりませんが(無償提供を除外?)、出版されている名簿等を個人情報データベースから除外するものです。