平成27年個人情報保護法改正のスケジュール
1 はじめに
個人情報の保護に関する法律(平成15年法律第57号、以下「個人情報保護法」という。)改正を含む「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案」が第189回国会(常会)に提出されている(閣法・議案番号34、以下「改正法案」という。)。改正法案の内容は国会審議での修正がある可能性も残されており、現時点での改正法案の内容に関する解説等は別途当職が行っている講演の資料等を参照されたいが、実務的には、改正法案が成立・公布された場合の施行スケジュールが重要であるので、ここにお知らせする。
2 改正法案の構造
(1)改正法案の条文
改正法案は本則7条、附則37条からなる。個人情報保護法の改正が定められているのは第1条から第3条までである。改正法案3条は技術的な改正であり、事業者においては気にする必要はない。具体的に業務に関連してくるのは改正法案1条及び2条である。
(2)改正法案1条
行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号、以下「マイナンバー法」という。)における個人番号及び特定個人情報の監督機関である「特定個人情報保護委員会」の名称を「個人情報保護委員会」とし、これに関する定めをマイナンバー法から個人情報保護法に移行させるものである。これに対応するマイナンバー法側の改正は改正法案4条に定められている。この段階では、個人情報保護委員会の権限は限られており、基本方針の策定及び推進、個人情報に関する広報啓発程度である。具体的には、現在、消費者庁(消費者制度課個人情報保護推進室)が行っている業務が移管されるに留まり、具体的な監督権限が移管されるのは改正法案2条によってである。
(3)改正法案2条
改正法案2条が、平成27年個人情報保護法改正の中核部分であり、個人情報の定義の明確化、要配慮個人情報、匿名加工情報といった概念の導入、認定個人情報保護団体の個人情報保護指針についての整備、第三者提供にかかるトレーサビリティ義務、個人情報データベース等提供罪の導入、個人情報の取扱いのグローバル化に対応した各種規定の整備、オプトアウトによる第三者提供の厳格化、利用目的変更規定の整備、個人情報取扱事業者にかかるいわゆる5000件要件の撤廃、開示の求めの請求権性導入、消去義務などが含まれる。
そして、個人情報取扱事業者に新たな義務が課され、個人情報保護委員会に具体的な監督権限が付与されるのは、改正法案2条によってということになり、改正法案2条が施行されると同時に、原則として個人情報保護法の監督権限は今までの主務大臣から、個人情報保護委員会に一元化される。
3 平成27年個人情報保護法改正のスケジュール
(1) 施行日
改正スケジュールは附則1条で定められている。
改正法案1条の施行日は平成28年1月1日であり(附則1条2号)、改正法案2条の施行日は「公布の日から起算して2年を超えない範囲内において政令で定める日」である(附則1条柱書)。「公布の日」は通常、国会で成立してから間を置かない日であり、参考までに、現行個人情報保護法成立時は、平成15年5月23日に成立し、同30日に公布、マイナンバー法成立時は、平成23年5月24日に成立し(平成23年5月23日参議院委員会可決)、同31日に公布されている。
なお余談であるが、特定個人情報保護委員会委員長で、個人情報保護委員会委員長に就任される予定(改正法案附則7条1項)の堀部政男一橋大学名誉教授の誕生日は奇しくも、現行個人情報保護法の可決日及びマイナンバー法の可決日前日と同じ(昭和11年)5月23日である。
(2) 経過措置
改正法案のうち、個人情報保護法に関連する主たる経過措置は、
・オプトアウトによる第三者提供に係る義務を予め履行できること(本人への通知及び個人情報保護委員会への届出)(附則2条)
・外国にある第三者への提供の同意に相当する同意がある場合はこれを当該同意とみなすこと(附則3条)
・現行個人情報保護法における主務大臣の処分等が個人情報保護委員会の処分等とみなされること(附則4条)
である。
4 事業者の対応
仮に、改正法案が平成27年6月に成立したとすると、改正法案2条関係の施行日は平成29年6月までということになり、事業者としては平成28年度中には改正法に係る義務への対応を終わらせておくスケジュールで準備する必要があろう。
特に、いわゆる5000件要件により個人情報取扱事業者としての義務を免れていた事業者は、全く新たに個人情報の取扱いに関する義務を遵守する体制を整える必要があるため、弁護士への相談を含め、早急に準備を始めることをお勧めする。
この際、いままで主務大臣(主務官庁)に行っていた事前相談は、個人情報保護委員会と行うことになると思われるが、平成28年1月1日の段階では監督権限を持たない個人情報保護委員会と、どの程度の事前相談ができるかは現時点では不明である。体制整備の状況を確認する他ない。
また、オプトアウトによる第三者提供を引き続き利用する予定の事業者においては、改正法案2条関係の施行日前に本人への通知及び個人情報保護委員会への届出を行うことができるとされているが(改正法案附則2条)、個人情報保護委員会が設置される平成28年1月1日以降であっても、オプトアウトによる第三者提供に係る個人情報保護委員会規則制定前には届出が行えないため、当該規則の制定を注視する必要がある。
以上まとめると、事業者にとって重要なスケジュールは以下のとおりである。
平成28年1月1日
個人情報保護委員会の設置(監督権限なし)
規則制定日以降
オプトアウトによる第三者提供に係る本人通知及び個人情報保護委員会への届出が可能になる時点
平成29年6月頃まで
改正法による義務の発生、個人情報保護委員会の監督開始
以上
問い合わせるにはこちら