2017.06.12メディカサイトコラム
改正された個人情報保護法について、 きちんと理解しよう!
2017年5月30日、改正された個人情報保護法が「施行」されました。
(ちなみに、成立は平成27年9月でした。)
今回の改正、要チェック!!ですので、まとめていきたいと思います。
まずはおさらいからです。
ほとんど誰も覚えている人はいないのではないかと思いますが、
そもそも、個人情報保護法は、「住民基本台帳法」とセットで作られたものです。
住民基本台帳法により、既に私たち一人一人にナンバーが振られています。
(住民基本台帳カードを覚えていますか?)
マイナンバーなんてなくても、既に個人識別番号を持っているわけなのですね。
この住民基本台帳法の改正により、市役所にいかなくても住民票や戸籍謄本が取れるようになりました。
松山市では某スーパーの中に、市民サービスセンターができ、各種手続きができるようになり、とっても便利ですよね。
しかしながら、お役所の方々が自由に、住民票や戸籍の情報にアクセスできるようになると、悪用される怖れも出てきます。
このような事態を抑えるために作られたのが、個人情報保護法なのですよね。
すなわち、「お役所」から、私たちの個人情報を守るために作られた法律なのです。
個人情報保護法の第一条にも、「国及び地方公共団体の責務等をあきらかにする」と名言されています。
では、なぜ、私たちの生活において、個人情報保護法なので、なんたらかんたら・・・と騒いでいたのでしょうか?
これは第二条に記載されています。
この法律における「個人情報取扱事業者」とは、
一 国の機関
二 地方公共団体
三 独立行政法人等(独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号)第二条第一項に規定する独立行政法人等をいう。以下同じ。)
四 地方独立行政法人(地方独立行政法人法(平成十五年法律第百十八号)第二条第一項に規定する地方独立行政法人をいう。以下同じ。)
五 その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者
となっています。
この「五」が過大解釈されていたわけで、国や地方公共団体レベルの大量の情報を扱う企業は、この法律の対象にしましょう!ということでした。
その数は「5,000人」でした。
つまり、個人情報を5,000人分持っていない企業は、個人情報保護法とは何の関係もない!ということだったのですよね。
ここの部分、とても多くの方が勘違いをしていました。
さて、もう一つ、個人情報保護法について訳がわからなくなった理由として、「個人情報」の定義があります。
同じく、第二条を見てみますと、
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
ややこしいですが、簡単に言いますと、これまでの「個人情報」とは、
・氏名
・生年月日
の2つだったのですよね。
この文言に「その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」というものが追加されたおかげで、際限のない状況に、世の中が追い込まれていたわけです。
今回の個人情報保護法の改正では、これらの点がしっかりと改正されました。
どのような改正があったのか、以下に記載をしていきます。
まず、個人情報の定義に「個人識別符号」が追加されました。
これは何なのか簡単に述べますと、個人が特定できるすべての番号となります。
キャッシュカード番号、クレジットカード番号、お店のカード、指紋データ、社員ID、携帯電話の番号、車のナンバー、メールアドレス、LINE ID、その他なんでも、です。
介護業界で言いますと、介護保険証の番号が該当してきます。
これまで、アバウトで何でもかんでも「個人情報」でしたが、今回の改正で法的に何でもかんでも「個人情報」となってしまいました。
次に、「個人情報取扱事業者」の幅が思いっきり広がりました。
これまでは「5,000人」以下の企業は個人情報保護法の対象外でしたが、この5,000件要件が撤廃されてしまいました。
すなわち、世の中のすべての企業、団体が個人情報保護法の対象となってしまいました!
介護業界で言わなくても、すべての事業所が該当することになりました。
今までは、個人情報保護法の問題というより、「プライバシー」の問題だったのですが、このプライバシーについては法制化されておらず、憲法レベルの解釈のため、本当に難しい問題でした。
これからは、すべてが個人情報保護法の範囲となってきますので、これまで通り「プライバシー」の問題では済まないという状況となりました。
最後にもう1点変わったことといえば、個人情報を取り扱う会社の「従業員」や、個人情報の管理を委託する「委託先」についての監督義務がより明確になったことでしょうか。
業務委託も増え、委託先による情報漏洩のニュースも多くなってきました。
介護業界に置いては、ケアマネジャーと事業所間の情報のやり取り、職員による個人情報の持ち出し、介護ソフトなどインターネット上のシステムを利用する際における情報の管理監督、などが関係してきます。
委託先、事業の承継(事業売却や廃止に伴う利用者移動)、共同利用(自社内での事業所間での情報のやりとり)について、「本人に通知等」を行わなければなりません。
通知の内容は次の4つ。
・共同して利用される個人データの項目
・共同して利用する者の範囲
・利用する者の取得時の利用目的
・当該個人データ管理について責任を有する者の氏名又は名称
第三者への個人データの提供、または、第三者からの個人データの受領に関しては、受領者は提供者の指名やデータの「取得経緯」等を確認して、記録して、一定期間保存しなければなりません。
提供者は、個人データの提供の年月日、個人データの受領者の指名等を記録して保存しなければなりません。
オンラインの介護請求ソフト等は、既に会社別に対応されていると思いますが、原理原則を知っておいていただければと思います。
ということで、ちょっと堅めの文章となってしまいましたが、改正個人情報保護法の施行について。
介護業界でも意識を新たに取り組んでいかなければならない課題ですので、ぜひ、しっかりと法律を熟読の上、取り組んでいただければと思います。
【個人情報保護委員会】
https://www.ppc.go.jp/
https://www.ppc.go.jp/files/pdf/personal_2902leaf_smallbusinesses.pdf
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/01kaiseikojinjohopamphlet.pdf