政府は2015年3月10日、完全施行から10年ぶりとなる個人情報保護法の改正案を閣議決定した。改正案や要綱によると、「個人情報」の定義は、「特定の個人を識別することができるもの」に加え「個人識別符号が含まれるもの」とした。骨子案の表現を踏襲している。
個人情報の定義にある「個人識別符号」は、「特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した符号」などとし、文字、番号、記号、その他の符号のうち、「政令で定めるものとすること」とした。2014年12月にパーソナルデータ検討会で公表された骨子案に近い内容となっている。
「利用目的の変更を可能とする規定の整備」では、「変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない」とした。改正法案は、現行法にある「相当の関連性」という記述のうち「相当の」という文言を削除。当初の利用目的と大きく離れていない範囲であれば、同意がなくても目的外利用をしやすくするためとみられる。
さらに、「個人情報保護委員会」を新設して、主務大臣の権限を一元化。委員会は事業者に必要な報告もしくは資料の提出を求められるほか、立ち入り検査ができる。政令によって、事業所管大臣に委任できるとした。
「匿名加工情報」の項目や提供方法に公表義務
「匿名加工情報」については、個人を識別できないよう加工したものであり、個人情報を復元できないもの、と定義。事業者は委員会規則の基準で加工し、安全管理措置を講じるものとした。加えて、本人を識別するために他の情報と照合してはならないとした。匿名加工情報を作成したり第三者に提供したりするときは、委員会規則の定めによって「匿名加工情報に含まれる個人に関する情報の項目」や「提供の方法」を公表しなければならない。
安全管理措置として、匿名加工情報を扱う事業者は「苦情の処理その他の匿名加工情報の適正な取り扱い」に自ら必要な措置を講じて、その内容を「公表するよう努めなければならない」とした。罰則は盛り込まれなかった。
委員会は、認定個人情報保護団体の認定や監督を行う。認定個人情報保護団体は「消費者の意見を代表する者その他の関係者の意見を聴いて、この法律の規定の趣旨に沿った指針を作成するよう努めなければならない」とした。作成した指針は遅滞なく委員会に届け出て、委員会が公表するとした。
名簿屋規制としては、本人同意を得ない第三者提供(オプトアウト規定)の届け出、公表などを厳格化。個人情報データベースを扱っていた者らが不正な利益を図る目的での提供や盗用を罰する「データベース提供罪」を新設し、「1年以下の懲役または50万円以下の罰金」とした。
外国にある第三者への提供の制限では、本人の同意がなければ、外国にある企業に個人データの提供を制限する文言が盛り込まれた。日本と同等水準の保護制度と認められると定める国か、委員会規則の基準に適合する体制を整備している企業に限る。改正法案は国内の個人情報を取得した外国企業にも適用する。
