個人情報保護法が久しぶりに改正され、平成29年5月30日に施行される予定となっています。
これにより、事業者が対応しなければならない事項は何でしょうか？

データベース5000人要件の削除

改正前の個人情報保護法では、5000人を超える個人情報を有する事業者が個人情報保護法の適用対象でしたが、これが削除されたため小規模な事業者も個人情報保護法をよく理解しておく必要があります。

個人情報を第三者に提供するとき

事業者が個人情報を第三者に提供する場合、その記録を作成する義務が設けられました。
記録事項（本人の同意を得て第三者に提供する場合）
・個人情報の提供先の名称など
・本人の氏名又は名称など
・個人データの項目
・本人の同意を得ている旨

個人情報を第三者から提供を受けるとき

改正法では、個人情報を第三者に提供する場合だけでなく、第三者から提供を受ける場合も記録するよう義務付けられました。
第三者から個人情報の提供を受ける場合には、次の情報を確認しなければなりません。
・氏名又は名称
・住所
・代表者の氏名
また、提供を受ける個人情報の取得経緯も確認する必要があります。
さらに、個人情報を受領した記録も作成しなければなりません。

オプトアウト手続きの厳格化

個人情報を第三者に提供する場合には、原則として本人の同意が必要になりますが、例外がありました。（オプトアウト手続き）
改正法では、オプトアウト手続きによる第三者提供について、届け出義務など新たな対応が必要になります。
また、オプトアウト手続きに関する事項は「プライバシーポリシー」として企業のwebサイトにおいて公表されている場合が多いですが、自社のプライバシーポリシーを見直す必要もあるでしょう。

外国企業への個人情報提供

改正前の個人情報保護法は、外国の企業等に個人情報を提供することについて特に規定はありませんでした。
改正法では、外国企業に個人情報を提供する可能性がある場合の規制を設けています。

「個人情報」の定義の変更

改正個人情報保護法では、「個人識別符号」という定義が新設されました。
個人識別符号とは、指紋など「特定の個人の身体の一部の特徴」を変換した符号によって本人認証ができるようにしたもの、または旅券番号や免許証番号、住民票コードなど個人に割り当てられる符号、とされています。

要配慮個人情報に対する規制の新設

改正個人情報保護法では、「要配慮個人情報」という定義が新設されました。
要配慮個人情報とは、心身の障害や健康診断など、特に配慮が必要な情報のことです。
また、要配慮個人情報に当たる個人情報は、オプトアウト手続きによる第三者提供をすることができません。

まとめ

顧客リストを作っている事業者は多いと思いますが、今後はその取り扱いについて慎重に対応する必要があります。例えば・・・
・ダイレクトメールや年賀状を他の業者に委託する場合。
・下請けとして個人情報を受け取る場合。
・医療機関など要配慮個人情報を扱う事業者。
データベースの5,000人という枠が撤廃されたことでほとんどの事業者が個人情報保護法を意識して置かなければならないでしょう。