<ポイント>
◆認定個人情報保護団体は民間団体による個人保護推進を担う
◆改正により業務範囲の限定や団体の指針に違反する事業者を対象業務からの除外も可能に
個人情報保護法は、個人情報保護委員会による監督と同時に、民間団体による個人情報保護の推進も定めています。その役割を担うのが、認定個人情報保護団体です。
個人情報保護法は、事業分野や営利性の有無等を問わずに、個人情報を取り扱う全ての民間事業者に適用される法律であるため、一般的なルールのみを規定しています。とはいえ、一般的なルールのみを定めればよいというものではなく、事業分野の特性等に応じた個人情報の保護のための配慮が望ましいことは言うまでもありません。そのため、取り扱う個人情報の性質、利用方法、取扱いの実態等の業界や事業分野の特性に応じたより高い水準の個人情報の適切な取扱いを確保するため、民間において自主的な取組が行われることが望ましいとされたものです。
認定個人情報保護団体が行う業務の代表的なものとしては、次のようなものがあります。
(1)対象事業者の個人情報等の取扱いに関する苦情の処理
(2)個人情報等の適正な取り扱いの確保に寄与する事項についての対象事業者に対する情報提供
(3)上記(1)(2)のほか、対象事業者の個人情報等の適正な取り扱いの確保に関し必要な業務
今般の改正により、仮名加工情報・仮名加工情報取扱事業者の新設に伴い、認定個人情報保護団体の対象事業者となり得るものとして、「個人情報取扱事業者」、「匿名加工情報取扱事業者」に加えて、「仮名加工情報取扱事業者」も追加されました(以下「個人情報取扱事業者等」といいます)。
なお、「個人関連情報取扱事業者」は対象事業者に含まれません。個人関連情報の取扱いについては、基本的に個人情報保護法に基づく規制の対象外とされており、個人関連情報取扱事業者については、安全管理措置の義務や苦情処理の努力義務が課されていないため、認定個人情報保護団体制度の対象にも加えないことにされました。
改正前は、認定個人情報保護団体は、事業者を企業単位で対象とすることが想定されていましたが、改正法は、認定個人情報保護団体が個人情報保護委員会の認定を受ける際、その認定に係る業務の範囲について、対象とする個人情報取扱事業者等の事業の種類その他の業務の範囲を限定して行うことができるとしています。
この改正は、個人情報を用いた業務実態の多様化やIT技術の進展を踏まえ、企業の特定分野(部門)を対象とする団体を認定できるようにし、分野ごとのより高い水準の個人情報保護の推進に資することを目的としています。
対象事業者について、従前の「当該認定個人情報保護団体の構成員である個人情報取扱事業者等」との定めが削除され、認定業務の対象となることについて同意した個人情報取扱事業者等に限定されることになりました。なお、改正法施行の際に、現に構成員である事業者については施行日に同意があったものとみなされます。
これは、団体の構成員である事業者が、認定業務の対象となるために当該団体に加盟しているとは限らず、苦情処理への協力や個人情報の保護方針の遵守等について消極的な対応をすることも懸念されたため、積極的な取り組みを促進するため対象事業者の明確な意思表示を求めたものです。
認定個人情報保護団体は、対象事業者に個人情報保護指針(認定個人情報法保護団体が作成するもの)を遵守させるため必要な指導、勧告その他の措置をとったにも関わらず、当該対象事業者が個人情報保護指針を遵守しない場合は、当該対象事業者を苦情処理や情報提供などの認定業務の対象から除外することができるとされました。
従来は、このような根拠規定がなく、認定個人情報保護団体が作成する個人情報保護指針を遵守しない対象事業者の統制を取ることが困難な場合がありました。このため、個人情報保護指針に違反する対象事業者の行動が改まらない場合に、認定個人情報保護団体が国民の信頼を失い、民間団体による個人情報保護の推進に支障が生じかねないことが危惧されました。そのような事態を避けるため認定個人情報保護団体に上記の権限を与えたものです。
この権限を与えることによって、必ずしも団体そのものからの除名ではないにしても、当該認定個人情報保護団体が、その個人情報保護方針に従わない構成員を認定業務の対象から除外し、その構成員がその団体の個人情報保護指針を遵守していないことを対外的にも明確にすることができるようになり、そのような事態を避けたい構成員がその団体の個人情報保護方針を遵守することを期待したものとも言えます。
