改正個人情報保護法の全面施行日（2017年5月30日）が発表されてからしばらく経ちますが、改正法対応の準備は順調でしょうか。

発表以降、個人情報保護方針やプライバシーポリシー、プライバシーステートメントを、改正法対応の一環で改訂する事業者が増えたように思います。改正点については、当機構のセミナーでも取り扱っていますし、インターネット上でも情報収集は可能です。

是非とも改正のポイントをしっかり抑えて、自社のスタッフさんへの教育機会を設けてください。今回の改正法施行を、自社スタッフの情報管理意識の再醸成の機会としてはいかがでしょうか。

さて今回の改正個人情報保護法のポイントの中に、「トレーサビリティの確保」という目的が含まれています。

日本語では、「追跡可能性」と訳されますが、これは、スーパーマーケットなどで売られている食肉や野菜のように、生産者情報を明らかにし、生産者から出荷された後の流通の経路等、実際の店に届くまでの流れを記録し、その情報を消費者に公開するといった仕組みを表すワードとして使われることがあります。

食品などでこのトレーサビリティを確保することで、消費者は安心して商品を購入することが出来ます。当然、生産から加工、輸送などに関わる事業者も、その責任の所在が明確になりますので、不正などを行うことは難しくなります。

個人情報保護においてもこの考えが近年必要とされ、改正個人情報保護法においては、「第三者提供を行う際の記録の保持義務」や「オプトアウトにより第三者提供をする場合の届出義務」が今回導入されることになっています。

この「オプトアウトにより第三者提供をする場合の届出義務」については、２月１日に個人情報保護委員会がその手続についての情報を更新しました。

個人情報保護法の「オプトアウトによる第三者提供の届出」のページを新設しました。

個人情報保護委員会の資料にも明記されていますが、この制度のメインターゲットは、いわゆる「名簿業者」と考えられます。実態がよくわからない名簿事業者を監督下におきたい、という思惑を感じます。

２０１４年に発生した、子供を中心とする大規模な個人情報漏えい事件では、大量の個人情報が1人の従業者により企業から持ち出され、複数のいわゆる名簿業者に売却され、そこを起点として大規模に広がってしまいました。

その際に問題視されたのが、「名簿業者は不正持ち出しの情報と知りながら買い取ったのではないか？（だから買取価格も安かった？）」、さらに「不正に流通した個人情報を名簿事業者から買って利用した企業に問題はないのか？」という点です。

不正に流通した情報だと明確になっていたならどの名簿業者も購入しなかった（と思われます）訳ですが、そもそも流通経路が不明確では、確認のしようもありません。

その問題解決策として今回の「届出制度」がスタートする訳です。加えて、購入も含めた個人情報の提供を受ける場合でも、正規に取得された情報かどうかを確認する義務が出来、不正と知っていながら提供を受けることを禁止しています。

「どこから入手した情報か知らぬ」という言い逃れは許さない状態を作りたいのでしょう。ルール違反へのペナルティの部分でも「個人情報データベース提供罪」が新設され、内部犯による情報持ち出しの抑止力としての機能が期待されています。

改正法下で個人情報データベース提供罪に問われた場合、１年以下の懲役又は５０万円以下の罰金（従業者の所属する法人にも両罰規定として５０万円以下の罰金）

罰則が厳しくなったから犯行が減るといった単純な話ではありませんが、会社や社員を守るため、もう一度個人情報保護をやる意味を、正しい知識、正しい理解をもって再確認する機会をもつ必要があるかもしれません。