個人情報保護委員会は4月29日、行政安全部や保健福祉部、健康保険公団など主要公共機関を対象に、本人データ転送の対象拡大を盛り込んだ改正施行令の内容を説明した。会合は政府世宗庁舎で開かれた。

同委員会は、改正施行令の主な内容や判断基準を広く周知するため、案内書の改定作業を進めている。この日の懇談会では、主要公共機関向けに制度改正のポイントを共有した。

主な改正点は、本人データ転送要求の対象範囲の拡大と、転送方式を巡る事前協議の明確化だ。具体的には、本人データ転送義務の対象となる事業者・機関の判断基準や、転送要求の対象となる情報の範囲を整理した。

対象該当性の判断では、平均売上高は国内外を含む全売上高を基準とし、本人の数は全システムで処理する本人情報の総数を基準とする。公共システムの運営機関については、公共システムだけでなく、当該機関が管理するすべてのシステムを基準に判断する。

一方で、各機関の事情にも配慮した。転送要求が多いと見込まれるシステムから先に本人データ転送の方法を整備し、残るシステムへの適用拡大日程を個人情報処理方針に記載すれば、その日程に合わせて対応できるとした。

転送要求の対象情報は、本人の同意または契約に基づいて収集した情報と、法令に基づいて収集した情報のうち、個人情報保護委員会が審議・議決した情報が該当する。さらに、個人情報処理者が別途生成した情報ではなく、情報処理装置で処理される個人情報である必要がある。改正施行令ではこのうち、他人の権利や正当な利益を侵害するおそれがある情報や、営業秘密、産業技術に関する情報を対象から除外した。

また、インターネットのホームページ上で本人が即時に閲覧・照会できる個人情報について、本人が受け取れるようダウンロード機能を提供することも、本人データ転送として認められると明記した。本人から要請があった場合には、段階的に転送対象情報の範囲を拡大するなどの対応策も検討・整備できるとした。

代理人が自動化ツール（スクレイピング）を使って本人データ転送要求を代行する場合についても、事前協議事項を具体化した。本人データ転送義務の対象となる事業者・機関と代理人は、転送の範囲、目的、方式に加え、代理人の委任権限の確認、代理人側の保護措置と安全管理策、責任の所在などを事前に協議すべき事項として明記した。

個人情報保護委員会は、懇談会で出た意見を検討し、必要に応じて案内書改定案に反映する。6月に確定版を公表し、制度の円滑な施行につなげる方針だ。