■機微情報については、どのように収集し、取り扱うべきか？

機微な個人情報はGDPRにおける「特別カテゴリーの個人情報」に類似し、一旦漏えいされたり、不法に提供されたり、又は濫用されたりすれば、人身・財産上の安全に危害が及ぶ恐れがあり、個人の名誉や心身の健康を損なったり、又は不当な冷遇を受ける可能性が極めて高い個人情報を指す。上表で言及される一部の個人の資産情報、フィジカルヘルス情報、生体認証情報、本人情報、インターネット上の身元識別情報及び満14歳（14歳を含む）以下の未成年者の個人情報はいずれも機微情報に該当する。

機微情報を収集し、取り扱う場合、下記事項について注意を払う必要がある。

■他社と個人情報を共有し、又は他社に譲渡することは可能なのか？

原則上、個人情報を共有し、譲渡することは認められていない。共有し、譲渡する必要が確かにある場合、リスクを十分に考えたうえ、以下の要求に従わなければならない。

■「規範」は、オフラインで収集した個人情報にも適用するのか？

「規範」の適用主体はデータ支配者であり、即ち、個人情報の取扱い目的、方式を決定する権利を有する組織又は個人である。同法の適用対象は「サイバーセキュリティ法」のインターネット運営者よりも広く、よって、「規範」はオンライン及びオフラインでの個人情報収集行為のいずれに対しても拘束力を有する。具体的には、以下の通りである。

終わりに

「規範」が公布されたことで、企業が個人情報を保護するうえで依拠すべき規定が整備された。企業は、個人情報を収集し、保存し、共有する際には、「規範」を可能な限り遵守し、処罰リスクを低減させなければならない。

（里兆法律事務所が2018年8月7日付で作成）