個人情報保護委員会は2016年10月4日、改正個人情報保護法のガイドライン案を公表し、11月2日までパブリックコメント(意見募集)を行うと発表した。ガイドライン案は「通則編(個人情報保護法全体の解釈・事例)」「外国にある第三者への提供編」「第三者提供時の確認・記録義務編」「匿名加工情報編」の4つに分かれている。

 改正法は2017年に全面施行され、監督権限が個人情報保護委員会に一元化される。ガイドライン案は、これまで省庁や分野ごとにあったガイドラインのうち、全ての分野に共通に適用される汎用的なガイドラインを定めたものだ。

 医療や金融、情報通信関連などの分野については、委員会のガイドラインを基礎として、個人情報の性質や利用方法、現行の規律の特殊性などを踏まえて、「さらに必要となる別途の規律を定める方向」という。

 また、ガイドライン案では「しなければならない」「してはならない」と記述している事項については、これらに従わなかった場合は法に違反すると判断される可能性があると説明している。例えば、個人情報に関わる本人に対して、個人情報の利用目的を明示しなければならない事例として、「本人の個人情報が記載された申込書・契約書等を本人から直接取得する場合」などを列挙している。

 このうち通則編では、個人情報の定義のうち「死者に関する情報」について、「同時に、遺族等の生存する個人に関する情報でもある場合には、当該生存する個人に関する情報に該当する」と説明している。また、新たに個人情報に位置づけられた「個人識別符号」については、DNAの塩基の配列や、顔の容貌、指紋などの特徴情報によって「本人を認証することができるようにしたもの」が、個人識別符号に該当すると列挙している。