個人情報保護法改正、変更点やデータ取扱いの注意点とは？：セキュリティ強化塾（6/6 ページ）

[キーマンズネット]

法執行の強化の内容

　2014年の大規模情報漏えい事件では、名簿業者の間で流出情報が転売されたことが問題になった。不正取得したのなら罪に問えるが、不正の事実を知らなかった場合はその販売が合法になるのはいかにも違和感がある。

　そこで、骨子案では、個人情報取扱事業者は個人情報データベースの提供を受けるときには取得経緯を確認した上、提供の年月日とともに記録の作成と保存を義務付けている。また、業者が他の業者に第三者提供をしたときも同様に提供年月日、提供先の氏名などの記録を作成、保存しなければならない。

　さらに個人情報データベース提供罪を新設して、業者や従業員、元従業員が取扱った個人情報データベースなどを不正な利益を図る目的で提供・盗用する行為を処罰対象にできるようにする。

　なお、名簿業者などの業者でも、対象者が望めばオプトアウトできるように開示等請求権を明確に通知、告知しなければならないことが明文化される見込みで、従来のように「業者のオフィスの壁の張り紙で告知する」ような悪質な対応は取り締まられることになりそうだ。

企業ITはどう対応するか

　さて、個人情報保護法改正に当たってIT部門にはどのような対応が求められるだろうか。個人情報保護対策ツールに特別なものがあるわけではない。これまで本コーナーでも紹介してきた数々の技術やツールが利用可能だ。

　例えば特権IDを含むアクセス管理や制御、生体情報認証を含む本人認証技術、操作や通信ログ取得や分析、入退室管理、暗号化、情報持ち出しを防ぐためのデバイス制御（USB使用禁止など）などだ。

　問題はそれをどのように運用するかであり、ポリシーと細かな運用ルールが必要になることは間違いない。それは業種や業態によっても、会社個別にも違いがあり、さまざまな角度から改正法に照らして適正かどうかを見ていかなければならない。これには匿名化のレベルなど、専門性の高い検討が必要になる。

　社内のみでの検討が難しい場合には、「個人情報保護支援サービス」としてリスクアセスメントからポリシー策定、従業員教育までをカバーする、一種のコンサルティングサービスが専門業者から提供されているので、それを利用する方法もある。

　また、技術的に難易度が高いのは、収集した個人情報から個人を特定できない情報に加工する「匿名加工」およびその安全な保管、運用の部分になろう。その部分を肩代わりしてくれる「匿名化情報管理サービス」も登場している。

　個人にひも付いた各種属性情報を管理するデータベースと、匿名加工されたデータベースを厳格に分離して、前者は収集時に同意を得た目的だけに利用し、後者は他の目的、あるいは第三者提供に利用することができる仕組みが既にある。このようなサービスの利用も考慮に入れながら、適正なポリシーでの個人情報保護とパーソナルデータ利活用を両立できる体制づくりをしていく必要がある。

　以上、今回は、国際社会経済研究所の主任研究員、小泉雄介氏に取材し、同氏が注目する「改正骨子案」（以下「骨子案」）のポイントに沿いつつ、編集部の意見や各種報道内容を加えて紹介した。改正法案を読み解くためのヒントになれば幸いだ。