どちらが大事？ パーソナルデータ活用とプライバシー：セキュリティ強化塾（3/6 ページ）

[キーマンズネット]

第三者提供をしなければ個人情報は自由に使えるか？

　個人情報は、取得の時に本人が承認した利用目的以外に使うことはできない。これは社外提供はもちろん社内業務においても同じだ。現行法でも改正案でもここは同様で、「データ最小化の原則（ISO/IEC29100による）」をとり、必要以上のデータを持たない、適切な利用期限を設けその後は削除する、といった努力が求められている。

　上記の匿名化は、社内利用の場合にも有効で、適切な匿名化が施されたデータや、統計処理したデータは自由に利用できる（統計データでも個人の特定可能性がある場合は「仮名化情報」と呼ばれ、個人情報とみなされる可能性はある）。

　データマイニングの場合でも、元データの氏名や住所などの個人特定可能性がある情報を削除しておけば、いかようにも利用できることになる。しかしデータのどの項目に個人特定可能性があるのかはやはりどうしてもつきまとう問題だ。

　とはいえ、匿名化情報の社内利用については、匿名化のレベルは完全でなくても、そのデータを取り扱う人と目的が限定され、情報漏えいを防止できる対策がとられていれば可能となる。ただし、それが外部に漏えいした場合は当然責任をとらなければならないので、リスクを最小化する安全管理措置がとられていることが前提だ。

　例えば情報を取り扱う部屋を一般執務スペースから切り離す、データを暗号化する、アクセス権限を担当者のみが持つようにシステムへのアクセス制御を徹底するといった対策が求められる。