メディア

改正個人情報保護法の変更ポイント 匿名加工情報って? 罰則が増えた?困ったときのビジネス用語(2/4 ページ)

» 2018年01月17日 10時00分 公開
[溝田萌里キーマンズネット]

2分目 「匿名加工情報」制度の新設

 改正法では、「匿名加工情報」という概念が新設されています。匿名加工情報とは、「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」(第2条9項)です。これは個人情報に当たらないため、あらかじめ明示した目的以外での利用が可能となり、本人の事前同意なしに第三者へ提供できます。

 しかし、一定の義務を果たすことが必要になるので注意してください。すなわち、義務として(1)適正に加工すること(2)加工方法に関する情報の漏えい防止をすること(3)匿名加工情報を作成したときは、匿名加工情報に含まれる個人に関する情報の項目をWebなどで公表すること(4)第三者提供をする際は、匿名加工情報に含まれる個人情報の項目およびその提供方法についてWebなどで公表するとともに、提供相手に匿名加工情報だと明示すること(5)個人を識別するために匿名加工情報を他の情報と照合しないことの5つをクリアしなければなりません。

 (1)に関して、どのように加工すればよいのか例を紹介します。

「匿名加工情報」の加工例 図1 「匿名加工情報」の加工例

 例のように、匿名加工情報にするためには、幾つかの項目を削除するという方法が一般的です。しかし、機械的に項目を削除すればよいわけではありません。例えば、新宿区に10歳未満の女性が1人しかいない場合、加工後の情報とその事実と突き合わせることで、不動律子という個人を特定できてしまいます。これでは適正に加工できているとはいえません。

3分目 海外での個人情報取り扱いルール設置

 改正法では、グローバル化への対応として国境を越えて個人情報をやりとりする場合の規定も設けられました。具体的には、(1)自社の海外拠点に個人情報を持ち出す場合でも、個人情報保護法が適用されること(2)海外の第三者へ個人情報を提供する場合には、事前に本人の同意を得る必要があり、オプトアウトが不可であること、に留意しなければなりません。

 (1)は域外であっても日本の個人情報保護法が適用されるようになったことを意味しています。適用の対象となるのは、国籍を問わず、日本に住む人の個人情報。従って、日本在住の顧客情報を上海支店に持ち出して使うようなケースでは、個人情報保護法の適用範囲内となります。

 また(2)に関しては、海外における第三者が個人情報に対して不十分な対策しか行っていない場合にリスクを回避するという狙いがあります。大前提として、個人情報を第三者提供する際には、あらかじめ本人の同意を得ることが必要ですが、一定の条件をクリアすることでオプトアウトができるようになると説明しました(詳しくは前編の5分目)。一方、海外における第三者への情報提供の場合は、一転してこのオプトアウトが不可能になります。

 では、委託先が海外にあった場合には、どうでしょうか。前回紹介したように、委託先やグループ会社などは第三者に当たらないため、事前に本人の同意を得る必要がありません。しかし、委託先が海外にあった場合には、その海外企業をきちんと監督している場合を除き、やはり本人の事前同意が必要になります。「きちんと監督している」というのは、具体的に個人情報保護法の第4条1節の趣旨に沿った措置を確保している場合など。詳しくは個人情報保護法委員会のガイドラインにおける「外国にある第三者への提供編」を参照してください。

海外の委託先へ情報を提供する場合 図2 海外の委託先へ情報を提供する場合

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。