個人情報保護法改正、変更点やデータ取扱いの注意点とは?:セキュリティ強化塾(1/6 ページ)
個人情報保護法の改正法案が閣議決定されたが、IT部門で必要とされる対応とは。何が「個人情報」とみなされ、どう管理するべきか?
平成17年から全面施行された個人情報保護法は、数々の個人情報漏えい事件を明るみに出す大きなきっかけになったと同時に、さまざまなITサービスの利便性をプライバシーに関わるリスクを低減しながら享受できる社会の実現に向けた大きな一歩になった。
しかし世界の法制度との解離や曖昧さが問題視され、見直しの必要性がかねてより指摘されてもいた。3月10日に改正法案が閣議決定され、記事執筆時点ではまだ内容が公開されていない段階だが、法案とその審議経過を正しく理解する意味でも、今、何が問題とされているのかを整理しておきたい。
今回は、2014年12月に公表された「改正骨子案」(以下「骨子案」)に沿って、改正のポイントを紹介していく。
きっかけの1つはSuica乗降データの第三者提供
個人情報保護法改正のポイントは3つある。1つはパーソナルデータの取扱ルールの明確化、そして国際的なパーソナルデータ保護制度との整合をとること、さらに違反事業者に対する法執行の強化だ。
1つ目のパーソナルデータの取扱ルールの明確化に関しては、1つの象徴的な出来事があった。2013年にJR東日本が「Suica」の乗降履歴情報を日立製作所に販売していたことが明らかになった事案だ。
本人の同意なしに個人情報を第三者に提供していたとして社会的に指弾されることになったのだが、JR東日本は「提供したのは分析用データ」であり、一定レベルの匿名化処理がされて特定個人を識別できない状態だと評価しており、「個人情報」にはあたらないという認識だった。乗降履歴データは、氏名や電話番号など個人を識別する情報を削除したうえSuica IDも別の識別IDに変換していた(図1)。
しかし、情報提供の件が報道された後、JR東日本はSuica利用者からの希望に応じてデータの販売、譲渡を個別に取りやめる「オプトアウト」の受け付けを始め、やがて批判の高まりに応じて両社は情報の授受や利用を停止した。
2013年9月に「有識者会議」を設置して取り扱いについて議論を重ね、2014年2月にまとめられた「中間とりまとめ」では、個人情報保護法違反とはいえないものの、事前に十分な説明や周知を行わなかったことなど、利用者への配慮が不足していたことが問題視されたため、現在も情報提供は行われていない。この経緯で個人情報の定義における特定の個人の識別性の論点について、専門家の間でも解釈に幅があることも明らかになった。
また改正のもう1つのポイントである海外制度との差について、典型的なのはEUの「データ保護指令」との差だ。EUでは個人データ保護の権利は基本的人権の1つとして捉えられており、EUと同等のデータ保護制度がない国へのパーソナルデータの移転は認められない。
現行の日本の制度はEU基準では不適合になってしまう。つまり例えば日本企業が欧州に進出して拠点を設立したとき、その顧客データは無論のこと、従業員管理のための情報すら日本に送信できないということだ。
従来は特例的な方法で本人の同意をとったり、個別に契約を締結したりして情報送信が認められてきてはいるが、前者は国によっては労組の同意が必要であり、後者は第三者機関の承認が必要で、契約のための弁護士費用や承認にかかる時間などが問題になっている。
改正のさらに1つの背景は、2014年の大規模個人情報漏えい事件で誰の目にも明らかになったように、情報を流出させた当人が罪に問われる一方で、情報を買った名簿業者は、その存在や売買事実が明らかなのに罪に問われないという、法の網の目の粗さが知れ渡ったことだ。
こうした3つのポイントが現行法の主な弱点とされ、改正案が作成されている。以下に、改正案の骨子について見ていこう。
Copyright © ITmedia, Inc. All Rights Reserved.