個人情報保護法改正のポイントと企業に求められる対応:すご腕アナリスト市場予測(3/5 ページ)
2015年9月3日に成立した「改正個人情報保護法」。一体何が変わったのか、企業で対応すべきポイントとは。基本を徹底解説する。
個人情報の有用性確保
個人情報の利用はプライバシー侵害のリスクがあるため利用に制限が必要なのは当然だが、個人情報を利用することで顧客や住民などに提供するサービスの質的向上や、新サービスの創出が図れる利点は生かしたい。そこで、一定のルールのもとで、収集したデータを活用できるようにしようというのがこのポイントだ。
今回の改正で第三者へのデータ提供については、「匿名加工情報」という概念が盛り込まれている(第2条第9項、第10項、第36条〜第39条)。これは、個人に関わる情報の中から個人の特定が可能なデータ、例えば氏名や住所全体、電話番号などを除いた情報の抽出や、k-匿名化などの技術的手法で匿名化処理を行うなどの方法で、個人を特定できないようにしたデータのことだ。
改正法では、匿名加工情報なら、本人の同意をとらずに第三者に提供できることになった。当然であるが技術的には第三者の側で、他の情報と照合して本人を特定(再識別)できるようであってはならない。
大枠として、個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならないとしたものの、どこまでのデータなら「再識別できない」といえるのかは難題で、これまで検討が繰り返されてきた部分だ。
結論としては、技術的に再識別を完全に防ぐことは困難だという判断に落ち着き、技術的な条件を課すよりも制度として再識別を防ぐ仕組みづくりの方が適切だということになった。そこで匿名加工情報を受け取った第三者側での再識別禁止などの制限を課している。
また、現行法でも存在する「認定個人情報保護団体」が匿名加工情報にかかわる作成の方法、その情報の安全管理のための措置その他の事項に関し、消費者の意見を代表する者その他の関係者の意見を聴いて、法律の規定の趣旨に沿った指針を作成するよう努めなければならないと規定された。
これは「マルチステークホルダープロセス」と呼ばれる仕組みで、分野別、業界別などの単位で保護団体が関係者間の調整を行って指針を作り、これを守らせるというものである。改正法が施行された後、どの程度この仕組みによって有効な指針が示されるか注視すべきであろう。
匿名加工情報を第三者に提供する場合は「匿名加工情報取扱事業者」としてあらかじめ、提供される匿名加工情報に含まれる個人に関する情報の項目およびその提供の方法について公表するとともに、当該第三者に対して、当該提供にかかわる情報が匿名加工情報である旨を明示しなければならない。
また「どうやって匿名化したのか」についての技術的情報などが漏えいすると、その情報を使って再識別が行われる可能性がある。そのため加工の方法に関する情報の漏えいを防止するため、個人情報保護委員会規則で定める基準に従ってこれらの情報について安全管理措置を講じなければならないことになっている。
つまり、匿名加工情報は個人情報とみなされないが、加工方法に関する情報は厳密に保護しておかなければならないということで、実務的には留意すべき点である。これは例えば暗号技術において、暗号化されたデータは見られてもよいが、復号するための暗号鍵の管理は厳密に行わなければいけないのと同じと考えてよいだろう(ただし匿名加工情報についても必要かつ適切な安全管理措置は講じなければならないと定められているので、個人情報とみなされないからといって何もしなくて良いわけではない)。
こうしたさまざまなルールを作り、それに沿って個人に関する情報を取り扱うことで、プライバシーの保護とビジネスにおける利活用のバランスをとっていくことを目指しているのである。
Copyright © ITmedia, Inc. All Rights Reserved.