ビッグデータ活用のために知っておくべき個人情報保護法②【改正編】

個人情報保護法の基本を押さえるために、ポイントを簡単にまとめた記事はコチラ

「個人情報保護法」は、インターネットの発達等により、大量のデータがやり取りされる今の社会において、重要性がますます高くなっている法律です。さらに、平成27年に改正され、ビッグデータ関連のルールが追加されました。そこで、ビッグデータ活用に向けて知っておきたい、個人情報保護法の基本的なルールを解説します。

前回は、個人情報保護法の改正前から適用される、基本的なルールを紹介しました。

今回は、改正内容のポイントを解説します。

スポンサーリンク

個人情報保護法改正の背景

政府の公表資料によると、法改正の主な背景として、「①個人情報に該当するかどうかの判断が困難ないわゆるグレーゾーン※が拡大」「②パーソナルデータを含むビッグデータの適正な利活用ができる環境の整備が必要」「③事業活動がグローバル化し、国境を越えて多くのパーソナルデータが流通」の3点が挙げられています。

※グレーゾーンとは

例えば、政府が付した番号(旅券番号や免許証番号等)については、特定の個人を識別できないとして、個人情報として取扱わない事業者もおり、個人情報として取扱うべき範囲が曖昧となっていました。しかし、「旅券番号や免許証番号のような情報が漏えいした場合、漏えい先が当該旅券番号や免許証番号の情報を持っていた場合、特定の個人が識別され、権利利益が侵害される可能性もあり、個人情報の範囲について明確化が必要とされていました。

特に①②は、今回の法改正の端緒となった「パーソナルデータの利活用に関する制度見直し方針」で提言されたものです。

具体的には、パーソナルデータの利活用が事業者の生産性向上や新たな商品・サービスの創造等に重要な役割を果たすことが期待される中、自由な利活用が許容されるのかが不明確な「グレーゾーン」が発生・拡大し、利活用に当たって保護すべき情報の範囲や事業者が遵守すべきルールが曖昧になっていました。

また、Suicaデータの販売中止騒動※といった事件を受けて、プライバシーに係る社会的な批判を懸念して、事業者がパーソナルデータの利活用に躊躇するという状況でした。

そこで、保護すべき個人情報の範囲を明確化することとともに、パーソナルデータの利活用について消費者の安心感を生む制度として、消費者のプライバシーに配慮した加工方法や加工した情報の取扱いに関するルールを整備することが要請され、今回の法改正となったのです

※Suicaデータの販売中止騒動とは

JR東日本が交通系ICカード「Suica」の乗降履歴等のデータから、氏名や電話番号等の個人を特定できる情報を削除した加工データを日立製作所に販売したが、「Suica」利用者から、プライバシーへの配慮が足りないと批判が相次ぎ、販売中止に至ったもの。
なお、法改正前においては、特定の個人を識別できない情報は個人情報でなかったため、JR東日本の取扱は法で明確に禁止されたものではありませんでした。

個人情報保護法 改正のポイント

個人情報の定義の明確化

法改正の背景の一つである「①個人情報に該当するかどうかの判断が困難ないわゆるグレーゾーンが拡大」の解消に向けた対応として、「個人識別符号」という概念を導入され、個人情報の定義の明確化を図っています。

改正前における個人情報の定義は、「生存する個人に関する情報であって、氏名、生年月日、住所等により特定の個人を識別することができるもの(他の情報と容易に照合でき、それにより特定の個人を識別することができるものを含む)」のみであったため、

パスポートの「旅券番号」等の政府が付した番号等は、事業者内のデータベースで当該情報をもとに特定の個人を識別できる情報と容易に照合できるといった事情がない限り、そうした番号等のみであれば個人情報として取扱わないといった解釈も可能であり、事業者によってそれらを個人情報として取り扱うかは判断が分かれていました。

改正法においては、上述の定義に加え、「生存する個人に関する情報であって、個人識別符号が含まれもの」が個人情報として定められました。

そのため、個人識別符号として定められた「旅券番号」等は、単独で個人情報として取扱われることとなりました。

要配慮個人情報の新設

個人情報の定義の明確化に加えて、通常の個人情報よりも慎重な取扱いが要求される個人情報が新設されました。

「人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述などが含まれる個人情報」(法第2条第3項)は、

差別や偏見を生じさせるおそれがあることから、それらを要配慮個人情報として、原則、本人の同意を得ないで取得することを禁じる取扱いとなっています。

匿名加工情報

「②パーソナルデータを含むビッグデータの適正な利活用ができる環境の整備が必要」という要請に応えるため、改正法で新設されたのが匿名加工情報という概念とその取扱ルールです。

法改正の背景のとおり、当該規制は事業者に一定の制約を課すことで、パーソナルデータの利活用について、消費者の理解を得やすくするという狙いがあります。

匿名加工情報のルールについては、ビッグデータの利活用等に向けて特に重要なルールであるため、次回の記事で詳しく解説します。

第三者提供の確認・記録義務

もともと改正法の初期の検討段階にはなく、某教育事業者の大量漏えい事案を受けて、追加されたルールである。名簿屋対策を目的とするものであり、オプトアウトや本人から同意を得て第三者提供する際に、その確認・記録を提供者及び受領者それぞれに課しています。

外国にある第三者への提供の制限

法改正の背景である「事業活動がグローバル化し、国境を越えて多くのパーソナルデータが流通」を受けて、外国にある第三者へ個人データ提供に関するルールが新たに定められています。

個人データを外国にある第三者に提供するに当たっては、次の1から3までのいずれかに該当する場合を除き、あらかじめ「外国にある第三者への個人データの提供を認める旨の本人の同意」を得る必要があります(法第24条)。

  1. 当該第三者が、我が国と同等の水準にあると認められる個人情報保護制度を有している国として規則で定める国にある場合
  2. 当該第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として規則で定める基準に適合する体制を整備している場合
  3. 法第23条第1項各号(法令に基づいて個人データを提供する場合等)に該当する場合

なお、クラウドコンピューティングシステム等において、外国にサーバーが設置されているサービスを利用する場合、当該クラウドサービスに個人データを保存する場合、委託契約の条項等により「外国にある第三者」が個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等においては、当該「外国にある第三者」は当該個人データの提供を受けて取り扱っているとはいえないと整理し、上述の対応を不要とすることも可能であると考えられています。

(「ガイドライン(外国にある第三者への提供編)(案)」に関する意見募集結果(№693))

いかがでしたか、次回は、ビッグデータ活用の肝となる「匿名加工情報」について解説します。

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク