ナレッジ

個人情報保護法改正

第3回 サイバーセキュリティ先端研究所 記者向け勉強会 ダイジェスト

2014年10月3日(金)開催 デロイト トーマツ サイバーセキュリティ先端研究所(DT-ARLCS)は、個人情報保護法改正に関する記者向け勉強会を開催しました。

「個人情報保護法」の基本知識と改正動向 ~ここがおかしいぞ!個人情報保護報道~

新潟大学 法学部 教授
鈴木正朝氏

鈴木氏はまず、個人情報に関係する事件などの報道の多くが、個人情報について誤った認識をしていると指摘した。こうした記事は弁護士などの専門家に意見を聞いていると思われるが、その専門家が個人情報保護法にあまり詳しくなく、誤報に近い報道が続いている。結果として、氏名や住所などを削除すれば個人情報ではなくなるという認識が広がってしまうと懸念を示した。

個人情報には、「本人確認情報」「その他の情報」、そして「番号(識別子)」が含まれる。識別子は英数字などであるため単体ではわからないが、特定のデータベースや顧客情報と照合することで個人を特定できれば個人情報となる。鈴木氏はJR東日本がSuicaの履歴データを日立に販売した件を例に挙げ、JR東日本はSuicaの履歴情報から本人確認情報を削除して販売したが、検証した結果、重複するデータが1件もなく、すべて一意であるため、JR東日本の持つデータと照合することで個人を識別できる。この処理は匿名化ではなく仮名化であり、つまりこれは違法であると結論づけた。

一方で、こうしたビッグデータをビジネスに利活用することは、日本政府が推進している。そのため特定禁止義務によって仮名化ではなく匿名化を行ってデータから個人が再特定されるリスクを低減することが重要であるが、そのしきい値はまだ定められていないという。

 

個人情報保護制度の国際的なバランスを考える

弁護士・ひかり総合法律事務所
板倉陽一郎氏

板倉氏は、個人情報保護に関する法体系のイメージをピラミッド図で示した。その頂点にあるのが、基本理念や国および地方公共団体の責務・施策、基本方針の策定といった「基本法則」で、これのみが全体に適用される。その下は「民間部門」と「公的部門」に分かれ、個人情報取扱事業者の義務等は民間部門のみに適用される。このため、国の行政機関や独立行政法人等、地方公共団体等で発生した個人情報漏えい事件に対して、個人情報保護法の義務を参照することは間違いであると板倉氏は指摘した。

また、日本の情報保護法を語る際に「欧米では」という言い方をするが、これも間違いで、欧州と米国では個人情報に関する法律が全く異なるという。米国では分野ごとに情報保護の法律がある上に、FTC(Federal Trade Commission:米連邦取引委員会)の存在や商務省による「セーフハーバー原則」がある。

一方、EUでは「e-プライバシー指令」があり、特に電子通信部門に関するEUデータ保護指令の特則となった。EU各国はこれらをベースに独自の法律を制定している。また特徴的であるのが、越境データ移転を可能にする「十分性認定」であるが、日本は認定されていない。

日本企業が気をつけたい個人情報保護のポイント

デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員
北野晴人

北野は、グローバルな市場に向けて産業構造が変化しているとして、経済産業省の「通商白書」のデータを紹介。国内だけでは企業が生き残っていけないため、市場を海外に求める必要があることと、「開発する国」「生産する国」「市場としての国」の区別がなくなることを示した。そして、そこに求められることは、「国際競争力を高めるために、より高度なデータの活用」「同時に『同意を得た』プライバシーの保護」「海外の各国法制度にも対応できる仕組み作り」であるとした。また、適法性と安全管理だけでなく透明性も重要として、活用と保護のバランスには「適法性とプライバシーの保護」「透明性の確保と同意合意形成」「安全管理措置(情報セキュリティ)」が重要であるとした。

これらを実現するためには、事前に影響評価を行い、計画段階からプライバシー保護を組み込むことが必要であるとして、北野氏はPbD (Privacy by Design: プライバシー・バイ・デザイン)とPIA(Privacy Impact Assessment:プライバシー影響評価)を勧めた。そして、業務とプロセス、それを支えるシステムを合わせて「収集」「保管」「分析・活用」「廃棄」の情報のライフサイクル全体を保護することが重要であり、PIAを段階的に実現していくことがポイントであるとした。

サイバー・情報セキュリティのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。

>> オンラインフォームよりお問い合わせを行う <<


サイバー・情報セキュリティについて、詳しくは以下のメニューからお進みください

サイバー・情報セキュリティTOP

サイバーセキュリティマネジメントサービス 一覧

プライバシー・個人情報保護サービス 一覧

お役に立ちましたか?