ナレッジ

改正個人情報保護法~企業の実務に及ぶ影響~

第6回 サイバーセキュリティ先端研究所 記者向け勉強会 ダイジェスト

2015年11月24日(水)開催 本勉強会では個人情報保護法改正を受けて、個人情報の利活用や取扱い、ITシステムの設計・構築で求められる要求等を解説しました。

個人情報保護法改正:ビッグデータと匿名加工情報について

デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員
大場敏行

大場は、個人情報の定義の明確化から説明を始めた。現行法では「他の情報と容易に照合することができ、それにより特定の個人を識別できる」ものを含むとある。しかし、その後のITの発展によって、従来は取り扱いが難しかった指紋、顔認識、遺伝子、移動履歴、行動履歴などのデータが比較的容易に取得、利用できるようになり、これらは「個人情報であるか否か」の判断が難しいグレーゾーンとなっていたと説明。改正個人情報保護法では個人情報の定義が見直され、個人識別符号が定義された。また、機微度の高い一部の個人情報を要配慮故事情報と定義し、より厳しい取り扱いを義務付けた。(ただし政府の説明では個人情報の定義を拡大したわけではなく、従来の定義を明確化しただけ、ということになっている。)

一方で、改正個人情報保護法ではビッグデータ活用も視野に入れている。移動履歴や購買履歴は「容易照合性により特定の個人を識別できる情報」に該当するため、第三者提供を行うためには、本人からの同意取得またはオプトアウトの対応が必要になる。そのため、匿名化を行うことで、同意を取得することなしに第三者提供ができるようにしたのが匿名加工情報である。その加工の方法には、属性の値を上位の値や概念に置き換えることや、特に大きい、もしくは小さい属性をまとめることなど複数の方法があり、大場はそれらについて説明した。匿名化により、ビッグデータの活用ビジネスにおいて第三者提供を行う際に本人すべてから同意を得る必要がなくなる。その手法は政令などで一定のレベルまでは統一される予定だという。また、企業が匿名加工情報を取り扱う際に必要な新しいルールについても実務的な例を示した。

 

 

 

個人情報保護法改正:グローバルな法制度とシステム

デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員
北野晴人

北野はまず、グローバルな法制度と最近の話題について紹介、グローバルにみた関連法制度は変化していると述べた。特に過去5〜6年の間に、アジア諸国で個人情報保護関連の法制度が数多く確立されている。また、欧州司法裁判所からセーフハーバー無効の判決が出されたことについて説明した。米国の公的機関はセーフハーバー協定の対象外となっており、また国家安全保障や公の秩序および法秩序に基づいて求められる要件はセーフハーバー協定に優先していることなどから、裁判所はセーフハーバー協定が無効であると判断した。

この判断は、欧州における個人データの域外移転に影響を及ぼすと北野は指摘した。EUデータ保護指令では、原則として十分なレベルの保護措置を確保している場合に域外移転が可能とされているが、米国は十分なレベルではないとしている。この場合は域外移転の例外を適用することとなり、明確な同意の取得、拘束的企業準則(BCR)や標準契約(SCC)などが選択肢となる。

日本の改正個人情報保護法では、個人情報の海外向けの第三者提供について、「認められた国」を選ぶこと、海外側の環境を整備すること、同意を取得する(情報提供の同意とは別)などを満たすことを条件としている。また、要配慮個人情報が新設されたことにも触れた。データベースを設置する際には、ビジネスの方向性と所在地の兼ね合いを意識する必要があるとして、講演を締めくくった。

 

サイバー・情報セキュリティのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。

>> オンラインフォームよりお問い合わせを行う <<


サイバー・情報セキュリティについて、詳しくは以下のメニューからお進みください

サイバー・情報セキュリティTOP

サイバーセキュリティマネジメントサービス 一覧

プライバシー・個人情報保護サービス 一覧

お役に立ちましたか?