ナレッジ

約10年ぶりの改正:新しい個人情報保護法とその影響 前編

個人情報の保護に関する法律(平成15年5月30日法律第57号)が、2015年9月、約10年ぶりに改正され、今後2年以内の施行が見込まれています。今回の改正では、主に「個人情報の定義の明確化」「ビッグデータの利活用促進」「トレーサビリティの確保と個人情報データベース等提供罪の新設」「国境を越えた適用、越境データに関する規制」の規定が注目されています。本ニュースレターでは、これらのうち企業にかかわる部分を中心に2回に分けてポイントを概説します。まず第1回では、「個人情報の定義の明確化」と「ビッグデータの利活用促進」について紹介します。

約10年ぶりの改正:新しい個人情報保護法とその影響 前編

本ニュースレターでは、これらのうち企業にかかわる部分を中心に2回に分けてポイントを概説します。まず第1回では、「個人情報の定義の明確化」と「ビッグデータの利活用促進」について紹介します。 ※1個人情報の保護に関する法律(平成15年5月30日法律第57号)

(501KB, PDF)

個人情報の定義の明確化

現行法が制定された際、個人情報は次のように定義されました。

「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により
特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」(第2条)

その後、ITの急激な発展などにより、以前は取扱いが難しかった種類の情報が比較的容易に取得、利用できるようになり、下線部分に含まれる情報に関し度々議論が生じるようになりました。そのような情報には、例えば指紋データや顔認識データ、遺伝子データ、移動履歴、購買履歴といったものが含まれるとされ、従来広く明確に認識されていた個人情報と対比して「グレーゾーン」などと呼ばれるようになりました。

このような状況を踏まえて、改正法では、保護の対象をより明確にするため、「個人識別符号」を導入し、身体の一部の特徴を変換した符号、又はサービスの利用・商品の購入若しくは書類に付される符号も個人情報とすることを明らかにしました。具体的には、指紋データや顔認識データ、旅券番号、免許証番号等がこの種類の個人情報に該当するとされています。

 

改正後の個人情報の定義

また、移動履歴や購買履歴などについても、「他の情報と容易に照合できることで特定の個人を識別できる」場合、やはり個人情報として取扱うことと考えられています。個人識別符号としてどのようなものがあるか、詳細は今後定められる政令等において明確になるとされています。企業においては、それら政令等を踏まえ、自社内における個人情報を従来よりも広い視野で今一度洗い出すことが求められます。

ビッグデータの利活用促進

インターネット、スマートフォンを含む移動体端末、各種センサーデバイス等の普及により、個人にかかわるデータをもとにしたビッグデータビジネスの創出が期待されています。そのようなデータには、前述の移動履歴や購買履歴の他、Web閲覧履歴、SNSのアクティビティログ、治験データ等さまざまなものが挙げられます。

個人情報の利用は、現行法では、本人全てから同意を得たうえでその際の利用目的の範囲内で行われる必要があります。しかし、ビッグデータで取扱われるような膨大な数の個人情報については、本人から同意を得るのはコストと時間の観点で事業者にとって困難なことであり、ビジネス上の大きな制約になっていました。このような状況への対応が検討される中、「個人情報」に該当しないようデータを加工して「匿名化」することで、本人のプライバシーが保護されたうえで利活用が可能になるとされ、改正後の個人情報保護法では、そのように加工された情報を「匿名加工情報」として導入することになりました。

匿名加工情報とするための加工の方法については、個人情報保護委員会※2が定める委員会規則等で規定される予定で、個人情報取扱事業者はそれにしたがって加工を行なう必要があります。その詳細は委員会規則等が策定されるのを待たなければなりませんが、データの匿名化を行なう方法としては、これまで一般的に次のものが知られています。

※2 改正個人情報保護法に規定された、個人情報の保護に関する独立した監督機関。

一般的な匿名化の方法の例

匿名加工情報の取扱いに伴う主な義務

加工に関する委員会規則等への準拠の他にも、匿名加工情報を作成する際、及び匿名加工情報を提供する際には次の義務が課せられます。さらには、匿名加工情報を受け取った者についても、提供する者と同様の義務が発生するとされています。匿名加工情報を取り扱う企業においては、今後規定される委員会規則等を含め、定められた義務に対応するための適切なルールの整備とその確実な運用が求められます。

記事の前編は以下からお進みください

約10年ぶりの改正:新しい個人情報保護法とその影響《後編》 

 

サイバーリスクサービスについて、詳しくは以下のメニューからお進みください

サイバーリスクサービスTOP

サイバーセキュリティマネジメントサービス 一覧

プライバシー・個人情報保護サービス 一覧

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。

 

 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?