個人情報保護法が改正 企業の備えは大丈夫?
相談者 T.Kさん
昨年9月、本コーナーに掲載された「教育事業大手から子どもの情報が漏洩 企業の対応や対策は?」(2014年9月24日)を拝見させてもらいましたが、その後、情報
個人情報の漏洩は、事件を起こしてしまった企業の信用が失墜して経営不振を招くことはもちろん、情報を流出された人も嫌な思いをしますし、詐欺の標的になったりもするので、全ての企業は、先の教育事業大手の教訓を生かして、漏洩対策を徹底すべきかと思います。ただ、あれほどの情報漏洩が起きたにもかかわらず、その後も同じような事例は続いていて、個人的には、自分や家族の情報を第三者に提供することに対しては、どうしても消極的になってしまいます。お店などで買い物をすると、「メンバーカードを作りますか」と聞かれるのですが、よっぽど頻繁に使うお店でなければカードを作る気にはなれません。小まめにポイントをためていけば、割引やお得なサービスが受けられることはわかっているのですが……。
申し遅れましたが、私は子ども向けの教材を販売する会社の総務部門に勤めています。業界では中堅と言われていますが、教育事業大手の情報漏洩は他人事ではありません。全社を挙げて対策に取り組み、それなりの体制を構築できたとは思っていますが、最近になって、新聞で気になる情報を見つけました。マイナンバー制度導入と一緒に、個人情報保護法が改正されたと書いてあったのです。マイナンバー制度の導入については知っており、当社でも、今まさに対応作業に追われていますが、それと一緒に個人情報保護法まで改正されたということは、正直言って初めて知りました。これまでは適用外だった中小零細企業も規制対象になるとか、ビッグデータの活用に道を開くなど、個人情報を取り扱う企業には大きな影響がありそうです。我々の会社のような規模では、新たな状況に対応する資金も十分あるわけではなく、部下と頭を悩ませています。今回の法改正の内容について詳しく教えてください。(最近の事例をもとに創作したフィクションです)
(回答)
個人情報保護法改正、7割が内容を知らない!?
9月3日、「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する案」が成立しました(公布は9月9日)。その名前から明らかなように、これは、個人情報保護法とマイナンバー法を改正するものです。
このうち、マイナンバー法の部分については、本コーナー「マイナンバー制度いよいよ開始 どう対応すれば良い?」(2015年10月14日)にて解説した通りです。政府は、当初、マイナンバーを記載した「通知カード」の届く時期について、10月20日頃から11月中になるとの見通しを発表していましたが、11月19日、日本郵便は、同月18日現在で、全体の25%の家庭にしか届いていないことを明らかにしました。政府は、今も11月末までに全世帯に届ける方針は変えていませんが、既に実現が困難な状況となっています。情報の重要性に
一方、もう一つの改正対象である個人情報保護法に関しても、不安を感じる調査結果が先日、公表されました。内閣府が実施した「個人情報保護法の改正に関する世論調査」(調査期間10月1日~11日)によると、法改正の内容を知っていると答えた人はわずか26%にとどまっているそうです。今回の法改正は、たとえば、従来、5000人を超える個人情報を保有する事業者のみが個人情報保護法の規制対象であったものが、改正後は5000人以下でも規制対象となり、中小企業も含めた全事業者において対応が必要となるなど、実は、企業における対応が不可欠と思われる重要な内容が多く含まれています。企業は、マイナンバーと同様に、改正法の内容を十分に認識し、今後、相応の対応をしていかなければなりません。
とはいえ、マイナンバーは既に動き出しましたが、個人情報保護法は、公布(今年9月9日)の後、2年以内に全面施行されるので、まだ余裕があります。また、細かいルールの多くについては、今回の法改正で新たに設置されることになった「個人情報保護委員会」が定める規則に委ねられており、今回成立した改正法だけでは内容がまだはっきりしない部分もあることから、マイナンバー対応とは異なって、まだ焦る必要はありません。ただ、マイナンバーでの混乱を見ても分かるように、こうした大きな法改正に対する準備に早すぎるということはないのであり、今からでも少しずつ対応準備を進めていくことが肝要かと思います。
今回は、施行に向けて動き出した個人情報保護法の内容について説明したいと思います。
個人情報保護法とは
個人情報保護法とは、企業などが個人情報を取り扱う際のルールを定めたもので、03年に制定され、2年後の05年に全面施行されました。それぞれの時期における、個人情報に対する世間での注目の高まりについては、覚えている方も多いと思います。今ではほとんど話題にならないような、わずかな顧客データの入ったノートパソコンの紛失が、個人情報の漏洩として大きく報道されたり、学校や自治会における緊急連絡網などの作成や配布が中止されたりといった「過剰反応」が話題になりました。
当時の法整備の背景には、住民基本台帳ネットワーク(住基ネット)の導入にあたり、個人情報(住民票に記載されている氏名、住所、生年月日、性別、転居歴など)をネットワーク上に流すことから、情報の流出につき、法律で規制する必要性が生じたことが挙げられます。今回の法改正も、マイナンバーの導入に密接に関わるものであり、制定以来、初めての本格的な見直しとなります。
改正の経緯と主なポイント
今回の個人情報保護法改正の鍵となるのが「ビッグデータ」です。情報通信技術の進展に伴い、集積できる情報の種類や量は日々飛躍的に増大しています。中でも、特に利用価値が高いとされているのが、「パーソナルデータ」と呼ばれるデータです。これには、名前や住所といった個人情報だけでなく、位置情報やウェブ閲覧履歴、購買履歴など、人の生活に伴って発生するすべての情報を含みます。こういったデータを分析すれば、人々の行動パターンや交友関係、思考などを把握でき、マーケティングや製品開発などに大いに活用できます。その結果として、革新的なサービスやビジネスモデル、新たな市場の創出などが期待されるのであり、政府が13年6月に閣議決定した「世界最先端IT国家創造宣言」では、ビッグデータの利活用はグローバル競争を勝ち抜く鍵であり、その戦略的な利活用が経済成長を促進するものと位置付けています。
ところが、現行の個人情報保護法では、パーソナルデータの取り扱いが明確になっていないため、企業がデータの商業利用に積極的に踏み出せないという問題が生じていました。そのような事態の契機となったのが、13年7月、JR東日本がICカード乗車券「Suica」の利用データをビッグデータとして販売しようとして、利用者からの苦情が相次いだ事件です。
この事件については、本コーナー「『ビッグデータ』売却で浮気も発覚? 個人情報どう保護」(2013年8月14日)でも説明していますが、JR東日本は「個人を特定できないように加工したので個人情報ではない」との認識で事前に公表せず、利用者の同意もとらないままデータを外部企業に販売していました。しかし、著名なブロガーなどがこの問題を取り上げ、ネット上で話題になるにつれて批判が殺到するようになり、結局データの販売を中止し謝罪する事態に追い込まれたのです。JR東日本の判断は、仮に個人情報保護法の対象外であるとしても、利用者の感情を無視した不適切な処理であったと言わざるを得ず、この事件は、企業によるビッグデータの利用に大きな萎縮効果を与えました。
今回の改正法の目的(第1条)には、「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ」との一文が追記されており、今回の改正が、個人情報を企業がビッグデータとして利活用する際における取り扱いを明確にし、企業の動きを後押しすることにあるのは明白です。そのため、改正法は、個人情報の定義を明確化するとともに、後述のように「匿名加工情報」という新たな概念を新設し、個人情報の範囲に含まれないパーソナルデータのうち、一定の範囲のものについては、本人の同意を得ずに第三者提供を行っても、事後的に法的問題が生じないことを、いわば事実上保証することで、ビッグデータの利活用を促進する方策をとっています。
その一方で、今回の改正では、不正な個人情報の流通を抑止するための対策が強化されています。相談者の質問にあるように、昨年7月には教育事業大手ベネッセコーポレーションで、多くの顧客情報が流出する事件がありました。この事件では、委託先の従業員により個人情報が盗み出され、名簿業者に販売され、同業他社などの事業者に渡りました。その詳細については、本コーナー「教育事業大手から子どもの情報が漏洩 企業の対応や対策は?」(2014年9月24日)を参照してほしいと思いますが、この事件を契機とし、個人情報取得のあり方や委託先の管理などの問題について議論されるようになった結果、改正法では、それに対する対策が打ち出されているのです。
上記以外にも改正点は多岐にわたっていますが、今回の改正の主なポイントは、以下の5点であり、以下、順に説明していきたいと思います。
(1)個人情報の定義の明確化
(2)個人情報保護委員会の新設
(3)適正な規律の下での個人情報等の有用性を確保
(4)個人情報の保護を強化
(5)個人情報の取り扱いのグローバル化
個人情報の定義の明確化
これは、何が個人情報にあたるかという「グレーゾーン」の解消を意図したものです。改正法では、個人情報の定義として、氏名や生年月日といった個人そのものを表す情報だけでなく、「個人識別符号が含まれるもの」も個人情報ということが明確化されました(改正法第2条)。具体的には、(1)身体の一部の特徴を変換した符号で、特定の個人を識別することができるもの、(2)サービスの利用や商品の購入に関して割り当てられ、または個人に発行されるカード等に記載されるなどした符号で、利用者や購入者などを識別できるもの、の2つに分類されます。
(1)の具体例は、生体認証に使われる指紋や虹彩、声紋、静脈など個人の身体的特徴をデジタル化した情報等が挙げられます。(2)は運転免許証番号やマイナンバー、旅券番号、基礎年金番号などが該当します。携帯電話番号、クレジットカード番号、メールアドレス、サービス提供のための会員IDなどは、国会審議の中で「それ単体では一概には該当するといえない情報」とされており、最終的にどのような情報が「個人識別符号」に該当するのかは、今後、規則で定められることとなっています。
また、人種、信条、病歴、犯罪の経歴などの情報は、本人に対する不当な差別や偏見の原因となるおそれがあり、より慎重な取り扱いが必要であるとして、これらを「要配慮個人情報」とし、特に厳重な取り扱いに関する規定が整備されます。要配慮個人情報は、原則、本人の同意がない限り取得できないほか、本人同意を得ない第三者提供の特例(オプトアウト規定=後述)も禁止されます。
現在、個人情報の取得・第三者提供などに際し、「要配慮情報」に該当し得る情報と、それ以外の個人情報を分けて管理していない場合には、社内体制の整備が必要となりそうです。
個人情報保護委員会の新設
2点目は、プライバシー保護の監督・監視役となる第三者機関である「個人情報保護委員会」の新設です(来年1月設置予定)。個人情報をめぐる事業者への監督はこれまで、各業界を所管する主務大臣が行ってきましたが、事業者にとっては相談窓口が分かりにくい、所管する省庁が不明確な事業分野の対応が難しいなどのデメリットがありました。
改正後は、勧告や命令、立ち入り検査などの権限が、個人情報保護委員会に一元化され、国家公安委員会や公正取引委員会と法的に並ぶ独立した組織となります。改正によって新設された各種の制度は、個人情報保護委員会が規則として詳細を定めることになっている部分が多くなっています。
国際的には、独立した監督機関が個人情報保護法を担当する国が多数を占めており、それに倣ったと言えるかと思います。
適正な規律の下での個人情報等の有用性を確保
3点目は、前述のように、ビッグデータビジネスをはじめとする様々な分野での情報の活用を促すために、「匿名加工情報」が新設されたことです。
匿名加工情報は、「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」と定義されています。特定個人の識別可能性の排除、復元可能性の排除がポイントです。
具体的には、氏名・住所などを削除したり、復元したりできない方法で別の情報に置き換えたりすることや、識別符号すべてを削除すること等が想定されています。なお、匿名加工情報をデータベース化して取り扱う場合は、個人情報保護委員会規則で定める基準に従って、個人情報を加工しなければなりません。この規則は改正法施行前までに定められることになります。
これらの匿名加工情報については、一定の条件の下、本人の同意がなくても第三者に提供を行うことができることが明確に規定されました。その条件は、以下のような内容となっています。
(1)第三者に提供するときは、匿名加工情報に含まれる個人に関する情報の項目や提供方法をあらかじめ公表する
(2)提供先に対して、匿名加工情報であることを明示する
改正法施行後は、匿名加工情報である限りにおいて、事業者が第三者に情報提供しても適法であることが法律上明確に定められている以上、JR東日本のような事態にはならず、ビッグデータを自由に利活用できるようになることが期待されているわけです。
個人情報の保護を強化
前述したベネッセ事件においては、いわゆる名簿業者からの個人情報流出が社会問題となりました。この時、ベネッセとは異なる意味で批判を集めたのが、ベネッセから流出した情報を購入してダイレクトメール(DM)を送っていた、ある上場企業です。同社は、データがベネッセから流出したものだと認識した上で利用した事実はない旨を釈明していましたが、大量の小中学生情報が名簿業者から提示された際に、その出所情報をきちんと確認しないで購入したというのは、やはりコンプライアンスの観点から極めて疑問です。この一件は、名簿の出所については
この事件の教訓から、今回の改正では、個人情報を第三者に提供する際には、提供者・受領者双方に義務が課されることになりました。提供者は、個人データを提供した年月日、受領者の氏名などの記録を作成・保存しなければならず、受領者は提供元の氏名と受領日に加え、個人データ取得の経緯を相手方に確認し、その記録を作成・保存しなければなりません。これにより、個人情報漏洩が起きた場合に、個人情報保護委員会が情報の流通経路を把握することが可能になります。トレーサビリティー(情報の流れをさかのぼって確認できるようにしておくこと)を確保することで、名簿業者などを経由して、本人の意図しない形で個人情報が流通することを防ぐことが可能となります。なお、記録・保存・確認の方法、対象事項の細目や保存期間などについては、今後、規則によって明確化されることになります。
また、ベネッセ事件のような個人情報の意図的な持ち出しへの対策として、個人情報データベース等提供罪も新たに設けられました。これは、個人情報を取り扱う事業者及びその役職員が、その業務で取り扱った個人情報データベース等を不正な利益を図る目的で提供または盗用したときに、「1年以下の懲役または50万円以下の罰金」に処するというものです。
現行法ではいわゆる間接罰方式となっており、主務大臣による命令などに違反した場合に初めて罰則が科せられることになっていたため、個人情報の持ち出しによる情報漏洩事件を直接罰することはできませんでした。また、形のない情報は財物ではないため、データの盗用自体について刑法上の窃盗罪で処罰することも困難であることから、不正アクセス禁止法や不正競争防止法違反で検挙されるケースが多くなっていました。ちなみに、個人情報を名簿屋に売却した証券会社の部長代理は、不正アクセス禁止法違反で逮捕され懲役2年の実刑判決を受けました。また、ベネッセ事件の情報漏洩者は、不正競争防止法違反で逮捕され、現在公判中です。
そのような現状をふまえ、今回の改正でデータベース提供罪が創設されましたが、データベース提供罪は適用範囲が限られているため、万全の抑止効果が期待できるかは疑問もあります。企業側は、従業員の良心に任せるだけではなく、従来通り、持ち出しを防止するシステムを講じる必要があることは言うまでもありません。なお、この「悪意ある」従業員への対応策についても、本コーナー「教育事業大手から子どもの情報が漏洩 企業の対応や対策は?」(2014年9月24日)で説明していますので参照して下さい。
個人情報の取り扱いのグローバル化
情報通信技術の発展に伴い、個人情報が国境を越えてやりとりされるようになる中、改正法では、日本国内だけでなく、国家間の取り扱い規定についても整備されました。
まず、日本国内の個人情報を取得した外国の個人情報取扱事業者についても、個人情報保護法を適用されることが原則とされています。また、個人情報の漏洩が国境を越えて起きるケースも想定されるため、各国の執行機関が協力して問題に対応できるよう、外国の執行当局へ情報提供を行うことが可能になります。さらに、国外の第三者へ個人情報を提供する場合、以下の2つの条件のどちらかを満たさなければ、「外国の第三者に情報を提供する」ことについて、本人から同意を得なければならないとしています。
(1)日本と同等の水準で個人情報が保護されていると認められた国にある
(2)日本の個人情報取り扱い事業者と同じような個人情報保護の体制を整備していると認められている
改正法では、「政府は、国際機関その他の国際的な枠組みへの協力を通じて、各国政府と共同して国際的に整合のとれた個人情報に係る制度を構築するために必要な措置を講ずるものとする」と規定されており、情報が国境を越えて飛び交う今日、国際的に整合性のとれた法制をつくることは大変重要です。
なお、これらの点は、グローバルなビジネス展開を行っている企業にだけ関係するわけではありません。「個人情報の提供」には、第三者への提供だけでなく、委託や共同利用に基づく移転も含まれています。たとえば総務や経理業務などを海外の事業者へ外注委託している場合は、外国への提供について同意を取る必要が生じます。
その他の改正内容
個人情報保護法では、個人情報の第三者提供を行う際には、本人の同意を得なければならないとしていますが、一定の条件(本人が第三者への提供をやめるよう求めた場合に応じる、第三者への提供を利用目的とするなど)を本人に通知するか、容易に知り得る状態に置いた場合、本人への事前同意なく、第三者へ提供できることを定めています。これをいわゆるオプトアウト規定と呼びます。ただ、現行法では「容易に知り得る状態」に置かれていても、本人は自分の個人情報が第三者へ提供されていることに気づきにくいという問題点がありました。
改正法では、このオプトアウト規定によって個人情報を第三者へ提供しようとする場合、データの項目などを個人情報保護委員会に届け出ることを義務付け、個人情報保護委員会は、届けられた内容を公表することとしています。
また、事業者が本人の同意がなく個人情報の利用目的を変更できる範囲については、現行法の「相当の関連性のある範囲」から「相当の」を削除し、個人情報の使い道を変えられる範囲を拡大しました。
なお、冒頭でも述べた通り、取り扱う個人情報が5000人以下であっても個人の権利利益の侵害はありえるため、5000人以下の小規模事業者でも、改正法では規制の対象となります。そうした企業では、改正法施行後に向けた社内体制の構築、社内規定の整備などが必要となってきます。
ただ、小規模事業者にとっては負担が大きいため、個人情報保護委員会が事業者向けの指針を策定する際は、小規模事業者の事業活動が円滑に行われるように配慮すると規定されていますので、今後の動きに注意が必要です。
今後の課題について
個人情報保護法の制定から既に10年以上が経過しました。情報通信技術の急速な発展に伴い、従来の法制度では十分な対応が難しくなる中、今回の法改正の意義は大きいと思われます。
その目的は、ビッグデータの利活用を後押ししつつも、情報の厳格な管理を求めるという、ある意味矛盾した2つ要請を両立させることにあります。
今回の改正を契機として、今後は日本でもビッグデータの利用が活発化していくことは明らかです。うまく活用できれば、新たなサービスが生まれ業務の効率化につながるなど、企業にとっては成長が期待でき、活用できない企業は
消費者側から見ると、ベネッセや日本年金機構など個人情報が大量に流出した事件の記憶が生々しく残っており、相談者のように、個人情報の提供を最小限度に控える気持ちも十分理解できます。今回、たとえ情報を加工し匿名化しても自分のデータが知らないところで使い回されることへ不安や反発を感じる人もいるでしょう。今後、個人情報の保護を強化することによって、こうした不安を解消していかなければなりません。
なお、ビッグデータの利用に関心がない中小企業であっても、今回の法改正では、企業規模に関わりなく
いずれにしても、全ての企業は、今後、個人情報保護委員会の規則によって定められる内容に注意しつつ、個人情報保護法制についての議論の動向を見守っていかなければならないと思われます。