謹んで新春のお慶びを申し上げます
皆様のご健勝とご多幸の年となりますことを祈念致します
2005年4月1日に「個人情報の保護に関する法律」(「個人情報保護法」以下、
現行法という)が全面施行されてから10年が経過します。この間、個人情報の
定義をはじめとする法解釈をめぐって過剰反応や認識不足等が見られ、適切な
法対応ができていない状況が散見されました。つまり、現行法制定の基本であ
る“個人の権利・利益の保護”と“個人情報の有用性の活用”とのバランスが
不明確だったのです。これに対して、経済産業省をはじめ各省庁からはそれぞ
れの分野における個人情報の保護に関するガイドラインを発行するとともに、
その適宜な改定を通じて適切な解釈の在り方を示す等が行われてきました。同
様の取組みは、さまざまな業界団体も実施しています。もちろん、地方自治体
もそれぞれに個人情報保護条例を制定して普及浸透を目指してきました。
一方、より積極的な取組としては、現行法以上の厳しい要求を持つプライバ
シーマーク認定を取得する組織も相応の企業数となっており、2014年12月現在
で13,817社に達しています。
そこで気になるのが、日本の個人情報保護水準は世界的に見てどうなのかと
いうことです。上記のような取組にも関わらず、残念ながら欧米の水準に追い
付いていないと言わざるを得ない状況です。これは、特に医療分野において今
後、日本の産業発展の足かせになるかもしれないと危惧されているのです。
ここで、現行法における個人情報保護の大枠を振り返っておきます。現行法
を順守しなければならない者を「個人情報取扱事業者」としていますが、政令
によって取扱量が過去6か月のいずれの月においても5,000人以下の場合は現行
法の適用除外とする等、日本の企業の大多数を占める小規模企業の負担を考慮
した内容です。もちろん、このようないい加減なことでは実効性がないという
ことから、例えば東京都をはじめとする一部の地方自治体の個人情報保護条例
では、5,000人以下の例外を認めていないケースもあります。
現行法における保護の在り方は、個人情報を、(1)特定の個人を識別できる
レベルの「個人情報」、(2)データベースのような利活用の便宜性を持った形
にした「個人データ」、(3)更に個人情報内容を本人の求めに応じて開示・訂
正・利用停止等をすることが可能な性格(権限)を持ったレベルの「保有個人
データ」と区分して、それぞれの個人情報レベルに応じた保護策を規定してい
ます。「個人情報」に対しては現行法第15条~18条及び31条を義務付け、「個
人データ」に対しては加えて第19条~23条を、「保有個人データ」には更に加
えて24条~30条を義務付けています。
昨年で最大の個人情報事故としては、B社から3,000万件以上の顧客情報が漏
えいして名簿業者に売渡されたことは未だ記憶に新しいことと思います。事故
が発覚した当時の当該社経営トップは、記者発表で確か「個人情報を持出した
のは、当社の社員ではありません」という趣旨の発言をしていました。まるで、
自社の社員が犯人でなければ責任を感じないような印象を受けたことを覚えて
います。漏えいした個人情報は当該社に取って「保有個人データ」に該当し、
「個人データ」の管理に義務付けられる22条の「委託先の監督」をしていなけ
ればならないのです。業界を代表する大企業の経営トップによるこのような発
言には唖然としたものです。
ところで、「ビッグデータ」をご存知でしょうか。直感的に途方もなく大量
のデータを指すであろうことは理解できますが、これはICT(情報通信技術)
の発達及び普及と深い関係があります。ICTの活用によって、多種多様な情報
が、しかも大量に処理できるようになった結果、これらを統合した更に巨大な
データの塊として扱い、多角的に融合処理すれば新発見や法則等を導くことが
できます。その中から新たな事業機会が創出され、更には新産業の出現に結び
つくことが期待されています。
ビッグデータを構成するものには、例えばウェブサイトデータ(ECサイトや
ブログ等における購入履歴やエントリデータ等)、ソーシャルメディアデータ
(参加者のプロフィールや書き込むコメント)、マルチメディアデータ(配信
サイト等の音声や動画)、カスタマデータ(顧客管理システムにおける販促デ
ータや会員カードデータ等)、オフィスデータ(オフィスで作成される各種文
書や電子メールデータ等)、オペレーションデータ(業務システム内のPOSデ
ータや取引明細等)、センサーデータ(GPSやICカード、RFID等で検知される
位置情報、乗車履歴、温度ほか)、ログデータ(サーバにおいて生成されるア
クセスログやエラーログ等)他があります。
一昨年にJR(E)社が交通系ICカード「Suica」の乗降履歴をH社に販売し、利
用者やマスコミから大きな反発を受けたことを記憶している人も多いでしょう。
当時、JR(E)社はH社に提供したデータは、個人を識別できる情報を除いている
ので問題はないと判断していたようです。しかし、結局は中止せざるを得ませ
んでした。問題は以下の2点にあります。(1)上に列挙したような情報を突き合
わせれば、再び個人を特定できる可能性が十分にあること、JR(E)社は、Suica
データから個人を特定するID情報を隠蔽すれば個人情報ではなくなると判断し
たのかも知れません。ビッグデータの活用により個人を再び特定できる”再識
別化”のリスクを十分に認識していなかったのです。(2)事前の手続きが稚拙
だったこと。手続きとは、現行法第23条による第3者に提供することの事前説
明をしていなかった点、同じく販売データの内容の説明も不十分だった点、更
に提供を停止する「オプトアウト」の窓口を告知していなかった点等です。
現行法制定の基本である“個人の権利・利益の保護”と“個人情報の有用性
の活用”の両立からみると、どうも現行法では不明確な点(グレーゾーン)が
多く、またICTの発達・普及という時代の流れに対応できていない面が散見さ
れることから、個人情報保護法改正という動きが出てきました。政府による
「パーソナルデータ利活用に関する制度の見直し方針」が、平成25年12月20日
に決定されました。“パーソナルデータ”と言われると良く分からないのです
が、欧米では一般的に“personal information”(個人情報)とか“personal
data”(個人データ)という言葉が用いられており、むしろ我が国の現行法
による個人情報を3区分する定義が特殊なのです。パーソナルデータは、現行
法に規定する個人情報に限らず、位置情報や購買履歴など広く個人識別性のな
い情報までを含むものです。そして、平成26年6月24日には「パーソナルデー
タの利活用に関する制度改正大綱」が発表され、パブリックコメントの受付け
結果が10月7日に発表されています。今後は、平成27年1月に改正法案が通常国
会に提出されます。
一方、社会保障・税番号制度(マイナンバー制度)が着々と進んでいます。
平成25年5月24日に番号法関連4法が成立して、現在は(1)マイナンバーの付番、
(2)行政事務におけるマイナンバー利用、(3)行政機関間での情報連携に向けた
準備が進められています。平成27年10月には全住民に対してマイナンバーが通
知され、平成28年1月から社会保障・税・防災分野の事務を実施する各行政機
関ではマイナンバーの利用が始まります。この制度では、保険会社や金融機関
だけでなく地域中小企業も社会保険や税務処理等事務において、例えば社会保
険や労働保険で提出を要する書面や税務署に提出する法定調書等に従業員等の
個人番号(マイナンバー)を記載するために必要な限度で利用することになり
ます。改正個人情報保護法では、現行法の5,000人以下の適用除外は廃止され
ることと併せて、2015年を境に地域の中小企業といえども個人情報保護への本
格的な取組が必要になってきます。
------------------------------------------------------------------------
■執筆者プロフィール
中村久吉(なかむらひさよし)
ITコーディネータ、中小企業診断士、プライバシーマーク主任審査員
コメントをお書きください