2015/03/18

先週、政府は個人情報の保護に関する法律(以下、個人情報保護法)の改正案を閣議決定しました。個人情報保護法が完全施行されてから、なんと10年ぶりの改正となります。改正案は国会に提出され、今国会の会期中での法案成立を目指すことになります。
もともと、現行法では個人情報の定義や利用について曖昧な部分があり、これに現行法では想定していなかったITの進化が重なって、どこまで個人情報として扱うか、グレーゾーンが広がっている状況です。また、昨年発生したベネッセコーポレーションの顧客情報漏えい事件のような事象への対応も必要になってきます。一方で、昨今のビッグデータの流れで、個人を特定できない(とされている)パーソナルデータの利活用を可能としたいという要求もあります。
そのような状況の中で改正案も二転三転して現在の提出案となりました。今後も、法案成立までにどのような修正が入るかわかりませんが、今回は国会提出時点における改正案の内容を確認します。

現行の個人情報保護法における課題等

改正案の内容に入る前に、現行法での課題や改正案を策定する上での争点等について、幾つか確認します。
第一に、個人情報の定義です。現行法では第二条において、以下のように定義されています。

この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

ここでの問題は、「他の情報と容易に照合する」という状況の法解釈が明確でないため、どこまでの情報が個人情報に該当するかどうかの判断が難しいことです。例えば、携帯端末から発信されたGPSデータであれば、位置情報だけなら個人の特定は難しいかもしれませんが、これに時系列データが追加されると、日中と夜間に移動のないデータが見えてきます。これによって日中の通勤・通学先と夜間の自宅住所が特定され、個人の特定につながるという考え方ができます。それならばGPSデータの精度を荒くする、または使わないという選択をすると、今度は的確な分析ができなくなるという弊害が発生します。このような、いわゆる「グレーゾーン」をどう解消するかが、一つの課題となっています。

第二に、個人情報の海外移転の問題です。特にEUでは、個人情報保護指令においてEU域外の国へ個人情報を転送する際、特定の例外を除き、国内法等によりEUと同レベルの十分な保護がなされている場合のみ認められていますが、残念ながら日本は十分な保護レベルではないとみなされており、EUから日本への個人情報の移転はできません。個々の企業が当局に申請し、データ移転の承認を得ることは可能ですが、手続きにはかなり大変だと聞いています。結果として、EU域内の個人情報はEU域内にデータセンターを構築し、そこで管理する企業もあるようです。グローバル化によって今後、個人情報移転のニーズはより高まることが予想されるので、法改正によりEUと同レベルの保護がされていることを明示する必要があります。

第三に、個人情報の利用目的の制限緩和に関する内容です。こちらはIT総合戦略本部の下に設立された「パーソナルデータに関する検討会」での議論の中で、企業が取得した個人情報の利活用を活性化するため、個人情報を取得する際に本人に利用目的を変更することがある旨を通知、または公表すれば、本人の同意なく事後に利用目的を変更可能にするものです。これは昨今のビッグデータの動きを背景に、データ分析に強い企業の要望を取り入れたなようだと想定されます。一方でこの内容が改正法に含まれると、EU指令どころかOECD8原則にも反する内容となりかねないため、前項に挙げた個人情報の海外移転が難しくなることが予想されていました。

個人情報保護法の改正案のポイント

それでは、閣議決定された改正案のポイントを確認します。内閣官房から提示されたポイントは以下の通りです。
(内閣官房から発表された資料に基づき、デルタエッジコンサルタントで作成)

ポイント
概要
個人情報の定義の明確化
  • 個人情報の定義の明確化(身体的特徴等が該当)
  • 要配慮個人情報(いわゆる機微情報)に関する規定の整備
適切な規律の下で個人情報等の有用性を確保
  • 匿名加工情報に関する加工方法や取扱い等の規定の整備
  • 個人情報保護指針の作成や届出、公表等の規定の整備
個人情報の保護を強化
  • トレーサビリティの確保(第三者提供に係る確認及び記録の作成義務)
  • 不正な利益を図る目的による個人情報データベース等提供罪の新設
個人情報保護委員会の新設及びその権限
  • 個人情報保護委員会を新設し、現行の主務大臣の権限を一元化
個人情報の取扱いのグローバル化
  • 国境を越えた適用と外国執行当局への情報提供に関する規定の整備
  • 外国にある第三者への個人データの提供に関する規定の整備
その他改正事項
  • 本人同意を得ない第三者提供(オプトアウト規定)の届出、公表等厳格化
  • ・利用目的の変更を可能とする規定の整備
  • 取り扱う個人情報が5,000人以下の小規模取扱事業者への対応

ポイント1:個人情報の定義の明確化
個人情報の定義については、

  • 氏名、生年月日その他の記述等により特定の個人を識別可能な情報(現行法通り)
  • 個人識別符号が含まれるもの(改正案に追加)

今回追加された個人識別符号とは、詳細は法律制定後に政令等で定めることになるようですが、内容としては、以下の様に読み取ることができます。

  • 生体認証情報
  • 個人毎に割り当てられた番号やID等(免許証番号、会員ID、クレジットカード番号、携帯電話番号、会員ID、など)

また、人種、信条、社会的身分、病歴、犯罪歴、等のいわゆるセンシティブ情報を「要配慮個人情報」として定義し、保護するよう定めています。(個人情報として取得しない、等)

ポイント2:適切な規律の下で個人情報等の有用性を確保
昨年議論の中心となったパーソナル情報に関して、特定の個人を識別することができないように個人情報を加工して得られる「匿名加工情報」と定義しています。また、事業活動の一環として「匿名加工情報」を使用する事業者を「匿名加工情報取扱事業者」として、以下の様な義務を負う様にしています。

  • 匿名加工情報の作成にて、個人情報に復元できないよう加工すること
  • 匿名加工情報を第三者に提供する際は、情報の項目や提供方法を公表するとともに、当該情報が匿名加工情報であることを提供先に明示すること
  • 匿名加工情報を取り扱う際には、本人識別のため、加工方法の取得や他情報との照合をしてはいけない
  • 匿名加工情報に対して然るべき安全管理措置を構築し、公表すること

ポイント3:個人情報の保護を強化
ベネッセコーポレーションの顧客情報漏えい事件の際、いわゆる名簿屋を介して持ち出された顧客情報が転売、購入されましたが、こうした状況を防止するため、第三者に提供される顧客情報に対して、以下の措置によってトレーサビリティを確保しようとしています。

  • 個人データを第三者に提供した際は、提供した年月日、提供先の氏名等の記録を作成し、一定期間保存すること
  • 個人データの提供を受ける事業者は、提供元が個人データを取得した経緯等を確認するとともに、個人データの提供を受けた年月日等の記録を作成し、一定期間保存すること

また、同事件を受けて個人情報データベース等提供罪なるものを新設しています。個人情報取扱事業者、またはその従業者(退職者を含む)が、業務上取扱った個人情報データベース等を不正な利益を得るために提供、または盗用した場合、一年以下の懲役、または五十万円以下の罰金に処するものとしています。

ポイント4:個人情報保護委員会の新設及びその権限
現行法では個人情報取扱事業者の監督主体は主務大臣であり、各府省がそれぞれの監督する業界ごとにガイドラインを作成したり、情報漏えいの報告を受け取ったり、指導をしたりしていますが、改正案では内閣総理大臣の下に「個人情報保護委員会」を設置し、そこに各府省に分散されている権限を一元化するよう定めています。また、上述した「匿名加工情報取扱事業者」の監督も「個人情報保護委員会」で行います。「個人情報保護委員会」の主な職務は以下の通りです。

  • 基本方針の策定、推進
  • 個人情報や匿名加工情報の取扱いに関する監督等
  • 認定個人情報保護団体に関すること
  • 特定個人情報の取扱いに関する監視や監督等
  • 特定個人情報保護評価に関すること
  • 個人情報の保護、及び適正かつ効果的な活用についての広報や啓発
  • 職務内容に関する調査研究
  • 職務内容に関する国際協力

また、「個人情報保護委員会」が個人情報取扱事業者等に対して行う監督内容は以下の通りです。

  • 事業者に対し、個人情報や匿名加工情報の取扱いに関して、必要な報告や資料提出を求めることができる
  • 必要に応じて事業者の事務所や、その他必要な場所に立ち入り検査をすることができる
  • 事業者等に対し、個人情報等の取扱いに関して必要な指導や助言をすることができる

また、緊急時等は必要に応じて、報告や立ち入り検査の権限を事業所管大臣に委任することができるものとしています。

ポイント5:個人情報の取扱いのグローバル化
ビジネスがグローバル化するに従い、我が国の個人情報が海外事業者に提供されることも今後発生する可能性があります。こうした状況を踏まえ、海外との関係については以下の内容が盛り込まれています。

  • 政府は各国政府と共同して国際的に整合のとれた個人情報に係る制度を構築するために必要な措置を講ずる
  • 個人情報保護委員会は、海外当局に対して、職務遂行に有用な情報の提供を行うことができる
  • 海外の事業者に個人データの第三者提供を行う場合は、本人同意を得なければならないものとする
  • 事業者が海外で個人情報や匿名加工情報を取り扱う場合についてもこの法律が適用される

その他ポイント
その他、改正案を見て気になったポイントをランダムに書き出してみました。

  • 個人情報の利用目的を変更する場合、変更前の利用目的と関連性があると合理的に認められる範囲を超えて行ってはならない(現行法では「相当の関連性」と記述)
  • 個人データを利用する必要がなくなったときは遅滞なく消去するよう努めること
  • 事前に本人に通知、または本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出ている場合、本人同意がなくても個人データを第三者に提供することができる
  • 個人情報取扱事業者について、「その取り扱う個人情報の量及び利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定める者」(現行法第二条第三項第五号)の削除

改正案に対するコメント

現在提出された改正案については、今後国会での議論の中で修正の可能性もあり、提出法案がそのまま成立しないこともあり得ますが、現時点での内容についてコメントします。
まず、今回の対象が全体の基礎となる法律なので、具体的な内容については条文の至る所に「個人情報保護委員会規則で定めるところにより」となっているのは致し方ないことではありますが、逆に言えば、今後発足する予定の個人情報保護委員会が定める規則の中で、どのように法の内容を具体化していくか、今後注目していくことになります。

この個人情報保護委員会ですが、構成としては委員長と八名の委員となっており、任命は内閣総理大臣となっています。この委員会の構成員の状況によって、法案では匿名加工情報と定義されたパーソナルデータの利活用を積極的に進めるのか、プライバシーの保護ありきという前提で動くのか、大きく左右されることになりそうです。改正案の第一条では、

第一条
この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

となっており、現行法に上記で強調した部分が追加されています。これを見ると、豊かな社会を実現するために個人情報を活用していきましょう、という印象を受けますが、あくまでも目的は条文の最後の「個人の権利利益を保護すること」です。上述の通り、国際的には日本の個人情報保護制度は不十分であるという烙印を押されているので、まずは個人情報の保護レベルを国際的に見て同等レベルまで引き上げた上で、匿名加工情報の利活用について議論してもらいたいと考えます。

一部からはパーソナルデータの利活用こそが日本企業の国際競争力を高めることになると主張されているようですが、現状では海外の事業者が日本の法制度の及ぶ範囲で個人データを取り扱うことは顧客の信用を失う行為と見なされかねない状態なので、逆に個人データの利活用の面で日本は孤立し、海外との競争力を失う可能性があります。また、最近では日本企業がM&Aによって海外企業を取得することが活発化していますが、日本に従業員等の個人データの移転ができない状況だと現地管理となってしまい、合併効果が十分でなくなる可能性もあります。

次に個人情報の利用目的の変更について、現行法では「変更前の利用目的と相当の関連性があると合理的に認められる範囲を超えて行ってはならない」となっていますが、改正案では現行法の条文で強調した「相当の」が削除されています。これも匿名加工情報の利活用を拡大するための措置なのかもしれませんが、この結果として利用目的の変更範囲がどこまで緩和されてしまうのか未知数です。第三者提供に関しても事前に本人通知または本人が容易に知り得る状態にあれば、改めて同意を得なくても可能だとしていますが、これが単純にホームページの片隅に記載しました、程度では「容易に知り得る状態」とはならないのではないのではないでしょうか。そもそもこうした内容はOECDの8原則にも抵触することになりかねません。

また、今回追加された個人情報データベース等提供罪の罰則ですが、個人情報漏えい事件の被害や不正取得される利益と比較して軽いように感じます。ベネッセの事件で容疑者は数百万円の売却益があったと報道されていましたが、改正案では「一年以下の懲役又は五十万円以下の罰金」とされています。不正競争防止法の改正案では罰則が強化されているので、足並みがあっていない印象を受けます。他の改正案で定めた禁止事項について、個人情報保護委員会がどこまで監視していくのか未知数である感が否めません。

最後に、留意点として、現在施行令で5000件以上としている個人情報取扱事業者の縛りがなくなります。これはマイナンバー制度の影響で、従業者等のマイナンバーを含む特定個人情報は、個人情報保護法に準じた安全管理措置が必要となることに由来します。こちらについては、これまで個人情報保護法が適用されなかった小規模事業者は留意する必要があります。

先ほども申しあげた通り、今回は法改正であって、全体の枠組みが決まるレベルです。具体的な内容については今後発足する個人情報保護委員会が定める個人情報保護委員会規則の中で明確になっていくと考えられます。現状では匿名加工情報の利活用をどうするかが注目されていますが、その前提として個人情報をどのように保護していくかが前提になるはずです。今後、個人情報の取扱い状況が製品やサービスを選択する基準の一つになる可能性もあります。そのような状況に対応するため、今後も動向に注目して随時対応しなければならないと考えております。

参考:内閣官房の国会提出法案(第189回 通常国会)のページ(個人情報保護法の国会提出時点の改正案があります)

上記内容に関する相談や問い合わせについては、問合せフォームにてご連絡ください。

デルタエッジコンサルタントでは、個人情報保護に関して、
・個人情報の入手から保管、廃棄までの一連のプロセスの策定
・個人情報の漏えい防止(不正アクセス/内部不正)に向けた情報セキュリティ対策
・個人情報保護法等、関連する制度への対応
・万が一、個人情報が漏えいした際の危機管理体制策定
を支援するコンサルティングサービスを提供しています。詳細はこちらをご覧ください。
コンサルティングサービス-リスク管理
興味や関心がございましたら、ぜひご連絡ください。

コンサルティングサービス-リスク管理
お問い合わせ