改正個人情報保護法について

改正個人情報保護法が2017年5月30日に全面施行されます。 どのような目的で,どう改正されたかについて,簡単に解説をしていきます。 詳細,厳密な情報については,文献等を参照してください。

背景

個人情報保護法(「個人情報の保護に関する法律」)は,2003年に成立,2005年に施行されました。Gmailが2004年,Facebookが2006年,iPhoneが2007年の登場ですから,今のインターネット利用の習慣ができつつあるころです。

その後のスマートフォンの普及やインターネットなど情報通信技術の発展によって,情報環境は当初の個人情報保護法が想定していたものと大きく違ってきています。そのひとつがデータの蓄積です。さまざまなサービスの利用から生成されるデータは膨大です。企業にはインターネット経由で大量の個人情報が集められています。この「ビッグデータ」をうまく使えばサービスレベルが向上して,個人が受ける利益も増えるでしょう。しかし,個人情報が悪用されて,プライバシーが侵されるリスクも高まっています。また,漏洩によって,プライバシー情報が適切に管理されない事例も多数報告されています。

このような背景から,欧州や米国ではプライバシー保護のあり方について積極的な議論がなされてきました。日本ではデータ利活用推進の観点の意見が先行していましたが,グローバルなデータ移転が必要なこともあり,EUで充分なレベルのプライバシー保護とみなされるような改正が志向されて,個人情報保護法の改正に至っています。

概要

個人情報保護法の要点を下図に示しました。

個人情報保護法概要

大きな流れは以下の通りです。

  1. 個人情報取扱事業者が,具体的な利用目的を示して,個人(本人)から個人情報を適正な方法で取得する。
  2. 個人情報は,個人情報データベース等を構成する個人データとなる。
  3. 個人情報取扱事業者は,利用目的に従って,データを利用する。
  4. 個人情報取扱事業者は,個人情報の安全管理をおこなう。

個人情報とは、生存する個人に関する情報であって,特定の個人を識別できるものです。「識別されている」とは,1人分の個人データが,別の個人データと違う人のものであると区別される状態です。「特定の個人」とは,「生存する個人」一人を指し示しています。

個人情報の本人は,個人情報の開示,訂正,利用停止の要求を個人情報取扱事業者にすることができます。一方,個人情報の利用目的を変更する場合,個人情報取扱事業者はわかりやすい手段で通知,公表をおこなわなければなりません。

利用目的の範囲での個人情報の利用は,個人情報取扱事業者内では自由におこなえます。ただし,安全管理の方法と手続きを確立しなければなりません。日常的に利用するデータについては,個人を識別する符号等は削除しておく方がよいと思います。

本人の同意がある場合,個人情報の第三者提供が可能です。しかし,本人にとってわかりやすい方法でなければ(たとえば長文の規約を表示するだけ),同意を取ったとはいえないでしょう。板倉陽一郎弁護士は,「何をどう使うのかを懇切丁寧に説明してください」と言っています

第三者提供のもうひとつの方法が匿名加工情報に加工することです。特定の個人を識別できなくなった匿名加工情報は,個人情報ではないので同意なく第三者提供が可能です。匿名加工情報の方法については別に記事を書きます。匿名加工がうまくいけばすばらしいのですが,特定の個人を識別できないように加工するためには,データごとに性質を検討する必要があります。一般的な匿名加工の方法については今後の研究課題です。

改正点

個人情報保護法の旧法からの改正について,データ利活用に関係する事業者,情報を提供する個人にとっての改正ポインとを挙げると,以下の3つが大きいと思います。

  1. 個人情報の定義の明確化。あいまいさをなくして,個人の不安軽減と,事業者のデータ利活用を円滑化を両立させる。
  2. 匿名加工情報の導入。本人の同意なしにデータを利活用できる。
  3. 個人情報保護委員会の設置。実効性のある制度執行体制を確保する。

さらに,いままで対応いなかった事業者もすべて個人情報取扱事業者となりました。これもあいまいさをなくす意味で順当な改正でしょう。

個人情報匿名加工情報については項を改めるとして,ここでは個人情報保護委員会について説明します。

改正個人情報保護法では主務大臣を置かず,個人情報保護委員会に権限を一任しています。改正前は消費者庁が所管でしたが,政府から独立した専門的で中立の機関として個人情報保護委員会が設置されました。これは,個人情報にかかわる事業者の所管が複数の省庁にまたがる場合があること,EU等諸外国では個人に関するデータの保護が独立した機関が設置されていること,諸外国の機関との交渉で必要なことなどが理由です。

個人情報保護委員会は以下のような業務をおこなっています。

個人情報保護法も個人情報保護委員会も,個人情報についての汎用的な規律のみを扱っています。業界や事業分野ごとに異なる個人情報の適切な取扱いについては,民間による認定個人情報保護団体を指定することによって,業界ごとに「個人情報保護指針」の作成と適正な運用,指導をうながすことになっています。