謹んで新春のお慶びを申し上げます
皆様のご健勝とご多幸の年となりますことを祈念致します
2005年4月1日に「個人情報の保護に関する法律」(「個人情報保護法」以下、現行法という)が全面施行されてから10年が経過します。この間、個人情報の定義をはじめとする法解釈をめぐって過剰反応や認識不足等が見られ、適切な法対応ができていない状況が散見されました。つまり、現行法制定の基本である“個人の権利・利益の保護”と“個人情報の有用性の活用”とのバランスが不明確だったのです。これに対して、経済産業省をはじめ各省庁からはそれぞれの分野における個人情報の保護に関するガイドラインを発行するとともに、その適宜な改定を通じて適切な解釈の在り方を示す等が行われてきました。同様の取組みは、さまざまな業界団体も実施しています。もちろん、地方自治体もそれぞれに個人情報保護条例を制定して普及浸透を目指してきました。
一方、より積極的な取組としては、現行法以上の厳しい要求を持つプライバシーマーク認定を取得する組織も相応の企業数となっており、2014年12月現在で13,817社に達しています。
そこで気になるのが、日本の個人情報保護水準は世界的に見てどうなのかということです。上記のような取組にも関わらず、残念ながら欧米の水準に追い付いていないと言わざるを得ない状況です。これは、特に医療分野において今後、日本の産業発展の足かせになるかもしれないと危惧されているのです。
ここで、現行法における個人情報保護の大枠を振り返っておきます。現行法を順守しなければならない者を「個人情報取扱事業者」としていますが、政令によって取扱量が過去6か月のいずれの月においても5,000人以下の場合は現行法の適用除外とする等、日本の企業の大多数を占める小規模企業の負担を考慮した内容です。もちろん、このようないい加減なことでは実効性がないということから、例えば東京都をはじめとする一部の地方自治体の個人情報保護条例では、5,000人以下の例外を認めていないケースもあります。
現行法における保護の在り方は、個人情報を、(1)特定の個人を識別できるレベルの「個人情報」、(2)データベースのような利活用の便宜性を持った形にした「個人データ」、(3)更に個人情報内容を本人の求めに応じて開示・訂正・利用停止等をすることが可能な性格(権限)を持ったレベルの「保有個人
データ」と区分して、それぞれの個人情報レベルに応じた保護策を規定しています。「個人情報」に対しては現行法第15条~18条及び31条を義務付け、「個人データ」に対しては加えて第19条~23条を、「保有個人データ」には更に加えて24条~30条を義務付けています。
昨年で最大の個人情報事故としては、B社から3,000万件以上の顧客情報が漏えいして名簿業者に売渡されたことは未だ記憶に新しいことと思います。事故が発覚した当時の当該社経営トップは、記者発表で確か「個人情報を持出したのは、当社の社員ではありません」という趣旨の発言をしていました。まるで、自社の社員が犯人でなければ責任を感じないような印象を受けたことを覚えています。漏えいした個人情報は当該社に取って「保有個人データ」に該当し、「個人データ」の管理に義務付けられる22条の「委託先の監督」をしていなければならないのです。業界を代表する大企業の経営トップによるこのような発言には唖然としたものです。
ところで、「ビッグデータ」をご存知でしょうか。直感的に途方もなく大量のデータを指すであろうことは理解できますが、これはICT(情報通信技術)の発達及び普及と深い関係があります。ICTの活用によって、多種多様な情報が、しかも大量に処理できるようになった結果、これらを統合した更に巨大なデータの塊として扱い、多角的に融合処理すれば新発見や法則等を導くことができます。その中から新たな事業機会が創出され、更には新産業の出現に結びつくことが期待されています。
ビッグデータを構成するものには、例えばウェブサイトデータ(ECサイトやブログ等における購入履歴やエントリデータ等)、ソーシャルメディアデータ(参加者のプロフィールや書き込むコメント)、マルチメディアデータ(配信サイト等の音声や動画)、カスタマデータ(顧客管理システムにおける販促データや会員カードデータ等)、オフィスデータ(オフィスで作成される各種文書や電子メールデータ等)、オペレーションデータ(業務システム内のPOSデータや取引明細等)、センサーデータ(GPSやICカード、RFID等で検知される位置情報、乗車履歴、温度ほか)、ログデータ(サーバにおいて生成されるアクセスログやエラーログ等)他があります。
一昨年にJR(E)社が交通系ICカード「Suica」の乗降履歴をH社に販売し、利用者やマスコミから大きな反発を受けたことを記憶している人も多いでしょう。
当時、JR(E)社はH社に提供したデータは、個人を識別できる情報を除いているので問題はないと判断していたようです。しかし、結局は中止せざるを得ませんでした。問題は以下の2点にあります。(1)上に列挙したような情報を突き合わせれば、再び個人を特定できる可能性が十分にあること、JR(E)社は、Suicaデータから個人を特定するID情報を隠蔽すれば個人情報ではなくなると判断したのかも知れません。ビッグデータの活用により個人を再び特定できる”再識別化”のリスクを十分に認識していなかったのです。(2)事前の手続きが稚拙だったこと。手続きとは、現行法第23条による第3者に提供することの事前説明をしていなかった点、同じく販売データの内容の説明も不十分だった点、更に提供を停止する「オプトアウト」の窓口を告知していなかった点等です。
現行法制定の基本である“個人の権利・利益の保護”と“個人情報の有用性の活用”の両立からみると、どうも現行法では不明確な点(グレーゾーン)が多く、またICTの発達・普及という時代の流れに対応できていない面が散見されることから、個人情報保護法改正という動きが出てきました。政府による「パーソナルデータ利活用に関する制度の見直し方針」が、平成25年12月20日に決定されました。“パーソナルデータ”と言われると良く分からないのですが、欧米では一般的に“personal information”(個人情報)とか“personal data”(個人データ)という言葉が用いられており、むしろ我が国の現行法による個人情報を3区分する定義が特殊なのです。パーソナルデータは、現行法に規定する個人情報に限らず、位置情報や購買履歴など広く個人識別性のない情報までを含むものです。そして、平成26年6月24日には「パーソナルデータの利活用に関する制度改正大綱」が発表され、パブリックコメントの受付け結果が10月7日に発表されています。今後は、平成27年1月に改正法案が通常国会に提出されます。
一方、社会保障・税番号制度(マイナンバー制度)が着々と進んでいます。
平成25年5月24日に番号法関連4法が成立して、現在は(1)マイナンバーの付番、(2)行政事務におけるマイナンバー利用、(3)行政機関間での情報連携に向けた準備が進められています。平成27年10月には全住民に対してマイナンバーが通知され、平成28年1月から社会保障・税・防災分野の事務を実施する各行政機
関ではマイナンバーの利用が始まります。この制度では、保険会社や金融機関だけでなく地域中小企業も社会保険や税務処理等事務において、例えば社会保険や労働保険で提出を要する書面や税務署に提出する法定調書等に従業員等の個人番号(マイナンバー)を記載するために必要な限度で利用することになります。改正個人情報保護法では、現行法の5,000人以下の適用除外は廃止されることと併せて、2015年を境に地域の中小企業といえども個人情報保護への本格的な取組が必要になってきます。
————————————————————————
■執筆者プロフィール
中村久吉(なかむらひさよし)
ITコーディネータ、中小企業診断士、プライバシーマーク主任審査員