2017年5月30日、個人情報保護法が改正されました。今回は、改正にあたって押さえておくべき点についてまとめていきます。
個人情報保護法改正の目的
今回の改正の目的は大きく分けて2つあると見ています。
- 個人情報を“利用しやすくする”こと
- EU一般データ保護規則の十分性認定を貰うこと
各種マスコミの報道とはちょっとポイントが違うかも知れませんね。少々説明が必要です。
1. 個人情報の利用促進
皆さんはSuica利用データ販売事件を覚えておられるでしょうか。2013年6月、JR東日本がSuicaの利用履歴を本人の同意を得ず、IDを変えただけで販売した事件です。
<関連>
交通系ICカードのビッグデータ利活用による駅エリアマーケティング情報提供サービスを開始/日立製作所
この件に関して、未だに「問題は無かった」と言い張る方がいらっしゃいますが、利用履歴から個人を特定できる場合が多数あるのですから、明らかに個人情報保護法違反です。
有用なビッグデータを活用するために
Suicaの利用履歴は、いわゆる「ビッグデータ」としてとても“有用”です。人の流れ、興味の動向、有効な時間帯、等々、様々なビジネスチャンスに繋がる情報が導き出せます。
そのデータを“使いたい”と思うのは至極当然な考えです。しかし、“どの様にすれば個人を特定できないと言えるか”という定義が無かったため、実質使えない状況だったのです。
今回の改正では、これに「匿名加工情報」という概念を定義し、使えるようにしました。
名簿屋対策としても
また、名簿屋対策も加わりました。
教育関係B社から流出した個人情報は、“名簿”として今もどこかを巡っています。なぜなら、名簿を買う側からすれば、「B社から流出した情報だとは知らなかった」と言えば“善意の第三者”の立場になることが出来るからです。
しかし今回の個人情報保護法改正以降は、名簿を購入して使うためには個人情報保護委員会へ登録しているかの確認等、“正当に収集されたことの確認”が必要となります。流出した側、名簿を売る側だけでなく、名簿を買う側にも注意が要求されます。
とはいえ、“使っても良い個人情報”と“使ってはいけない個人情報”の切り分けが明確になりますので、個人情報を正しく使おうとしていた企業にとっては朗報と言えるでしょう。
2. EU一般データ保護規則(GDPR)
さて、まだ大きな話題になってはいませんが、2018年5月EUにおいて、プライバシー情報に関し、一般データ保護規則が適用されます。
簡単に言えば、「EUが個人情報保護の体制が十分だと認められる国以外には、個人情報を渡してはならない」といった内容です。そして現時点で日本は、まだ十分だと認められていません。
十分性が認められないことで何が起こるのか
このままだとどうなるかというと、例えば「東京オリンピックに行きたい」と考えたEUの方が、日本の旅行会社にチケット取得をネットから申し込んだとします。
しかし個人情報保護の体制が認められていないため、「日本はGDPRの十分性を認められていないので、“個人の責任”でお申し込みください」といった文章が表示され、確認記録を取っておく必要が出てきます。これでは、非常に面倒ですよね。
そこで日本は、個人情報を改正し、“これで十分性を認めてもらえませんか?”とお伺いを立てようとしているのです。(ただし、今回の改正で十分性認定が確実に決定するわけでもありません。)
この2点が、個人情報保護法改正の大きな要因です。
個人情報取扱事業者5,000件撤廃の意味
ここまでお読みいただいた方の中には「あれ?」と思う方がいるかも知れません。「個人情報取扱事業者の5,000件撤廃にも意味があるのでは?」と思いますよね。
“5,000件撤廃”を大きなポイントと捉え、「新たに対象になるから大変ですよ!」といった記事を見かけるケースも多いですが、これは不思議な話です。なぜなら、5,000件撤廃により“新たに対象になる企業”など、そう多くはないはずだからです。
ポイントは個人情報と定義される範囲
最初に個人情報保護法が出来た時「うちの会社は規模が小さいから対象外だ」と、根拠もなく考えていた企業が非常に多くありました。
しかし、「個人情報」はとても範囲が広いのです。
- 名刺
- メールアドレス(名前@会社ドメインの形式)
- 顔写真
- 音声データ
この他にも、Z社の住宅地図を営業で使用している場合は地図内の名前は個人情報ですし、ハローページを営業で使用しているのであれば、その中のデータは全て個人情報にカウントされます。
対象外だと“勘違い”していた企業が多い
普通に営業活動を行っていれば、5,000件なんて簡単に超えてしまいます。家族経営で取引先も限られているような企業でもなければ、5,000件を“超えない”なんて、そうそうあり得なかったはずなのです。
今回の個人情報保護法改正にあたり、5,000件撤廃で慌てているのだとしたら、“今までやらなければいけないことをやっていなかった”と認識してください。
最後に
度々書いておりますが、日本は情報セキュリティ後進国です。
今回の個人情報保護法改正も含め、マスコミの報道も本質からズレたものが多々あります。それでも、グローバル化の時代、「知らなかった」では済まされません。
EU一般データ保護規則の例で言えば、極端な話“EUから日本にメール送った”だけで、法に触れることに為りかねないのです。世界の当たり前を踏まえておかないと、知らぬ間に落とし穴にはまってしまうかも知れません。
しっかり対応しておきましょう。