個人情報との向き合い方
第1回　個人情報の背景と現在

１．個人情報とは
２．個人情報保護法の背景と改正
３．「プライバシーテック」という新しいサービス

オンラインでの買い物など日常の中でやり取りされる個人の情報やその取扱いについて定められた法律である【個人情報保護法】は、認知度も高く身近な法律なのですが、3年ごとに見直しが行われていることやその都度の改正内容についてはご存じない方も多いと思います。

個人情報の定義や3年ごとに見直されている理由、その経緯などと共に現在の個人情報の考え方や保護法の内容をご説明します。

１． 個人情報とは

個人情報保護法が定義する個人情報には２種類あります。一つは、氏名や生年月日など個人が識別できる情報で、二つ目は個人識別符号が含まれる情報です。

【個人が識別できる情報】
氏名、メールアドレス、防犯カメラ映像やそれらの組み合わせで個人が識別できるものです。具体的には、①生年月日、住所、電話番号、メールアドレスなどの情報と、本人の氏名の組み合わせ、②ホームページやSNS、職員録などで公開されている特定の個人を識別できる情報、③会社のドメインが付された特定の個人を識別できるメールアドレスなどです。

【個人識別符号が含まれる情報】
特定の個人を識別できる文字や番号のことです。具体的には、①指紋や掌紋、②顔認証や音声認証の情報、③マイナンバーや健康保険証番号、免許証番号などが挙げられます。

過去には5,000人未満の個人情報を保有する小規模事業者の除外規定がありましたが、2015年に法改正でその規定が撤廃され、個人情報を事業に用いる場合は、業種や規模に関わらず、ほぼ全ての組織に「個人情報保護法」が適用されるようになりました。

２．個人情報保護法の背景と改正

（１）個人情報保護法が制定された背景と経緯

インターネットなどの国際的なデータ流通が本格化するに伴い、国によって個人情報の扱いが異なることで世界的な情報流通の阻害要因となることが問題となりました。

急速な国際的情報化に対応すべく個人の権利益侵害や不安を取り除くため、欧米諸国や日本も加盟するOECD（経済協力開発機構）により、1980年に「プライバシー保護と個人データの国際流通についてのガイドライン」が公表され、そこに含まれる個人情報の取り扱いに関する8つの基本原則「OECD8原則」が採用されることとなり、今では世界各国が制定している個人情報保護関連の法や規制の基礎となっています。

この「OECD8原則」を受け、日本では1988年に行政機関に対する個人情報保護の法律が公布されました。この時点では対象は行政機関だけに限られており、民間への規制はありませんでした。その後1999年に従事者が住民基本台帳データを持ち帰り販売するという事件が発生したことや、2002年の住基ネットの運用開始で政府が個人情報を把握して管理するのではという憶測が広まったりしたことにより、プライバシーに対する不安が膨れていきました。

このような社会背景の元、2003年5月に「個人情報保護法」が交付され、2005年4月に全面施行となりました。

（２）個人情報保護法の改正の主なポイント

現代においてはスマートフォンの普及やSNSの浸透など、個人情報保護法が交付された当初と比べても社会環境は急速な変化を遂げています。個人の行動に焦点を当てたターゲット広告のような個人情報を活用するサービスなども増え、それに伴い個人情報の価値が向上するとともに個人情報を扱うリスクも増加しています。

このような社会環境の変化に対応し、個人情報を適切に取り扱うための法整備の必要性から、2015年に個人情報保護法が改正されました。この改正では、IT技術の急速な進展による新技術や新産業の創出の可能性も視野に入れ、3年という短い期間で定期的に法の見直しを行うという規定も盛り込まれました。

2022年4月1日に新たに施行された個人情報保護法の改正では、主な改正ポイントとして以下のような内容が挙げられます。

① 個人情報の停止・消去等の請求権の権利の拡大
これまでは、対象事業者の個人情報の取扱いが個人情報保護法に違反する場合についてのみ、本人による利用停止や消去に関する請求権がありました。改正後、法違反がなくても、個人の権利や正当な利益が害される恐れがある場合は、請求権を行使できるよう範囲が拡大されました。

② デジタルデータでの提供が可能
個人情報を取扱う事業者が個人からの依頼によりデータを開示する際、これまでは書面による交付が原則でした。改正後、デジタルデータでの開示を個人が指定することができるようになりました。

③ 本人の同意なく第三者に個人情報を提供できる規定の厳格化
提供する個人情報の項目を予め公表した上で、本人の同意なく第三者に個人情報を提供できる制度をオプトアウトと呼びます。改正後、第三者に提供できるオプトアウトのデータ範囲が限定されました。具体的には、不正取得された個人データやオプトアウト手続きで取得した個人データは、第三者へ提供することができなくなりました。

④ 事業者が守るべき責務追加と罰則の厳格化
情報漏えい発生時の報告義務、不適正利用の禁止など、個人情報を取扱う企業の責務が追加されました。情報漏えいなど、個人の権利や利益を害する恐れが大きい事態については、個人情報保護委員会への報告と本人への報告が義務化されました。

さらに個人情報保護委員会からの命令違反や虚偽報告等の罰則規定が引き上げられました。命令違反した法人に対しての罰金は、これまで30万円以下であったものから1億円以下に、個人情報データベースの不正提供等については50万円以下から同様に1億円以下に、それぞれの罰則金額が大きく引き上げられました。

⑤ 海外への情報提供及び国外事業者に対する規定の追加
国外の第三者へのデータ提供に関しては、本人同意が定められていました。改正後は、本人同意に加え、利用する国やその国における個人情報保護制度、保護措置の情報を個人情報提供者に提示することが義務付けられました。加えて、日本国内の個人情報を扱う国外事業者も報告徴収・命令・立入検査などの罰則の対象となりました。

⑥ 「仮名加工情報」の追加
他の情報と照合しない限り、特定の個人を識別できないように加工された情報を「仮名加工情報」といい、この「仮名加工情報」を活用することに関しては、利用目的の変更制限が適用されず、情報を企業活動に利用することも可能となりました。これまで「匿名加工情報」という、いわゆる匿名の情報については本人の同意を得ずに第三者提供が可能だったのですが、匿名ではない情報を加工することでデータの有用性を保ちながら、情報を活用できるという新たなビジネスチャンス創出を見据えた改正ポイントと言えます。

３．「プライバシーテック」という新しいサービスの誕生

欧米では、プライバシーをポジティブに捉え、社会的に信頼を得て、企業価値向上につなげている企業も現れています。すでに経営戦略の一環としてプライバシーに取り組む企業もあります。

個人情報を保護し、適切な活用を行う技術が「プライバシーテック」と呼ばれ、この「プライバシーテック」を扱う企業が注目を集めています。プライバシーテックの例としては、データを暗号化して分析する「秘密計算」や分散した個人情報で機械学習を行う「連合学習」、人工的に個人情報などを生成する「合成データ」、個人を特定できない大量のデータからAI学習などを行う「差分プライバシー」など、さまざまな技術が存在し、これらの技術を活用するほか、技術自体の開発、実証実験等が行われており、これらの取り組みを行っている企業は「プライバシーテック企業」と呼ばれています。

プライバシーテック企業は有望視されており、スタートアップでも多くの出資を呼び込んでいます。日本でも大手Sier（SI（システムインテグレーション）を行う業者）などが既に取り組みを始めています。

今回は、「個人情報」の内容や法制定の背景、変化の内容と今後のサービスなどについて掲載しましたが、次回は個人情報保護法の違反事例や必要となるリスクマネジメントについて掲載する予定です。

㈱TMRでは、企業のリスクマネジメントとして法改正やデジタル化の進展に対応したアドバイスの豊富な実績とノウハウがあります。個人情報保護法に対応するための従業員との秘密保持契約へのアドバイスや従業員の資質向上を目的としたコンプライアンス教育を研修等の形式で行うことも可能です。改正法に沿った個人情報の取り扱いを行うためのプライバシーポリシーや社内規程の作成や見直しといった規程作成の支援実績も多数保有しています。海外展開企業の支援実績が多いため、個人データを外国の第三者へ提供しているかどうかのチェックについても適切な調査が可能です。

また㈱TMRでは、国際基準であるISMSで認められた、情報セキュリティ体制の運用や標準化、専門技術などについて、豊富なノウハウと実績を保有しています。法規制に対応しながら、刻々と変化する情報化社会である現代に対応した情報セキュリティ体制の構築を行うための支援ができます。