情報畑でつかまえてロゴ
本サイトは NTTテクノクロスが旬の IT をキーワードに
IT 部門が今知っておきたい最新テクノロジーに関する情報をお届けするサイトです

5.プライバシー保護とデータ利活用の対策が進化する

ビックデータビジネスの追い風となるか!?改正個人情報保護法動向と対応に向けての解説をしていきます。

ビックデータビジネスの追い風となるか!?改正個人情報保護法動向と対応に向けて

はじめに

近年、同一企業内の複数の組織・事業間、あるいは、複数の企業間で、多種多様なデータを活用し、新たなビジネスを創出するビックデータビジネスが急速に盛んになりました。特に、データ中でも、行動や習慣、趣味嗜好、健康状態など、個人に関わるデータを使って、付加価値を付けたデータを創出するサービスが数多く試みられています。これらは、ユーザが、より決め細やかなサービスや便利なサービスを利用できるようになる一方、ユーザに関わるデータを、ユーザ本人も知らぬ間に企業等に利用され、ユーザの個人情報やプライバシーの侵害されるのでは、という不安、懸念も生み出しています。

また、個人情報の保護を目的とする個人情報保護法も、2003年成立当時は、上記のようなデータの利活用は想定されておらず、法の対応の不十分さについても議論が発生しました。

個人情報保護法の改正

現行の個人情報保護法が成立した背景には、情報システムの普及により、電子化された大量の個人情報が、簡単に盗難・紛失されえる状況がありました。が、成立後10年以上たった今、ビックデータという新たなビジネス形態が発生したことにより、法令で規定する「個人情報」以外にも、保護すべき個人に関する情報(パーソナルデータ)が存在するのではないかという議論や、ITの発達により、例えば、クラウドサービスの普及により、日本企業の社員情報が、海外のデータセンタ等に知らぬ間に保存され、当該データセンタに存在する社員情報に、当該法域・国の法令が適用される際に、日本の現行個人情報保護法では、海外の法制度と調和が取れないことなどの指摘が起こり、2013年9月に、「パーソナルデータに関する検討会」が設置され、個人情報保護法の改正について検討されました。

個人情報保護法改正
図1:個人情報保護法改正の流れ

本検討会には、法曹界の有識者だけではなく、実際のビジネスでデータの利活用や加工を行なう企業からも有識者が参加しました。特に、複数の企業間、あるいは複数のサービス間のデータを収集し、突合せ、加工等する技術によって、特定の個人を識別するあるいは識別させない可能性も変わってくることから、技術者を中心とした技術検討ワーキンググループを設置したことも、他の法制度検討とは異なる特徴でした。これらのメンバにより、法的・制度的な面と、産業的・技術的な面の双方を見据えての議論がされることになりました。

本検討会では、保護すべき個人情報の範囲(定義)の見直しから、個人情報を特定の個人を識別できなくするための匿名化技術の在り方、個人情報の第三者提供に関する規制、海外の制度的な調和など、様々な事項について議論されました。

個人情報保護法の改正概要

約2年の議論を経て、2015年9月3日に、個人情報保護法の改正案が成立しました。改正内容は多岐に渡り、個人情報が5,000件以下の事業者の適用除外が撤廃され、個人情報を扱う全ての事業者に適用されるなど、企業全てに影響を与える改正事項も存在します。

中でも、ビックデータビジネスを行なおうとする企業に、特に影響が大きいものとしては、以下が想定されます。

匿名加工情報と同意なし第三者提供

「個人情報」を、改正法での新たな概念である「匿名加工情報」(改正個人情報保護法第二条第九項)に処理した場合、事前の同意なしに、本データを第三者に提供することを可能としています。ただし、これは、自由に利活用しても良いという意味ではなく、事前の同意を取得しない代わりに、匿名加工情報に含まれる個人に関する情報の項目・提供方法の公表や、匿名加工情報の再識別化禁止等の制約が課せられています(改正個人情報保護法第三十六条)。

ビックデータビジネスにおいては、新規事業で個人情報を取得し、活用するケースではなく、既存事業で取得済みのデータを活用する際に、過去の大量のユーザに、事前に第三者提供の同意を取得することが多大な負担となるケースがあります。このような場合に、「個人情報」を「匿名加工情報」とすることにより、企業側のビジネス化負担を軽減することを想定しています。また、ユーザに対しては、企業が匿名加工情報の公表等を行なうことにより、どのようなデータがどのような手段で、どこの企業に提供されているか確認できる仕組みにより、安心感を与えようとしているものと言えます。

外国にある第三者へのデータ提供

また、個人データを外国にある第三者に提供する場合、データの主体である本人に、本データ提供について事前に同意を取得しなければなりません。ビックデータビジネスにおいて、海外のデータセンタ事業者またはクラウド事業者のデータセンタにユーザ個人情報の保存、処理を委託した場合、本条項が適用されます。また、ビックデータビジネス以外にも、海外にあるグループ会社など、別法人格の企業に、社員情報を提供する場合なども本条項が適用されますので、注意が必要です。

ただし、個人情報保護委員会が認めた、日本と同等の水準の個人情報保護制度を有している国や、個人情報保護委員会で定める基準に適合する体制を整備している第三者の場合は、例外となります。

改正個人情報保護法成立後の動向

委員会規則等の制定

個人情報保護法そのものにおいては、「匿名加工情報」に関する技術的な手法や、外国にある第三者に関する例外に該当する具体的な国や体制について、規定されていません。これらは、個人情報保護委員会規則で規定されます。なお、個人情報保護委員会規則は、改正後の制定だけではなく、今後の技術の進歩等を鑑みて、定期的には改定されてゆく予定です。

現時点においては、個人情報保護委員会においては、公式HP[*1]において、2016年7月第12回個人情報保護委員会資料において、上記に相当する個人情報保護法の施行令(案)、施行規則(案)を開示し、2016年8月2日に、施行令(案)、施行規則(案)を公表し、パブリックコメントの募集[*2]を行いました。

公表された施行令(案)、施行規則(案)では、匿名加工情報に関する技術的な手法や外国にある第三者に関する例外に該当する国や体制等については、含まれておらず、別途の公表となっています。

技術的な動向

また、いわゆる「匿名化」技法については、企業/技術者ごとに定義が異なること(例えば、氏名や住所を削除しただけの加工を匿名化とするのか、等)、業界・企業・ビジネスモデル等によって、「個人情報」を構成するデータ項目や情報粒度等が異なることから、一律に、「匿名加工情報」とするための手法を定められるものではありません。そのため、個人情報取扱事業者が業界ごとに所属する認定個人情報保護団体にて、個人情報の利活用に関する業界ガイドラインを策定し、その中で匿名加工情報のビジネスモデルや利活用、技術的な手法について議論される可能性も高いです。

なお、匿名加工については、技術的な基準が未公表の段階ですが、NTTグループも含め、暗号技術や匿名化技術の研究・開発を行なっている各企業は、匿名加工に相当しうるような高度な匿名化技術、あるいは、匿名化以外の安全なデータ利活用を可能とする他の技術(例 秘密計算技術[*3])の開発を進めています。

今後の対応に向けて

改正個人情報保護法の施行は、2016年春から秋と想定されおり、各企業においては、今後とも、個人情報保護委員会や認定個人情報保護団体の動向に注目し、情報収集を進めて、自社の個人データの保護及び利活用ビジネスのために、必要な手続き、データの安全管理措置等の各準備を進められると良いでしょう。



[*1]個人情報保護委員会URL http://www.ppc.go.jp/

[*2] 「個人情報の保護に関する法律施行令の一部を改正する政令(案)」及び「個人情報の保護に関する法律施行規則(案)」に関する意見募集について(公示日:2016年8月2日、意見・情報締切日:2016年8月31日)
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=240000022&Mode=0

[*3]秘密計算とは、複数の参加者が、機密性の高いデータを持つ場合に、お互いのデータを秘匿したまま、四則計算や統計処理結果などの処理結果だけを出力する技術。



「サイバーセキュリティトレンド2016」無料配布中!
著者プロフィール
中田 美佐
中田 美佐

NTTソフトウェア株式会社
クラウド&セキュリティ事業部
第一事業ユニット