個人情報保護法(個人情報の保護に関する法律)が2003年に公布され,2005年4月から全面施行されました。その後、数回の改定が行われてきました。ここでは,個人情報保護法の概要と関連法規・基準などについて学習します。
個人情報,個人情報保護法,個人情報取扱事業者,プライバシー,行政個人情報保護法,OECD8原則,プライバシーマーク
個人情報保護法は正式には「個人情報の保護に関する法律」といいます。
法律全文」
http://law.e-gov.go.jp/htmldata/H15/H15HO057.htmlにあります。
概要や解説:首相官邸サイトhttp://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/
個人情報保護法の目的は第1条で示されています。
個人情報保護法の構成は次の通りです。煩雑を避けるために、要配慮個人情報、匿名加工情報、仮名加工情報などの事項は省略しています。☆
第1章 総則 目的(第1条) 定義(第2条) 基本理念(第3条) 第2章 国及び地方公共団体の責務等(第4条~第6条) 第3章 個人情報の保護に関する施策等(第7条~第14条) 第4章 個人情報取扱事業者の義務等 第1節 個人情報取扱事業者の義務(第15条~第36条) 第2節 民間団体による個人情報の保護の推進 (第37条~第49条) 第5章 雑則(第50条~第55条) 第6章 罰則(第56条~第59条) 附則
第1章から第3章までは,行政等も含む個人情報保護を総合的に推進する基本的な枠組みを示した基本法であり,第4章~第6章は,民間事業者が個人情報取扱での義務を規定した一般法になっています。基本法の部分は公布の日(2003年5月30日)から施行,一般法の部分は2005年4月1日から施行されました。
個人情報保護法の「第4章第1節 個人情報取扱事業者の義務(第15条~第36条)」のポイントを列挙します(「第○条」のような表記がありますが,法律の条文は正確を期すあまり,あまりにも冗長ですので,要点だけにしてあります)。
事業者が個人情報の保護を推進する上での基本的な考え方や方針を定めたものです。
個人情報保護法により、個人情報を利用するには利用目的、開示や訂正の手続きを公表する義務があります。また、プライバシーマークでは個人情報保護方針の公表を求めています。
公表するとは、文書化して、利用者が簡単にみられる状況に置くことであり、通常は自社Webサイトのスタートページの近くに掲載します。
方針の記載事項として、JIS Q 15000 では、要求事項 個人情報保護方針を用いるのが通常です。
似た用語にプライバシーポリシーがあります。個人情報保護方針の同義語として用いられることもありますが、経営者が自社の個人情報保護に関する基本方針を社外・社内に宣言する文書とすることもあります。後者の場合、社外とネットワーク通信が多いときはそれへの言及、社内には実現組織と運営への言及を含むこともあります。
個人情報保護法では,漏洩が明らかになったからといって,直ちに事業者が罰せられるのではありません。行政命令に従わないときに罰せられるのです(間接罰)。罰せられるのは漏洩をした当事者と事業者の両方です(両罰制)。☆
このように,個人情報保護法は個人情報取扱事業者の義務等を明確にすることにより個人情報の保護を図ろうとするものであり,個人情報の不正な取扱により生じた事業者と被害者の間のトラブルに関して取り決めたものではありません。その点では交通法規と同じような性格です。
個人情報保護法では,事業者と被害者の間のトラブルは,原則として当事者間の話し合いや裁判で解決することとし,それで解決できないときは,行政が苦情の申し立てを受ける仕組みになっています。
一般に個人情報は次のように区分されます。
個人情報保護法では,個人情報の内容が示されていません。それは,公知情報も含むすべての情報を対象にしているからです。氏名と住所だけの一覧表も個人情報の対象になります。
個人情報に似た概念に「プライバシー」があります。プライバシーとは,そもそも「他人から個人の静穏を侵害されない自由」という概念でしたが,最近では「個人情報へのアクセスをコントロールする権利」であると認識されるようになり,個人情報保護と近くなってきました。それでも公知情報をプライバシーとするのは一般的ではないでしょう。また,プライバシー保護では,芸能スキャンダルのような個人により異なる情報を対象にしているのに対して,個人情報保護では多数の人に共通する情報を対象にしている傾向があります。しかし,プライバシーの概念が個人情報と似てきましたので,通常の場合は,あえて区別する必要はないと思います。
いわゆる機微情報です。本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害の事実などに関しては、特別な保護が求められます。
通常の個人情報では、利用目的の取得前公表、取得後の速やかな通知があれば、取得に本人の同意は不要です。それに対して、要配慮個人情報は本人同意を得て取得することが原則義務化されました。同様に、本人同意を得ない第三者提供(オプトアウト)が禁止されました。
個人情報の保護は重要ですが、各種統計の活用、特に多様な分野で収集したデータを組み合わせて分析することにより貴重な情報が得られます。
近年、情報通信技術の進展により、膨大なパーソナルデータが収集・分析される、ビッグデータ時代が到来してきました。また、AIなどの分析技術により、従来の単純加工では得られない情報の発見や仮説検証が可能になってきました。そのデータには個人情報が含まれることが多くありますが、これらの利活用は国民生活に大きなメリットがあるといわれています。
このような背景から、個人を特定できないように加工して、データの流通を図るための法的措置が行われています。
個人情報 仮名加工情報 匿名加工情報
利用目的以外の利用 本人同意必要 公表だけで可 自由にできる
第三者提供 本人同意必要 提供不可 自由にできる
開示・利用停止請求 対応義務あり なし なし
漏洩等報告義務 報告義務あり なし なし
「匿名加工情報とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。(第3条の2)。
特定の個人を識別することができないように個人情報を加工したものを匿名加工情報といいます。
匿名加工情報は、個人情報ではないとして、個人情報保護法の適用を受けません。それで、匿名加工情報は本人の同意や通知なしに ①第三者への提供 ②目的外利用ができます(第三者提供には、あらかじめ、匿名加工情報に含まれる情報の項目や、提供方法を公表しなければなりません。提供に際し、提供する情報が匿名加工情報である旨を明示する義務があります)。
しかし、その加工方法や取扱については厳格なルールが求められます。個人を特定できる情報はすべて削除するか、復元できないように置換します。個人名は何らかのコードに暗号化しても、そのルールが加工者すら知らないようにする必要がありますし、年齢や住所は年代や府県など層別化することなどが考えられます。
データベース化された匿名加工情報を事業の用に供している者を匿名加工情報取扱事業者といいます。匿名加工情報データベースの作成者だけでなく、それを利用する者も含まれます。
義務 作成者 作成者以外の匿名加工情報取扱事業者
適正加工義務 ○
加工方法等安全管理措置義務 ○
作成時公表義務 ○
提供時公表義務 ○ ○
識別行為禁止義務 ○ ○
安全管理措置等の努力義務 ○ ○
「仮名化」とは、データの一部を置き換える等により、元のデータ等追加情報を利用しない限りそのデータの主体を特定できないようにすることをいいます(第2条の9)。例えば、氏名・性別・年齢からなるデータの場合、性別・年齢だけでは個人を特定できないので、氏名を記号等に置換えるだけで、元の氏名というデータを利用しない限り、個人を特定できなくなります(住所も含む場合は、個人を特定できるので、県レベルだけにするなdぽの加工も必要です)。
匿名加工情報との違いは 、「他の情報と照合することで、特定の個人を識別できる」復元可能性があることです。すなわち、匿名加工情報と個人情報の中間に位置します。
個人情報と比較した規制緩和
仮名加工情報は、個人情報ではありますが、個人が特定する情報は伏せられている(「少年A」のような扱い)ので、利用目的の範囲を超えて利用できます。
利用目的以外で利用する場合、変更する場合は、本人の同意を得る必要はなく、本人が見える環境(Webサイト等)に公表すればよいとされています。
本人からの開示や利用停止請求に関しては、「本人」の同定ができないので、対応義務はありません。また、漏洩が起こったときも「個人情報漏えい」ではないので、個人情報保護法での報告義務はありません。一般的な情報セキュリティ対応としての扱いになります。
個人情報と比較した規制強化
仮名加工情報は、「他の情報と照合すれば個人を識別できる」ので、照合をしない(できない)措置が義務付けられます。最も単純なのは、氏名を乱数によりランダムな番号にする(一意性保持が必要ですが)ことです。仮名加工した当事者でも照合できなくなります、反面、他の情報との氏名による照合などはできません。
第三者への提供は禁止されています。本人の同意を得ることが困難だし、第三者が解読する手段を持っているかもしれないからです。同様にオープンデータとしてWebサイト等で公開することもできません。ただし、システム開発やデータ保管などの委託先への提供は、禁止していません。実務上不可能だからです。
このような制約により、社内利用が主になりそうですが、このデータを用いて、本人にメールや訪問をすることは禁止されています。照合ができないはずだからです。
当初の個人情報保護法では民間だけを対象にしていました。それは,国や地方公共団体には「行政機関等の個人情報保護に関する法律」があるからです。これには,
行政機関の保有する個人情報の保護に関する法律
独立行政法人等の保有する個人情報の保護に関する法律
情報公開・個人情報保護審査会設置法
行政機関の保有する個人情報の保護に関する法律等の施行に伴う関係法律の整備等に関する法律
があります。2003年5月30日に個人情報保護法と同時に公布されました。
しかし、2022年に、デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)が施行され、2023年の個人情報保護法が改正されたのを機に、行政個人情報保護法は廃棄され、個人情報保護法に統合されました。
1980年にOECD(経済協力開発機構)理事会は,「プライバシー保護と個人データの国際流通についての勧告」を採択しました。
この8原則は,個人情報保護法の基礎になっています。両者には次の対応があります。 ★
目的明確化の原則,利用制限の原則 第15条,第16条,第23条 収集制限の原則 第17条 データ内容の原則 第19条 安全保護の原則 第20条~第22条 公開の原則,個人参加の原則 第18条,第24条~第27条 責任の原則 第31条
GDPR(General Data Protection Regulation:一般データ保護規則)は、EU(欧州連合)による個人情報保護を目的とした規則で、2016年に発効、2018年から適用が開始されました。
十分性認定とは “個人データを移転できるだけの十分なデータ保護の水準を持つ“ことを認めることです。 欧州連合は、GDPRの日本に対する十分性認定をしており、手続きは簡素化しています。しかし、十分性認定は個人データの域外移転のみに関わるものですし、違反への制裁金が非常に高額なことから、未だ日本企業の対応が遅れているといわれています。
個人情報取扱事業者には,婦人用アクセサリーの通信販売会社,病院,金融機関など多様な業種・業態があり,それぞれの業種・業態により,取扱う個人情報も異なるし,重視するべき観点,具体的な手段も異なります。それで,個人情報保護法では,あいまいな表現が多く,具体的に遵守手段を講じるのには不十分です。
それで,各省庁が所轄の分野でのガイドラインを策定しています。
例えば経済産業省のガイドラインは,「経済産業分野」における事業者等が行う個人情報の適正な取扱いの確保に関する活動を支援する具体的な指針として定めるもので,個人情報保護法や関連政令を逐条的に解説するとともに,理解を助けるための具体的な例を示しています。また,本ガイドラインのなかで,「しなければならない」と記載されている規定は,それに従うことが強制される義務規定であり,「望ましい」と記載されている規定については、できるだけ取り組むべき努力規定であるとされています。
また,業界での自主的なガイドラインもあります。実際には,これらのガイドラインに従って,具体的な対策を行うことが求められます。
「JIS Q 15001:2006 個人情報保護マネジメントシステム-要求事項」( http://www.meti.go.jp/policy/it_policy/privacy/jis_shian.pdf)は、個人情報保護法との整合性をとったJIS規格です。
個人情報保護をマネジメントシステムとして確立し、改善を進めるために、実践すべきことが体系的に示されています。
その構成は次の通りです。
3 要求事項
3.1 一般要求事項
3.2 個人情報保護方針
3.3 計画
「個人情報の特定」「法令、国が定める指針その他の規範」
「リスクなどの認識、分析及び対策」「緊急事態への準備」など
3.4 実施及び運用
「運用準備」「取得,利用及び提供に関する原則」「適正管理」
「個人情報に関する本人の権利」「教育」
3.5 個人情報保護マネジメントシステム文書
3.6 苦情及び相談への対応
3.7 点検
3.8 是正処置及び予防処置
3.9 事業者の代表者による見直し
「個人情報保護方針事業者の代表者は,個人情報保護の理念を明確にした上で,次の事項を含む個人情報保護方針を定めるとともに,これを実行し維持しなければならない。」としています。
個人情報保護法と整合性を持つJIS規格JIS Q 15001(個人情報保護マネジメントシステム-要求事項)について、組織がこの規格にそった体制を整備し実践しているかを第三者認証するのが、プライバシーマーク制度です。
日本情報経済社会推進協会(JIPDEC)「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン【第2版】」
http://privacymark.jp/reference/pdf/guideline_V2.0_140114.pdf
審査に合格すると、右図のプライバシーマークを会社内に掲示したり、Webページに表示したりできます。それにより、法律への適合性はもちろんのこと、自主的により高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることをアピールできます。特に、BtoCサイトのように、個人情報を入力させるページでは、このマークがあることにより、利用者の信頼を得ることができます。
個人情報保護法は法律遵守という最低限のレベルを規定したものであり,それ以上に実務で実践しており,さらに向上に努めていることを示すのがプライバシーマーク制度だと理解するのが適切です。
個人情報の保護は大切なことは重要ですが,それはあくまでも対象になる個人の権利を保護することが目的です。また,常識的な範囲で運用されるべきです。
ところが,個人情報に過剰な反応をする傾向が強くなり,その弊害も現れるようになりました。
個人の過剰反応
・国勢調査を拒否する
・学校の連絡網が作れない
・地域の回覧板のルートが表示できない
漏洩して困る情報の常識的な判断が求められます。
組織の過剰反応
・行政が民生委員に老人世帯の情報を提供しない
・災害時に病院が収容者の情報を提供しない
・家族失踪にホテルやレンタカーの記録を教えない
・製品リコールで,購入者の記録が廃棄されている
個人情報を保護することが目的ではなく,組織あるいは担当者の責任逃れの手段とされていることがあります。
公務の過剰反応
・公務員の犯罪で氏名を公表しない
・要職幹部の学歴・職歴を公表しない
・国会議員の財政状況を公表しない
これらは,国民の知る権利,公務へのチェック機能を阻害することになります。
このような弊害を回避するために,「なぜ個人情報を保護するのか」という法の精神を理解することが大切です。
社会・経済を発展させるために、匿名加工情報の相互活用を促進を目的とした制度で、個人情報保護法で認められた制度です。
銀行が預金者からの預金を企業等に貸し出すように、情報銀行は、個人が預託した行動履歴や購買履歴など個人情報にひも付いたデジタルデータを匿名化したうえで、の情報提供、一元管理し、そのデータを利用したい企業に公開します。預託したデータを活用することにより得た利益の一部は、企業から直接に、あるいは情報銀行を介して提供者に還元されます。
これにより、ある事業者が収集し管理している行動履歴や購入履歴を、個人が特定できないようにして、別の事業者でも活用できるようになります。
近年は、スマートフォンの発展などにより、消費履歴やWeb閲覧履歴などだけでなく、移動経過、撮影写真、健康状態など多様な情報を自動記録できるようになりました。このような個人の生活(life)をデジタルデータで記録する(log)ことをライフログといいます。
ライフログサービスの多くは、インターネット上のサイトにライフログ情報を保管し、本人が検索・加工するだけでなく、SNSメンバ間で共有する機能も提供しています。情報銀行がこれらの情報も扱うようになれば、災害時の避難行動のシミュレーションなど、活用分野は急激に拡大されましょう。