個人情報保護法はかなり変わった?センシティブ情報や要配慮個人情報の扱いを厳格化
個人情報保護法が施行されてから20年近く経過し、今ではビッグデータやAI自動学習などの分野では個人情報の利用が欠かせないものになっています。 この20年の間に個人情報保護法は改正を重ね、個人情報の定義は明確化され 「個人識別符号」 「センシティブ情報」 「要配慮個人情報」 などに区分して厳格に扱うようになりました。 個人情報を厳格に扱うことで、当初発生したトラブルは解消し、活用が進んだのでしょう。 今回は、個人情報保護法の変化について見ていきましょう。
個人情報とは
個人情報とは 20年前の個人情報保護法では、個人情報を 「生存する個人に関する情報であって、その情報に含まれる氏名、生年月日その他の記述により特定の個人を識別できるもの」 と定義しています。 特定の個人を識別することができるものを保護すべき個人情報としていますが、その定義する範囲は20年前も現在も変わりありません。 一方で、個人情報保護法は、単純に個人情報を保護するだけではなく、 「個人情報を事業者が有効活用する」 という事も目的にしています。 例えば、顧客情報を活用して売上を最大化する・・・などがそれに当たります。 この「事業者利益」と「個人の保護」のバランスを取ることが個人情報保護法の本来の役割なのです。 最近では、様々な情報をネット上で扱いますが、時代の変化とともにこの個人情報は ・特定の個人を識別する部分は「個人識別符号」に ・それ以外は「センシティブ情報」や「要配慮個人情報」に 分け扱われるようになっています。
センシティブ情報や要配慮個人情報などの区分?
現行の個人情報の定義は、2017年に施行された改正個人情報保護法に定められたものです。 改正個人情報保護法では、個人情報は「個人識別符号」、または「個人識別符号」を含む「要配慮個人情報」「センシティブ情報」となっています。
個人識別符号
個人識別符号とは、生存する特定の個人を識別できるもので、以下はその例です。 ・本人の氏名、生年月日や連絡先などと本人の氏名を組み合わせた情報 ・防犯カメラに記録された情報など、本人を判別できる映像データ ・身体の一部の特徴をコンピュータ処理のために変換した符号、指紋、DNA、顔の骨格など ・サービス利用や商品購入のために割り当てられ、対象者ごとに割り振られた符号で、マイナンバー、パスポート番号、運転免許証の番号など
要配慮個人情報
要配慮個人情報とは、取得に際して本人の同意が必要な情報になります。 ※法令に基づく場合や生命・身体・財産保護・公衆衛生・公的事務のためを除く 1.人種、犯罪の経歴、信条 2.病歴、身体障害・知的障害・精神障害等、健康診断の結果等、医師等による指導・診療・調剤 3.社会的身分、犯罪により害を被った事実、刑事事件に関する手続き、少年の保護事件に関する手続き
センシティブ情報
金融機関では与信判断や保険金などの支払い業務に当たり、他の業種に比べて一層踏み込んだ個人情報に接する機会が多いです。 このため金融庁では「金融分野における個人情報保護に関するガイドライン」を特別に定めています。 このガイドラインでは次の個人情報はセンシティブ情報と呼び、原則として取得や利用、第三者提供が禁止されています。 1.要配慮個人情報の事例 2.労働組合への加盟、門地、本籍地、性生活
個人情報保護法の歴史と改正
個人情報保護法の歴史と改正 ここでは、日本における個人情報保護制度の歴史や改正を見ていきましょう。
歴史
社会・経済情勢の変化を踏まえ、今では3年ごとに個人情報の見直しが行われており、直近では2020年6月に公布され、2022年4月施行になっています。 ・1980年:OECDプライバシーガイドラインで、プライバシー保護と個人データの流通に関わる8原則(収集制限、データ内容、目的明確化、利用制限、安全保護、公開、個人参加、責任)が示され、日本及び諸外国の個人情報保護制度整備の端緒となっています。 ・1988年:国の行政機関を対象とした「行政機関個人情報保護法」の制定されました。 ・1998年:民間部門を対象とした「プライバシーマーク制度」の制定されました。 ・2003年:現行の「個人情報保護関連五法」施行。民間部門や行政機関、独立行政法人を対象にした「個人情報保護法」、地方公共団体ごとに条例が作られました。 ・2017年:金融分野ガイドラインが改正され、センシティブ情報と要配慮個人情報の扱いが変更になり、匿名加工情報制度が新設されました。 ・2020年:同年に公布され2022年施行のものでは、個人の権利利益保護、保護と利用のバランス、国際的潮流との調和、外国事業者によるリスク変化への対応、AI・ビッグデータ時代への対応の視点で見直しされています。
個人情報保護法改正の背景
このように、個人情報はプライバシーを保護しながら個人データ(データーベース化され容易に検索できる状態になっている個人情報)としてビジネスへの利用を促すように発展してきましたが、頻繁に個人情報が改正されている背景には何があるのでしょうか。
情報通信技術が飛躍的に進展
多種多様で膨大なデータの蓄積が進み、ビッグデータの収集・分析が可能になり、さらにディープラーニングに代表される機械学習によるAIがさまざまな分野で利用されるようになりました。 例えば、携帯電話の位置情報を利用した渋谷駅前の人出状況、自動運転自動車などの話題が連日テレビで放送されています。 このように、個人データは新しい産業やサービスを創出するばかりでなく、さまざまな社会問題の解決に役立つものと期待されています。
グレーゾーンの個人情報の取扱
一方、プライバシー保護の概念が世の中に広く認識され、「個人情報が悪用されるのではないかという不安」や「個人情報を注意深くの扱って欲しいという住民意識」が拡がって行きました。 具体的には、学校や自治会の緊急時の連絡網や、高齢者など災害発生時に支援が必要な人の個人情報などが挙げられます。 電話番号や氏名などが記載されている連絡網は、廃止されて緊急の場合に適切に対処できないなど、運用に支障をきたすようになりました。 また、複数の情報が紐づければ、個人が特定されて住所・性別・年収・購買性向・乗降駅などが第三者に分かってしまい、プライバシーが維持できなくなることが懸念されるようになれました。 これらのグレーゾーンは、保護すべき情報の範囲や事業者が遵守すべきルールの曖昧さが原因となっていました。 2017年の改正は、このようなグレーゾーンの解消を目指すものでした。
個人情報利活用の流れと守るべきルール
個人情報利活用の流れと守るべきルール 個人情報利活用の流れをステップごとに説明します。 改正個人情報保護法で追加されたルールは先頭に※印を付けて表示します。 最後に紹介する匿名加工情報は、改正個人情報保護法で追加されたもので、今後の新事業や新サービスの創出や生活の利便性向上をもたらすものと期待されているものです。
取得
(1)個人情報を取得する前または取得後に、利用目的を公表あるいは通知する。 (2)偽りその他不正な手段によって個人情報を取得してはならない。※要配慮個人情報の取得に当たっては原則として本人同意が必要です。 (3)利用目的の範囲内で利用し、範囲外に利用する場合は本人同意が必要である。※合理的な範囲内なら利用目的を変更できる。
保管・管理
(1)個人データを保管・管理する際は、その内容を正確に保ち、漏えい防止や安全に管理するための必要な措置をとること。※不要になったデータは消去するよう努める。 (2)個人情報の取り扱いに関して本人から苦情があった場合は、迅速に適切な処理をすること。 (3)個人情報に関して本人から開示請求があった場合は開示請求に応じること。※開示請求で見つかった、誤りについては訂正・削除などが必要です。
第三者提供
個人情報を第三者に渡す際には、あらかじめ本人同意をとってあれば可能です。 例外として以下の場合は本人同意を必要としません。 (1)「法令に基づく場合」「人の生命や財産の保護に必要だが、本人同意を得ることが困難な場合」「公衆衛生・児童の健全な育成に必要であり、本人の同意を得ることが困難な場合」など。 (2)要配慮個人情報以外の個人情報でオプトアウト手続き(本人の求めに応じて第三者提供を停止できる)を踏んでいる場合です。 (3)委託・事業承継・共同利用は「第三者提供」に該当しません。
匿名加工情報
匿名加工情報とは、個人情報を特定できないように、加工前の状態に戻せないように加工したものです。 ※匿名加工情報は、個人情報に関するルールが適用されず、一定の条件のもとで本人同意無しに自由に利活用できます。 ※匿名加工情報を作成したり、第三者に提供したり、第三者から受領する際には所定のルールに従う必要があります。
グレーゾーンの解消
グレーゾーンの解消 前述したグレーゾーンの解消に向けて、次のような取り組みが行われてきました。
個人に紐づく個人情報
1.学校や自治会などが緊急時の連絡網 連絡網作成のため個人情報を取得する際に、本人の同意を得て必要な個人情報を記入してもらうなら従来通り連絡網を作成し、配布できます。 2.高齢者など災害発生時に支援が必要な人の個人情報 各自治体の定める「個人情報保護条例」を適切に解釈・運用すれば、関係者(福祉部局・防災部局・自主防災組織・民生委員など)間で要支援者情報は可能になっています。 病歴や各種障害などの情報は要配慮個人情報になっていますから、関係者には守秘義務が課されています。
複数情報の紐づけへの懸念
複数の情報を紐づければ、個人が特定されてプライバシーが維持できなくなることが懸念です。 匿名加工はこのような紐づけを防止するために採られた対策です。
個人情報を最大限に活用して、利益を最大化しよう!ITのご相談はAMELAに
個人情報を最大限に活用して、利益を最大化しよう!ITのご相談はAMELAに 今回は、個人情報保護法について見てきました。 少し難しい内容になっていましたが、個人情報保護法の根本が 「個人情報の保護と事業者の利益のバランスを取る」 という考え方であることは理解できたのではないでしょうか。 つまり、法的なルールは守りながらも、その個人情報をどのように活用し、どのようにビジネスを広げていくのかが重要になるのです。 しかし、私の個人的な意見としては、個人情報を有効に活用できていると感じる企業は少数派です。 中には、個人情報を紙媒体で扱っている企業も見受けられますが、そういった管理をしていると ・紛失のリスク ・検索が困難 ・リピート客を把握できない ・集計が出来ない ・顧客に対してアクションを取れない といったビジネス的なデメリットが大きいです。 反対に言えば、顧客情報をきちんと管理する仕組みを作ることができれば、これまで以上に利益を上げることができるということです。 もしも、現状顧客リストを活用できていないと感じる企業様は、是非AMELAにご相談ください。 最新の顧客管理システムや、マーケティングシステムの導入・開発のお手伝いをさせて頂きます。
