個人情報保護法の改正

2023年7月6日

追記(2015/7/23)
2014年6月に本ブロク記事を記載した以降も、日経コンピュータ誌や新聞などが個人情報保護法改正案について報じている。
まだ不明点がある(政令や委員会規制に委ねられている点がある)が、主なポイントは以下のようである。
①目的外利用の禁止:
本人の同意なく、個人情報を目的外に使用することは出来ない。
②第三者に提供する際は本人の同意が必要になる。
さらに、第三者に提供する場合は記録を取る(トレーサビリティを確保する)ことが必要となる。(これは名簿屋対策のようだ)
③法律施行後3年ごとに、この法律、規則、政令に対して見直しが行われる。
④匿名加工情報(検討段階で個人特定性低減データと称していたもの)の枠組みが導入される。
匿名加工情報とは、個人を識別できないように個人データを加工して、なおかつ個人情報を復元できないようにしたデータのことである。
匿名加工情報は、個人情報ではないから、本人の同意なく他社に利用させることが出来る。但し、それにはいろいろな制約条件が付されている(これはプライバシーに配慮しつつ情報の利用を可能とするための制約である)。

個人情報保護法をめぐる論点は、こちらを参照下さい。


個人情報保護法の改正に向けた大綱が2014年7月にも公表されるとのことから、日経コンピューターの2014年6月26日号にこの特集が組まれている。
大雑把に言ってしまえば、個人を特定できないようにデーターを加工して、マーケティングや新規ビジネスなどに活用できるようにしようというのが狙いである。
個人情報とプライバシーに関しては、以前に「利用規約と個人情報、プライバシー」に記した。
そこでも記載しているように、個人情報とプライバシー情報は区別する必要がある。
個人情報保護法で定められた「個人情報」とは、生存する個人に関する情報で、氏名や生年月日などにより「特定の個人を識別できるものを含む情報」である。
一方、プライバシー情報は、個人情報よりも広い概念であり、特定の個人を識別できなくても、プライバシー情報になり得る。また、プライバシー保護を直接規定した法律はなく、憲法13条に基づく判例などがその根拠になっている。

2015年の法改正では、個人を「特定できない」ように加工した情報と、その情報を利用するうえでの条件や制約などが盛り込まれるようである。
すなわち、個人情報よりも広い範囲を規定するのだから、もはや「個人情報」保護法ではない。
記事を読むと、法改正に向けては個人を特定できるか否かが重要な論点になっているようだが、個人を特定できなければ従来危惧されてきた大方の問題は解消されるのだろうか?
例えば、特定の個人であるAさんが、通勤経路やよく利用するコンビニ、そのコンビニでの購買履歴などの情報を収集されるケースを考えてみる。
Aさんのこれらの行動情報は、マーケティングなどに利用されることが想定される。
Aさん個人を特定できる場合には、特定の商品(例えば、保険商品や嗜好品など個人の属性に依存する商品)を電子メールやダイレクトメール、などで勧誘される事態が考えられる。
このようなケースでAさんはどう思うだろうか。
なぜ自分の属性や嗜好が知られたのか不審に思うとともに、プライバシー情報が漏れていることへの不安、情報を収集している事業社への不満や憤りを抱くことが予想される。
この例でAさんを特定出来ないように、データを加工した場合はどうだろうか。
Aさんのところに商品の勧誘が来ることはないが、プライバシーに関わる情報が自分の知らないところで収集され、取引されていることを知れば、不安や、事業者に対する不審、不満の感情を抱くことに変わりはないのではなかろうか。また、データを加工する以前の情報(個人情報)が漏洩したり、窃取されるリスクが残る。
人は自らの意思で個人情報の一部を開示する場合は抵抗感が少ない。 例えばSNSに個人情報を登録するケースや、通販サイトに個人の属性情報とクレジットカード情報を登録するケースなどである。 この場合は自己責任だから抵抗感が少ない(問題が起きたら自己責任だという自覚がある)。
一方、本人の知らないところで情報を収集された場合は大きな抵抗を感じる。さらにその情報が勝手に取引され、利用されたと知ればなおさらである。
即ち、本人の同意なく行動情報を収集した場合には、個人を特定出来ようが出来まいが、不安感や不満感、不信感を持たれる可能性は高いのではないだろうか。

記事を読んだ範囲では、「個人特定性低減データ」に加工すれば、「本人の同意なしに」情報を第3者に提供できるようになるらしい。
ここで、「個人特定性低減データ」という新しい用語が登場しているが、これ以外にも「識別非特定情報」や「非識別非特定情報」など、聞きなれない用語が使われていて非常に分かり難い。
グレーゾーンを無くそうとすると新しい用語(概念)とその定義が必要になることは理解できるが、新しい用語(概念)を定義すればするほど認識の齟齬が生じやすくなるのも事実である。
聞きなれた言葉ですら人によって認識にズレが生じる場合がある。まして新しい用語(新しい概念)を定義すればなおさらである。

個人の行動に関わる情報が勝手に収集される様は、街の至る所に監視カメラが設置され、個人の行動が監視されている様子に酷似している。監視カメラの場合は防犯のため止むを得ない側面があるが、これを他の目的に使用した場合は大いに問題である。 個人の同意なく勝手に情報を収集されることに対して感じる気味悪さと同質のものが監視カメラにある。

さて、いくら法律(および条例等)で細かく規定しても、不安感や不信感が拭えないのはなぜだろうか?
ひとつの理由は、如何にすれば問題なく情報を収集し、利用することが出来るのかという、情報を収集・利用する業者の視点に偏重しているからであり、情報を採られる個人の側の視点が不足しているからではあるまいか・・・。

経営とITの話題のINDEX
経営とITの話題のINDEX

経営とITの話題

Posted by kondo