メインメニューをとばして、このページの本文エリアへ

ビッグデータビジネス促進に向けて-改正個人情報保護法成立

柴田 寛子

 個人情報保護法を改正する法案が成立し、2年以内に施行されることとなった。ビッグデータをはじめとするデータ活用ビジネスを促進するとともに、EUなどの先進国と同等の個人情報保護法制の導入を狙うものだが、情報の「匿名化」の基準や、海外提供に際しての規範などの具体的なルール作りはこれからだ。柴田寛子弁護士が改正法のポイントをわかりやすく解説する。

 

改正個人情報保護法の実務ポイント

 

弁護士 柴田 寛子

1 改正個人情報保護法の成立とその施行までのスケジュール

柴田 寛子(しばた・ひろこ)
 2001年弁護士登録。1998年東京大学法学部卒業、2007年カリフォルニア大学バークレー校ロースクールLL.M修了。2008年ニューヨーク州弁護士登録。2007年-2008年米国Orrick, Herrington & Sutcliffe法律事務所、2008年-2009年外務省国際法局経済条約課出向を経て、現在、西村あさひ法律事務所パートナー。
 本年9月3日、第189回通常国会において、個人情報の保護に関する法律(以下「個人情報保護法」という)の改正に関する法案(個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案)が承認・成立した。
 個人情報保護法の改正法(以下「改正法」という)の施行日は、公布日(本年9月9日)から2年以内の日であり(改正法附則1条柱書)、2017年9月頃となる可能性がある。もっとも、改正法のうち、改正法下で同法を所管する個人情報保護委員会の設置等に関する部分は、2016年1月1日から施行される。同委員会は、マイナンバー制度に対応して昨年発足した特定個人情報保護委員会を改組することにより、来年1月に設置され、約2年後の改正法の実質部分の施行に向けて、実務上重要な意味を持つ同委員会規則(以下「規則」という)及びガイドラインの制定を行うこととなる。

2 改正法の特色-データ活用の促進のためのルール作り

 改正法の目的は、「個⼈情報の保護を図りつつ、パーソナルデータの利活⽤を促進することによる、新産業・新サービスの創出と国⺠の安全・安⼼の向上の実現」(改正法の立案担当部署・内閣官房情報通信技術(IT)総合戦略室による法案説明資料参照)、つまり個人情報の保護を基本としつつ、ビッグデータビジネスを含む、産業、医療、学術研究等の様々な分野で情報の分析・流通を容易にするための法制度を整備することにある。
 なお、改正法は、各定義や基準等の細目の決定を、政令及び規則に委ねているため、個人情報を取り巻く社会事情の変化に応じて、機動的な対応が可能となっている。また、改正法は、下記4のビッグデータビジネス促進のための匿名加工情報に関するルール作りに見られるように、法令等による規律は最低限に留め、認定個人情報保護団体(2015年8月時点で42団体)等を通じて、事業者自身が各事業の実態に合った自主的なルールを策定することを想定している側面もある。
 さらに、改正法では、現行法下ではやや曖昧になっていた、海外への個人情報の移転に関する規制が盛り込まれた点も、実務上、大きな意味がある。以下、本稿では、改正法の主要項目と実務への影響について概説する。

3 個人情報の定義の整理と要配慮情報の新設

 (1) 個人識別符号

 「個人情報」の定義については、現行法と同じ、「特定の個人を識別することができる」情報という類型に加え、「個人識別符号が含まれるもの」という新しい類型が設けられた(改正法2条1項2号)。当該改正については、国会審議における国務大臣・審議官等の答弁(以下「国会答弁」という)において、個人情報の定義を拡大・拡充するものではないと説明されているが、新設された「個人識別符号」の具体的範囲は、政令で定められるため、その内容次第では、個人情報保護法の適用範囲が従前に比べて実質的に拡大する可能性がある。具体的には、「個人識別符号」は、①個人の身体の一部の特徴を変換した符号等と②役務・サービスの利用者・購入者別に割り当てられる符号等の2つの類型に分けて定義されているが(改正法2条2項)、上記②について、クレジットカード番号、メールアドレスや会員ID等、従来は、それのみで個人情報とは考えられてこなかった情報が、形式的には該当することになる可能性がある。もっとも、国会答弁においては、クレジットカード番号等は、個人識別符号に「一概に該当するとはいえない」と回答されているが、政令の内容を確認する必要がある。

 (2) 要配慮情報

 また、人種、信条、社会的身分、病歴、犯罪歴等、不当な差別・偏見等の防止のため、取扱いに特に配慮を要する情報について、「要配慮情報」との分類が新設された(改正法2条3項。細目は政令に委任)。これらについては、原則として、その取得及び第三者提供について、本人の事前同意が必要となる。本人の事前同意なく取得が可能な例外的場合の細目は、政令に規定されるため、例えば、医療機関による病歴の取得等、現在の実務において例外規定を必要とする場合に対応した内容となるかが注目される。実務では、現在、個人情報の取得・第三者提供に際して、「要配慮情報」に該当し得る情報とそれ以外の個人情報を分けて管理していない場合には、改正法施行に向けて、社内体制の整備が必要となると考えられる。

4 ビッグデータビジネス促進のための法整備-匿名加工情報

 ビッグデータビジネスをはじめとする様々な分野での情報の活用を促進するため、「匿名加工情報」、つまり、①特定の個人を識別することができないよう加工され(特定個人識別可能性の排除)、かつ、②当該個人情報を復元することができないようにされた(復元可能性の排除)情報という類型が新設された(改正法2条9項)。これは「個人情報」の範囲に含まれないパーソナルデータのうち、一定の範囲のものについて、本人の同意を得ずに第三者提供を行っても、事後的に法的な問題が生じないことを事実上保証することによって、ビッグデータの利活用を促進するために創設された概念である。匿名加工情報は、提供者・受領者の双方が以下に記載する義務を履行することで、本人の同意を得ずに第三者提供を行うことができる。

 提供者
 - 第三者に提供する匿名加工情報に含まれる個人に関する情報の項目及び提供方法を予め公表すること(改正法36条4項)
 - 提供先に対し当該情報が匿名加工情報である旨明示する(同項)。
 - ①(匿名加工情報への加工に際して)削除した記述等・個人識別符号、及び②加工方法に関する情報の漏えい防止措置を講じること(同条2項)

 受領者
 - ①匿名加工情報の作成者が削除した記述等や加工方法の取得、及び②他の情報との照合等、本人を識別する行為を行わないこと(改正法38条)。
 - 受領者がさらに第三者提供を行う際、当該情報が匿名加工情報であることを明示すること(改正法37条)。

 実務上、特に重要な点は、匿名加工情報を作成するための「加工」のルールであろう。改正法の法文上は、特定個人識別可能性の排除のために求められる情報加工・処理の基準は、規則に定めるとのみ規定されているが、国会答弁においては、「通常、人の技術力等能力をもって作成のもととなった個人情報を復元しようとしても当該個人情報に戻ることのないような状態にあることをいい、技術的側面から全ての可能性を排除することまで求めるものではない」と説明されており、求められる基準は、実務における通常の技術力を基準としたものとなることが想定されている。また、求められる情報処理のレベルや技術は、取り扱う個人情報の性質や事業の内容によっても異なり得ることから、国会答弁では、規則では全ての事業分野に共通する最低限の規律を定めるに留め、具体的な加工方法については、認定個人情報保護団体等の事業者団体・事業者による、「事業の実態を踏まえた自主的なルールに委ねる」と説明されている。そのため、匿名加工情報の利活用のためには、事業者としては、認定個人情報保護団体等を通じて、自主的に、技術的な細目を含む加工基準の作成を進める必要がある。

5 第三者提供に関する新ルール - トレーサビリティの確保等

 いわゆるベネッセ事件において、いわゆる名簿事業者からの個人情報流出が社会問題となったことを受けて、(委託、共同利用、合併等に伴う取得を除く)個人情報の第三者提供に際しては、提供者・受領者に以下に記載する義務が課されることとなった。

 提供者
 - 第三者提供を行った年月日、受領者の氏名等の記録を作成・保存すること(改正法25条)

 受領者
 - 提供者の氏名及び提供者における当該個人データの取得の経緯について確認し、その記録を保存すること(改正法26条)

 記録・保存・確認の方法及び対象事項の細目、並びに保存期間については規則に委任されているが、実務の関心が高いのは、第三者提供の提供者・受領者の氏名及び対象事項の「記録」として具体的にどのような対応が求められるかとの点であろう。この点については、国会答弁において、「例えば、記録の作成方法については、書面または電子データのいずれでもよいものとし、さらに、別途特別に紙ファイルやデータベースを作成しなくても、年月日、提供の相手方等の記録すべき事項がログやIPアドレス等の一定の情報を分析することによって明らかになる場合には、その状態を保存すれば足りる」と説明されており、電子的にデータを収受している場合には、データ収受の記録が一定期間追跡可能な状態で残されている限り、この義務は果たせることとなる可能性が高い。そうであるとした場合、実務上は、サーバ等に残されたログその他のデータをどの程度の期間保存しておくべきかということとの関係で、規則において保存期間がどの程度の期間に設定されるかが注目される。

6 海外へのデータ移転

 改正法は、国外の第三者への個人情報の提供には、(単なる第三者提供への同意ではなく)「外国にある第三者への提供を認める旨の本人の同意」を求め(オプトアウトは不可)、当該同意がない場合には、①日本と同等の水準の個人情報保護制度を有すると認められる国として規則で定める国にある第三者、又は②規則に定める基準に適合する体制を整備している第三者に限って、国内における第三者提供と同様のルールの下での第三者提供を認めるものとされている。さらに、国内における第三者提供は、委託、共同利用、合併等に伴う取得は対象外とされているが、国外の第三者に対する提供には、これらも含まれる(上記のルールに従わなければならない)点についても留意が必要である。具体的には、海外のデータセンターへの個人情報処理の委託、海外の提携先への個人情報提供、(子会社も第三者に含まれるため)海外子会社を含むグループ企業内での従業員や顧客に関する個人情報の共有も、これらの規制の対象となることに注意が必要である。

 実務においては、従来の個人情報保護法に基づいて取得された情報に関しては、国外の第三者への提供についてまで同意が取得されていることは稀であると考えられるため、国外の第三者への個人情報の提供に際しては、上記①又は②の例外に依拠せざるを得ない場合が殆どであると考えられる。そのため、規則による認定を受ける国・地域の範囲が実務上非常に重要となる。
 例えば、EUでは、国外の第三者への個人情報の移転については、当該第三国が十分なレベルの保護措置を確保している場合に限り行うことができる(EUデータ保護指令25条1項)という上記の改正法上の制度と類似した制度を採用しているが、2014年5月現在、EU域内を除くと、認定対象国・地域は12に限られており、日本は認定を受けていない。規則による認定の対象は、「日本と同等の水準の個人情報保護制度を有する国」であるため、EUの認定対象国・地域よりは範囲は広いと予想されるものの、例えば、現在、中国は個人情報保護のための分野横断的な特別法は制定しておらず(なお2015年1月時点で109国・地域が個人情報保護法制を有する)、国外第三者の所在国によっては、上記①に依拠することができない。その場合には、上記②に基づき、規則に定める基準を満たすような個人情報の管理を義務付ける契約の締結等を求める必要が生じることになる。

7 適用範囲の拡大 ~ 小規模事業者の適用除外の廃止

 最後に、改正法では、現行法において認められている小規模事業者(取り扱う個人情報の対象となる個人の数が過去6か月以内のいずれの日においても5000を超えない者)の適用除外が廃止される点について触れておきたい。この適用除外の廃止により、実務においては、これまで必ずしも個人情報保護法を意識してこなかった中小企業においても、改正法の適用を受けることになる。
 もっとも、改正法下においても、個人情報保護委員会の定めるガイドラインにおいて、従来は小規模事業者に該当するような事業者に配慮することとされており(改正法附則11条)、例えば、国会答弁においては、安全管理措置義務に関する規定を定める際には、事業規模や個人情報の利用形態に応じて必要とされる措置の具体例を示すこと等を想定している旨の説明がされている。

8 終わりに

 以上のとおり、改正

・・・ログインして読む
(残り:約195文字/本文:約5547文字)