資産と化した個人情報の保護

■個人情報を運用する時代に!?

2017年8月28日、日本経済新聞の朝刊一面では、「個人が、自分の健康状態や購買履歴などのデータを一括で企業に預け、ビジネスに活用してもらって運用益を得る仕組みをつくる」という総務省方針が報じられました。データを預かる企業は、匿名化した個人データを他の企業に提供して運用します。個人が情報提供先を指定せず運用担当者に任せる「情報信託」方式と、個人が情報提供先を指定する「情報銀行」方式の2本立てで検討が進められている模様です。これは、政府の「未来投資戦略2017」に盛り込まれている構想に沿ったものです。自分の個人情報は自分で運用する、そんな時代が来ようとしています。

■個人情報保護法の改正

2017年5月30日には、改正個人情報保護法(個人情報の保護に関する法律)が全面施行となりました。ここでも、個人情報を含むビッグデータの収集・分析が、新たな産業の創出や、活力ある経済社会、豊かな国民生活の実現に資するものであるとされています。しかし、個人情報は、個人の人格と密接に関連しており、人格尊重の理念のもとに慎重に取り扱われるべきものであることを忘れてはなりません。個人情報の有用性に配慮しつつ、個人の権利利益を守ることが法の目的であり、様々な施策は、個人情報の保護と適正かつ効果的な活用のバランスを取ることが求められています。
法改正のポイントは様々なメディアでも報じられたとおりですが、ここでもう一度とくに中小企業にも重要なポイントをおさらいしましょう。

■個人情報の定義

個人情報とは、生存する個人を識別できる情報のことです。氏名や生年月日はもちろん、身体の一部の特徴をデータ化したもの(指紋認証データや遺伝子情報)、免許証番号やマイナンバーなど個人に割り振られる唯一の番号(個人識別符号)も該当します。
また、単独では個人を特定できないけれど、別なデータと容易に照合できて個人を識別できる状態のものも、個人情報となります。

■個人情報取扱事業者の定義-5000人要件の撤廃

個人情報取扱事業者とは、1件でも個人情報を事業に活用しているすべての事業者のことです。改正前は対象外となっていた、6か月を超えて保有する個人データが5000件未満の小規模事業者や、法人以外の個人事業主、自治会、PTA、NPO法人なども今回の改正では「個人情報取扱事業者」として法規制の対象となりました。

■個人情報を取得・利用するときには

個人情報は、利用目的をできるだけ特定し、あらかじめ本人に利用目的を通知・公表し、適正な方法で取得します。また、取り決めた利用目的の範囲内で適切に利用しましょう。

■安全管理措置の実施

個人情報を、紙媒体でも電子媒体でも、何らかの規則性によって並べ、特定の個人を検索できるように体系化したものを、「個人データ」といいます。
取り扱う個人情報が「個人データ」である場合は、安全管理措置を実施しなければなりません。
具体的には、以下の4つです。
①組織的安全管理措置:管理者や規定を定める、事故対応マニュアルを整備するなど
②物理的安全管理措置:入退室管理、盗難防止措置など
③人的安全管理措置:従業員や委託先との非開示契約、規約の周知徹底、教育訓練など
④技術的安全管理措置:アクセス制御、認証制度(IDとパスワード)、ウイルス対策ソフトなど
また、個人データは常に正確かつ最新の内容を保つことも大切です。

■第三者提供ってありうるの?

先にも述べたとおり、個人情報を取得する場合は、あらかじめ利用目的を通知・公表しなければならず、利用目的の範囲を超えた利用は禁止されています。もちろん、第三者への提供も、あらかじめ本人の同意を得なければ認められていません。個人情報のどの項目を、どのような方法で提供するのか、また本人から申し出があった場合は第三者提供を中止するということも、あらかじめ通知・公表します。
他にも、個人情報保護委員会への事前の届出や、提供の記録を保管してトレーサビリティを確保することも義務付けられています。

■匿名加工情報、非識別加工情報ってどう違う?どう使う?

改正法で新設されたものの一つに、匿名加工情報があります。これは、特定の個人を識別できないように個人情報を加工し、復元できないようにしたものです。照合も禁じられています。こうなると第三者提供にも本人の同意は不要となります。匿名化された個人の情報、行動・嗜好を分析することで、マーケティングなどに活かすことが期待されています。
非識別加工情報は、行政などが持つ個人情報を同様に加工したもので、匿名加工情報とほぼ同義です。ただし、何らかの必要性が生じて元の個人を識別しなければならないことも考えられるため、行政側では照合禁止規定はありません。たとえば、データの分析によって、ある製品に事故が起きやすいことが分かり、回収や注意を呼びかけなければならない場合などです。
しかし、提供を受けた民間事業者側では匿名加工情報として取り扱うため、照合は禁止されます。それが2つの加工情報の違いです。
非識別加工情報は、活用事業の提案募集に応募し、審査に通れば作成してもらえます。事業が新産業の創出に有効だといえる方は、是非応募してみてはいかがでしょうか。

■それでも法の目的は“保護”

個人情報関連の条文やガイドラインなどを調べると、「個人情報の保護と適正かつ効果的な利用」というキーフレーズが何度も登場します。個人情報が、産業の発展に有用であり、適正かつ効果的に利用されることで国民生活が快適になっていることも確かでしょう。
それでも、個人情報保護法の目的は個人の権利利益を保護することです。
今や個々人の資産と化した個人情報の重要性はますます高まっています。
その取扱いを再度確認し、漏えい事故で信用を失うことのないように気を付けましょう。