連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム 連載 今さら聞けない ひとり情シス 知っ得コラム

企業が知っておきたい改正個人情報保護法のポイントとは?

セキュリティ

2016年は、マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)が施行され、対応に追われている企業も少なくないと思われます。しかし、同時に改正個人情報保護法の策定も進んでおり、2017年より全面施行される予定です。マイナンバー法の影に隠れている印象ですが、改正個人情報保護法では取り扱う個人情報が5000名以下の取扱事業者にも対象が拡大されるなど、大きな変更が行われます。ここでは、改正個人情報保護法で何が変わるのか、その変更点などを紹介します。

第1章:改正の背景と目的

2017年より施行予定の改正個人情報保護法に先立ち、内閣官房IT総合戦略室が改正概要を公開しています。これによると、個人情報保護法の改正は「個人情報の保護と有用性の確保に関する制度改正」と位置づけています。その背景には、ビッグデータ時代の到来により経済の活性化が図れるにもかかわらず、ビッグデータに含まれる情報が個人情報に該当するのか、どうかの定義が曖昧だったため、利活用を躊躇する企業が多いこと。そして、そうした情報が流出する懸念も高まっていることが挙げられます。

そこで改正個人情報保護法では、個人情報を再定義することで、これまで曖昧でグレーゾーンとされていた部分を明確化しました。ビッグデータとして収集される情報から個人を特定できる部分を修正した「匿名加工情報」にすることで、企業は自由にデータを利活用できるようになります。また、個人情報の不正な売買を防止するために、必要に応じて個人情報の流通経路を辿ることができるようにするとともに、不正に個人情報を提供した場合の罰則を設けています。

改正個人情報保護法施行までのスケジュール(案)

第2章:改正内容

改正個人情報保護法の改正ポイントは、次の6つになります。

  • a:個人情報の定義の明確化
  • b:適切な規律の下で個人情報などの有用性を確保
  • c:個人情報の保護を強化
  • d:個人情報保護委員会の新設およびその権限
  • e:個人情報の取扱いのグローバル化
  • f:その他改正事項

このうち、企業が押さえておきたい重要な3つの改正ポイント(a~c)を説明します。

a:個人情報の定義の明確化

改正個人情報保護法では、個人情報を「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述などにより特定の個人を識別することができるもの」および「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」と定義しています。

前者には氏名、住所、生年月日のほか、指紋データや顔認識データ、商品の購入時に付される符号、パスポート番号、免許証番号などが含まれ、後者には個人情報と紐づく移動履歴、購買履歴などが含まれます。また、本人同意を得ない第三者提供の特例(オプトアウト)の禁止も明文化されました。

b:適切な規律の下で個人情報などの有用性を確保

個人情報を含むビッグデータを活用するために、新たに特定の個人を識別することができないように個人情報を加工したものを匿名加工情報と定義し、その加工方法を定めるとともに、事業者による公表などその取扱いについての規律を設けています。

移動履歴・購買履歴に含まれるデータはかなり詳細で、たとえば移動履歴では秒単位までの時間と緯度・経度の情報が含まれますし、購買履歴では秒単位までの時間と店舗名、商品名、金額の情報が含まれます。これらの情報を、時間は「○時台」、緯度・経度は「○度○分」、店舗名は「実店舗」か「ネットショップ」かの区別、商品名をカテゴリ名、金額を「○円未満」「○円以上」などと加工することで、利活用を可能にします。

匿名加工情報の例

c:個人情報の保護を強化

個人情報の保護の強化では、必要に応じて個人情報の流通経路をたどることができるようにするとともに、不正に個人情報を提供した場合の罰則を設けています。これは、個人情報の不正な売買を防止することを目的としています。流通経路をたどるためのトレーサビリティでは、「受領者は提供者の氏名やデータ取得経緯などを確認し、一定期間その内容を保存。また、提供者も、受領者の氏名などを一定期間保存」と規定しています。

また罰則については、「個人情報データベース等を取り扱う事務に従事する者または従事していた者が、不正な利益を図る目的で提供し、または盗用する行為を処罰」とする「データベース提供罪」を規定しています。

まとめ:企業などに求められる対応

改正個人情報保護法において、企業が注意すべき点としては、ビッグデータを利活用する際の匿名加工情報の方法を基準に合わせて策定すること。加工前、加工途中、加工後のデータの管理体制やセキュリティ対策などの安全管理措置を講じること。トレーサビリティへの対応などが挙げられます。また、改正個人情報保護法だけではなく、政令や規則、また、業界などが定める指針などにも準拠する必要があるので、それらを踏まえた包括的な対応が必要になるでしょう。

この記事のライター
吉澤亨史(よしざわこうじ)

1996年より週刊アスキー、週刊エコノミスト、PC系雑誌(Mac User、Dos/V マガジン)などで執筆活動を開始。
現在はITmedia、ITpro、技評jp、ScanNet Security、ZDNetなどを中心に、15年以上、執筆活動を行っている。
内容は取材記事/導入事例/ホワイトペーパー/メルマガ/オウンドメディアの記事をメインに、執筆数は約1000本を超える。
得意分野はセキュリティ、IoT、ネットワーク関連。

ライター

  • 池田 利夫(いけだ としお)
    IT系、教育系書籍を扱う出版社の代表。
  • 井上 健語(いのうえ けんご)
    コンピュータ系、ビジネス系の記事を主に扱うライター。
  • 宮下 由多加(みやした ゆたか)
    鋭い観察眼と分かりやすい切り口で複雑な内容を紐解くIT系ライター。
  • 成澤 紀美(なりさわ きみ)
    社会保険労務士。人事労務のホームドクターとして活躍中。
  • 池田 秀司(いけだ しゅうじ)
    情報セキュリティに特化した専門サービスを提供し、日々奮闘中。
  • 羽田 一彰(はだ かずあき)
    中小企業に対するマネジメントシステム構築・運用支援が得意。
  • 吉澤 亨史(よしざわこうじ)
    セキュリティ、IoT、ネットワーク関連の執筆を得意とするライター。
  • 柳井 完司(やない かんじ)
    CAD、CGを中心とするIT系記事全般を取材、執筆するライター。
  • 佐賀井 大樹(さがい だいき)
    IT分野の実績が多いコピーライター/コンテンツディレクター。
  • 落合 純平(おちあい じゅんぺい)
    IT製品の紹介ページやコラムなど、様々なWebコンテンツを制作。
  • 本柳 克敏(もとやなぎ かつとし)
    SIer、マーケティング、営業だけでなく業界団体の活動にも携わる。

Facebook