個人情報保護 入門シリーズ 法律

【入門】そもそも、個人情報保護法って何?

プライバシー

はじめに

今日では、スマートフォンの普及を始め多くの人がインターネットを通じ多くの情報のやりとりを行なっています。

そのような状況で近年、特に注目されるのが個人情報を如何に扱っていけば良いのか?という議論です。

この記事では、個人情報を保護するための法律である個人情報保護法についてまとめています。

また、2020年6月5日の参議院本会議で可決成立した、個人情報保護法一部改正法案に関しては改正個人情報保護法の概要で紹介しています。気になる方はこちらを御覧ください。

個人情報保護法はなぜ生まれたのか?

IT環境が整備される以前は、個人情報についてはあまり重要視されていませんでした。

しかし、IT環境が整備されていくことにより、企業の情報収集能力と個別であった情報の体系化能力が高まることで問題点が表面化しました。

例えば、アンケート一つとってみても、ITが整備される以前では個別に処理され、それぞれの情報が大きな意味を持つことはありませんでした。

しかし、現在では高度なIT化によりこのようなデータを体系化したデータベースの構築が可能となっています。

一つ一つは断片的な情報でも、特定の個人と紐付けて情報を繋げることで、非常に細かく個人の全体像が浮かび上がるようになりました。

もはや、本人よりも企業の方がその人のことを知っているようなケースもあるかもしれません。

個人情報保護法

上記のような高度にIT化した状況において、個人情報を明確に保護する必要性が高まり、このような状況に対応するために2003年に個人情報保護法は作られました。

個人情報保護法が定められる以前は、個人情報は JIS Q 15001 や OECD プライバシーガイドラインというガイドラインで守られてきました。

これを一歩進めるために法律として昇格させたものが個人情報保護法です。

具体的な内容としては、個人情報収集の際には範囲や用途について情報提供者の同意を得ることなどの基本理念が組み込まれています。

個人情報取扱事業者

個人情報保護法では、体系的に整備された個人情報を事業に使っている者を個人情報取扱事業者とし定めています。

個人情報取扱事業者は、

個人情報データベースなどを事業のように供している者(個人情報保護法第2条第3項)

と定義されています。

以前は、保有する個人情報の件数(5000件以上)という要件が存在しましたが、2015年の個人情報保護法改正によりこの要件は撤廃されました

したがって、小規模であっても、一定の方法で個人情報を扱う事業者は個人情報保護法の規制が適用されるようになっています。

例えば、
「個人データを安全に管理し、従業員や委託先も監督しなければならない」
「本人の同意を得ずに第三者に個人データを提供してはならない」
など様々な義務が生じ、それらに違反した場合は罰則を科せられます。

個人情報をずさんに取り扱っただけでも、このような罰則が科せられることになるので、個人情報の取り扱いには細心の注意が必要となります。

なお、ここでいう個人情報とは、

  • ①生存する個人に関する情報
  • ②特定の個人を識別できる情報

①と②を満たす情報のことを指します。

個人情報保護法の改正(改正個人情報保護法)

2015年に個人情報保護法は改正されました。

この改正では、バイオメトリクスが個人識別情報であること、病歴などの要配慮個人情報は本人の同意を得ない第三者提供を禁止することが明文化されています。

バイオメトリクスとは、生体認証に用いる指紋や声紋などの特徴情報のことです。

ただし、例外的に個人を識別できないよう加工した匿名加工情報は、情報の項目や提供方法を公表することで第三者提供が可能です。

匿名加工情報に関しては、こちらの記事にて詳細をまとめています。

しかし、昨今ではまた新たな問題も発生しています。それは、匿名化処理では個人情報を十分に守れないという内容です。

2019年に公開されたある論文では、匿名化を施したデータセットに対して、研究者の作成したモデルを使用すると99.98%が、15の人口統計属性を使用する全てのデータセットで正しく再識別される結果となりました。(参考:Estimating the success of re-identifications in incomplete datasets using generative models

このような例からも、匿名化だけでは個人情報を守るという観点では、十分とはいい難い結果となっています。

個人情報保護法に明確に定義されているので、匿名化をすれば大丈夫だというスタンスは間違いではありません。しかし、企業にとっては匿名化していたデータが流出してしまった結果、個人情報を外部に特定されてしまい、自社の顧客やユーザに被害を与えることは非常に大きな企業の信頼へのダメージとなります。

ルールで決まっているからこれでよいと思考停止するのではなく、ルールを知った上でどこまで対応するのか?という線引を見定めることが重要と言えるのではないでしょうか。

まとめ

  • 個人情報保護法はIT化に対応していくために生まれた
  • 個人情報保護法以前の個人情報は JIS Q 15001 や OECD プライバシーガイドラインなどのガイドラインによって守られていた
  • 小規模であっても、一定の方法で個人情報を扱う事業者は個人情報保護法の規制が適用される
  • 2015年に個人情報保護法は改正された
  • 個人情報を第三者提供する際は匿名化処理を行う必要がある
  • しかし、匿名化処理したデータでも個人を特定できてしまうという報告がある

メンバー募集

Acompanyでは、秘密計算の社会実装に向けてメンバーを絶賛募集中です!
優秀なメンバーが集まる環境で世の中に新しい価値を作る挑戦を僕らとしませんか?
以下の分野のメンバーを募集中です!

✅ MPCエンジニア
✅ マーケティング
✅ バックオフィス

興味がある方は、まずは軽くお話しするだけでも大丈夫ですので、ぜひご連絡ください!😎

話を聞きたい!

-個人情報保護, 入門シリーズ, 法律
-, , , , , ,

© 2020 秘密計算の国内最大ブログ | Acompany Co., Ltd.