執筆者:弁護士 沢田 篤志
ポイント
① スタートアップが提供するサービスで、ユーザーのパーソナルデータを取り扱う場合、個人情報保護の法的なルールを確認しておく必要があります。企業規模に関係なく、すべての個人情報取扱事業者に、個人情報保護法が適用されます。
② AI、ビッグデータ等に関連するイノベーションにおいてパーソナルデータの利用を促進する目的で、個人情報の定義の明確化等の法改正がされ、個人情報保護のガイドラインが示されています。
③ 個人データの安全管理や第三者提供のルールを守り、ユーザーや社会からの信頼に答えることは非常に重要です。
1 パーソナルデータの利用と個人情報保護法
IT技術の進歩により、ビッグデータの収集・分析が可能となり、新たなビジネスの創出やイノベーションへの期待が高まっています。なかでも、パーソナルデータ(購買履歴や位置情報等を含む個人に関する情報)は、ビジネス面で特に利用価値が高いと考えられます。AIの社会的な活用のためにも、パーソナルデータを適正に利用することは重要です。
ところが、従来の個人情報保護法では個人情報の定義に曖昧な面があり、事業者がパーソナルデータを利用しにくい状況がありました。また、ベネッセ事件に代表されるような大規模な個人情報漏えい事件等によって、個人情報についての国民の懸念が増大し、対策が必要とされていました。
このような背景から、近年、個人情報保護法が改正・施行され、ルールが整備されています。
この記事では、パーソナルデータを利用したビジネスに関係が深い論点(個人情報の定義、管理、第三者提供など)を中心に、個人情報保護の法的ルールの基礎知識をご説明します。
2 個人情報とは?-個人情報の定義
⑴ 個人情報
個人情報とは、ごく簡単に言えば、「特定の個人を識別することができる情報」です。
⑵ 個人識別符号
「個人識別符号」という概念があり、これは個人情報の一種です。
これには2つのパターンがあります。
1つ目は、例えば、「DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋」等、特定の個人の身体の一部の特徴をデジタルデータ化したもので、その個人を識別することができるものです。生体認証の機能や、監視カメラによって個人を特定するサービスは、個人識別符号を利用していることになります。
2つ目は、例えば、「旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー」等、公的に付与されたID番号です。
個人識別符号が含まれる情報は全て個人情報にあたります。
⑶ 個人情報にあたるもの/あたらないもの
以上の知識を前提に、個人情報にあたるもの/あたらないものの例を挙げます。
① 個人情報にあたるものの例
氏名
住所、生年月日、所属、電話番号(本人の氏名と組み合わせた情報)
名刺
メールアドレス(特定の個人が識別できるもの)
指紋認証、顔認証のデータ
監視カメラの映像
録音した通話(特定の個人が識別できる音声録音情報)
パスポート番号、健康保険証の符号、運転免許証番号等の公的な符号
マイナンバー
② 個人情報にあたらないものの例
電話番号(特定の個人が識別できないもの)
民間企業が発行したID番号(特定の個人が識別できないもの)
メールアドレス(特定の個人が識別できないもの)
⑷ 匿名加工情報の仕組み
近年の個人情報保護法の改正によって、新たに「匿名加工情報」の仕組みが作られました。
「匿名加工情報」とは、個人情報を加工して特定の個人を識別することができないようにした情報であって、かつ、元の個人情報に復元できないようにしたものを指します。
「匿名加工情報」には、個人情報に関する規定は適用されません。その結果、「匿名加工情報」については、利用目的に拘束されることなく利用できますし、本人の同意がなくても第三者提供が可能です。
匿名加工情報の利活用の事例としては、ポイントカードの購買履歴や交通系ICカードの乗降履歴等を複数の事業者間で利活用して新たなサービスを生み出すといったことが考えられます。
匿名加工情報は一定の基準に従って作成する必要があり、経済産業省が指針を公表しています。
https://www.ppc.go.jp/personalinfo/tokumeikakouInfo/
さらに、現時点ではまだ導入されていませんが、今後、企業がよりデータを利用しやすくするために「仮名加工情報」(一定の措置を講じて他の情報と照合しない限り、特定の個人を識別することができないよう個人情報を加工して得られる個人に関する情報)の仕組みも創設される予定です。
⑸ 「個人情報」と「個人データ」
「個人情報」の定義については前述しましたが、「個人データ」という概念の理解も重要です。
個人情報保護法は、個人情報取扱事業者に、安全管理措置や第三者提供に関する義務を課していますが、その対象になるのは、すべての「個人情報」ではなく、「個人情報」のうち「個人データ」に該当するものだけです。
「個人データ」とは、個人情報を検索できる形で体系的に構成したもの(個人情報データーベース等)を構成している個人データのことをいいます。
例えば、単に相手から受け取っただけの名刺は単なる「個人情報」であって「個人データ
ではないが(したがって、この時点では安全管理措置の義務等は生じていない)、持ち帰ってソフトウェアや名刺ファイル等で整理した名刺は「個人データ」にあたるということになります。
3 個人データの安全管理
個人情報保護法は、事業者に、情報の安全管理のために必要かつ適切な措置を講じることを求めています。
個人情報保護委員会が公表した「個人情報保護法ガイドライン(通則編)」(平成28年11月)では、事業者に要求される安全管理措置の説明や当該措置を実践するための手法の例示がされています。
https://www.ppc.go.jp/files/pdf/guidelines01.pdf
ガイドラインは、安全管理措置を、
・組織的安全管理措置(例:社内規程、PDCAサイクル)
・人的安全管理措置(例:秘密保持義務、従業員教育)
・物理的安全管理措置(例:データへのアクセス制限)
・技術的安全管理措置(例:不正アクセス対策)
の4種類に分類した上で、事業者がとるべき措置や望ましい対応について、具体的な説明・例示をしています。
ガイドラインに記載された安全管理措置には、「義務」と「手法の例示」が混在していますので、ガイドライン記載の内容をすべて守らなければならないわけではありませんが、全体として、法律が求める安全管理措置が実施されているかどうかの判断基準として重要ですので、ガイドラインを参考に、自らの取組みを十分にチェックする必要があります。
4 個人データの第三者提供
個人データの第三者提供には、原則として、本人の同意が必要です。
個人からパーソナルデータを取得するサービスを提供する事業者は、個人情報の提供を受けるにあたって、利用目的を明示するなどし、また、一定の範囲で第三者提供することが予定されている場合はそのことを示した上で、取得する必要があります。
他の事業者への委託、共同利用等については、第三者提供にあたらないとされていますので、事業者は、その仕組みについて正確に理解する必要があります。
5 まとめ
以上に述べたほかにも、個人情報に関しては様々なルールがあります。国際的なパーソナルデータの流通に関するルールも存在します(EUのGDPR、アメリカのCCPA・業界の自主規制ルール、中国のサイバーセキュリティ法・個人情報安全規範等)。
個人情報保護法の改正は、今後も行われる予定です。
個人情報を取り扱うサービスを提供する事業者は、一度、専門家に相談され、問題がないか確認しておかれることをお勧めします。
以上
