それはひっそりと進められていた。
みなさんがマイナンバーの対応にひっきりなしの時・・・
個人情報保護法の改正が・・・
個人情報保護法は2005年の施行以来、すでに10年以上が経過しています。
改正理由の一つ目として「情報通信技術の発展により、成立当時は想定していなかった個人情報の利活用が可能になったこと」を挙げているが、2005年といえば既にインターネットも普及し、CPUやメモリ、HDDも今でも現役で通用するレベル。基本的な技術に変わりはないような気が個人的にはしていたりもします。
個人情報保護法改正のポイント
(出所) 内閣官房HP
個人情報の定義の明確化
「個人識別符号」も個人情報に含まれますという点を明文化しました。言葉を変えただけで、中身には今までと変更ないです。
適切な規律の下で個人情報などの有用性を確保
ビックデータ利用のために、個人に関わる情報を活用し、産業復興に役立てながら同時に個人情報を保護するという目的のために、「匿名加工情報」というものができました。
個人を特定できない形でデータの利用ができる改正がされた点は大きく評価されるべきです。
過去は統計データとして全く個人がわからないようにしたとしても、それを商材として販売したり公表したりするのはグレーゾーンで問題をはらんでいました。
法律的な問題がクリアされ、新しいビジネスチャンスが広がりました。
なお、ビックデータは、英語を直訳すると「大きなデータ」とわけのわからないと感じられる方も多いと思いますが、なかなかに注目されているのでここでおさらいしておきましょう。
以前は、膨大な情報というのは人間の能力では処理分別をさまざまな角度から行うことは不可能でした。そのため、「統計」という手法が発達しました。これは、膨大なデータからサンプルを抽出して調査することで、内容や全体的な傾向がわかるというものです。すべての情報を調査できるのであれば国勢調査やテレビ視聴率、政党支持率などの結果は正確なものが出せるはずですが、実際には全データを利用するのは不可能なのでサンプリングによる統計情報が報道されています。
しかし、人間には無理でも、同じ処理を大量に行えるコンピューターであればすべてのデータを扱うことが可能になります。その膨大な量のデータをコンピューターで分析するのが「ビックデータ分析」。
「でっ?だからなんなの?」
という声が聞こえてきそうです。統計学を駆使すれば、その母集団がどんなものなのか信頼性のある結果を出せる。今までと同じでいいではないか。
ビックデータ分析の違いは、統計学の結果を出せるのに加えて、個々のケースに対応できるという点でしょうか。
例えば、アマゾンのレコメンド機能、グーグルフォトによる画像解析とストーリー作成、インターネット広告におけるDMPなど。商品開発やマーケティングを高度化していき、人々の生活を豊かにしてくれる技術がビックデータ分析です。
実は、この技術は首相官邸の「日本再興戦略改定2015」の目玉の一つになっています。そのカテゴリーは「第4次産業革命」。ずいぶん大仰です。政策が全面バックアップしているのがビックデータ分野とご理解ください。
土台として個人情報保護法の改正が行われた。
個人情報の保護を強化
ベネッセの個人情報流出事件が記憶に新しいところでしょう。
当初はベネッセから流出した個人情報を仲介業者から購入したジャストシステムが悪である報道がされました。
その後、ジャストシステムは正規に名簿を購入しており、ベネッセの流出が問題であるとの世論を形成しました。
そこで鮮烈な印象を与えたのが仲介業者である「名簿屋」。人の情報を売り買いし、迷惑を振りまくような報道がされていました。今回の改正はここの管理を強化しています。具体的には、第三者(名簿屋)から個人データの提供を受ける場合は、当該個人データの取得の経緯を確認しなければならない。また、まさにベネッセのケースですが、不正な目的を持って業務上知りえた個人情報を第三者に売却したりした際には懲役刑が新設されました。
個人情報保護委員会の新設及びその権限
ベネッセの件で、どこが監督するのか不明瞭だということが問題になりました。
そのため、個人情報に関する事項を扱う個人情報保護委員会ができ、各省庁に分散していた指揮命令系統が一本化されました。
個人情報の取り扱いのグローバル化
個人情報を外国の第三者へ提供する場合には、その外国が日本と同レベルの個人情報保護がされているかを確認する。保護されていない場合には本人に同意をとる。
これは、以前から個人情報を扱っている事業者でグローバルに展開されている方は、ヨーロッパ進出の際に突き当たる壁でした。なんと、同じ会社ですが、ヨーロッパにある支店や子会社の個人情報を日本の親会社や本店で見るときに高いハードルがあるという・・・一見理不尽ですが、国民を守るためにはこれくらいやるということでしょうか。日本も見習ってほしいです。
その他改正事項
本人の同意を得ない第三者提供(オプトアウト規定)を行う場合の手続きが追加された。
また、小規模事業者の特例がなくなり、全事業者が個人情報保護法の適用を受けることとなった。
ココです。さらっと書かれていますが、全事業者が個人情報保護法の適用を受ける。
今までは扱う個人情報が5000人以下の事業者については個人情報保護法にいう「個人情報取扱事業者」から除外されていたので、個人情報保護法はあまり関係なかった。そもそも、「個人情報を扱っている事業者ではない」と分類される会社が多数でした。
しかし、これからは違います。
全事業者が個人情報保護法を理解して順守しなければならない。
中小の事業者での対応はなかなか難しいと言わざる負えない。
考えてください。取引先の名刺も個人情報、予約の名簿も個人情報、取引先の代表者以外の名前やメールアドレスも個人情報。。。
今後はすべての管理部門の方や経営者は個人情報保護法をしっかり理解して事故が起きないように対処していきましょう。
弊社では勉強会の開催や社内フローの整備までさせていただきますので、お困りの際にはお気軽にご相談ください。