個人情報保護法の今
5、匿名加工情報とビッグデータの活用
「匿名加工情報」とは、個人情報に含まれる記述等の一部や個人識別符号の全部を削除すること等によって、個人を識別できないように個人情報を加工して得られる情報で、当該個人情報を復元できないようにしたもの(2条9号)。
↓
2015年の改正個人情報保護法は、ビッグデータを活用したマーケティングや新サービスの創出(例えば、ポイントカードの購買履歴や交通系ICカードの乗降履歴の活用、医療機関の情報を活用した創薬、カーナビ、スマホ等の位置履歴等からの渋滞予測等)を後押しするため、「匿名加工情報」という概念を設け、その加工方法などにルールを設けた。
これによって、企業の収集した個人情報をどのようにあるいはどの程度加工すれば、本人の同意を得ずに目的外利用をしたり第三者に提供できるのかがはっきりした(2条9項、36〜39条)。
今後のビッグデータの活用を容易にするための改正。
匿名加工情報を作成するときは、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従い、当該個人情報を加工しなければならない(36条1項)。
↓
具体的な加工方法等について資料A(個人情報保護委員会事務局レポート)
【ビッグデータ利用の具体例】
(位置情報)
NTTドコモは、その携帯電話を保有する個人の位置情報を、非識別化処理を行ったうえで、人口統計データとして事業者や地方自治体に提供している。
(自動車走行情報)
- トヨタ自動車は、収集蓄積した車両の位置や速度、走行状況などの情報を含むビッグデータを、交通流改善や地図情報、防災対策のために提供するサービスを行っている。
- ソニー損保は、顧客の急発進、急ブレーキの発生状況に関するデータを取得し、安全な運転かどうかを解析して、保険料のキャッシュバックサービスを実施している。
(人体情報)
ドコモやオムロンは、ウェアラブル端末をつけている個人から移動距離、睡眠時間、身長、体重などのデータを収集することで生活習慣改善サービスを提供している
(以上、総務省平成29年版情報通信白書より)
- ヤフー株式会社は、2018年2月6日のプレスリリースで、自社の有する検索や電子商取引などのビッグデータを、顧客企業の持つデータと掛け合わせて分析し、顧客企業の活動を支援する新規事業創出に向けた実証実験を開始することを発表した。
↓
同リリースによれば、ヤフー自身、その異なるサービスのビッグデータを掛け合わせることで、単一サービスのビッグデータ活用を上回る精度の予測を実現しているとし、例えば、Yahoo!検索の検索履歴とYahoo!ショッピングの購買履歴を掛け合わせることで、Yahoo!ショッピングの新規ユーザーに対する商品推薦のクリック率を4・5倍に向上させたとしている。 - 楽天と電通は、2017年7月、楽天グループのビッグデータを軸として企業のマーケティングを支援する新会社を設立した。
※ 他方、日経新聞2018年1月19日朝刊では、匿名加工情報の現時点での企業の活用は停滞していると指摘されている。匿名加工情報を既に活用していると回答した企業は、アンケートを実施した195社中、8社(4%)、活用を検討中と回答したのは61社(31%)だった。個人情報から個人識別性を復元できないように加工しなければならない等のハードルが重いとした企業もあったようだ、としている。
6、個人情報の保護を巡る国際的な状況 〜GDPRを中心に〜
(1)個人情報の保護については、OECD(経済協力開発機構)が1980年に採択したガイドラインで示された8原則が、各国の個人情報保護法制の基礎となった。
↓
- EU(欧州連合)では、OECDガイドラインを基礎とする個人情報保護法を各国が制定していたところ、EU一般データ保護規則(General Data Protection Regulation:GDPR)が、2018年5月25日からEU加盟諸国で発効する。
GDPRでは、基本的に個人データのEU域内からの移転が制限され、違反した企業への罰則規定が厳しくなっている。EUに子会社、支店、営業所を有している企業に広く影響する。 - 日本では、OECD8原則を基本的に踏襲する個人情報保護法が2003年5月に成立し、上記のとおり2017年5月30日に改正個人情報保護法が全面施行されている。
- 米国は、OECDの加盟国であるものの、包括的な保護法は公的部門対象のものしかなく、民間部門については、個別法と自主規制による対応になっている。
- 中国は、OECDの加盟国ではなく、包括的な個人情報保護法が存在しない。個人情報保護は、多数の法令、規則等に散在する状態である。
※ このような中、2018年5月25日に施行されるEUのGDPRへの対応が日本企業の急務になっている
(2)EUの域外移転規制に係る近時の動向
※ 本項(2)は、辻畑泰喬弁護士(中島成総合法律事務所)の執筆原稿を基に作成された。
【域外移転規制】
GDPR第5章(44条〜50条)において規定しており、欧州委員会が十分なレベルの保護措置を確保していると認めた場合のみ、欧州域内から第三国への移転を行うことができるのが原則
↓
日本は十分性の認定を受けていない(2018年2月時点)
この場合、BCR(拘束的企業準則)や本人にリスクを提示した上で明示的同意を取得する方法、EU子会社と日本本社で個人情報保護に関する標準契約(SCC)を締結するのいずれかの対応をしなければならない。
↓
GDPRは2018年5月25日より適用され、従来のEUデータ保護指令より罰則が厳格化している。
例えば、域外移転規制との関係では、最大2000万ユーロ又は前会計年度の全世界年間売上の4%の、いずれか高い方を上限とした制裁金が課される(GDPR 83条5項(c))
【日本政府の現在(2018年2月現在)の動向】
十分性の取得に向けて、個人情報保護委員会が中心となってEUと対話を継続している
個人情報保護委員会の以下の内容のプレスリリース(2017年12月)のとおり、GDPRの施行前に十分性認定を受ける可能性もあり、注意深く動向を見守る必要がある。
「……相互に十分性を見出すことを、2018年のできるだけ早い時期に達成するための作業を加速させることを目指して、2017年12月14日に東京で建設的な会談を行った。
両者は、この目的の重要性を、特に最近の日EU経済連携協定(EPA)の交渉妥結の観点から再確認した。個人データの自由な流通を確保することにより、十分性を同時に見出すことは、基本的なプライバシーの権利の保護を強化しながら、日EU・EPAの便益を補完し拡大することができる。これは日EU間の戦略的なパートナーシップにも貢献する。
両者は、過去数か月の大きな進展を評価するとともに、双方の制度間の関連する相違点を埋めるための解決策を探った。両者は、次の段階へ進み、解決策の詳細について作業すること、また、議論のペースを加速させることに合意した。これを念頭に置きつつ、次回のハイレベル会談については、議論を完結させることを目指し、2018年初めにブリュッセルで開催することとする。」
また、駐日欧州連合代表部(the Delegation of the European Union to Japan)の公式ツイッターに、2018年2月6日付で、以下のコメントが掲載されている。
「日・EU間の個人情報移転をめぐる保護措置の十分性認定に関して双方の専門家が都内で協議し、進展が見られた」
【EUから米国への個人データ移転】
従来は、EU-U.S.セーフハーバー決定に基づき十分性が認められるものとして企業はデータ移転を行ってきた。
↓
2013年に発覚したPRISM問題(国家安全保障局〔NSA〕による諜報活動をエドワード・スノーデン氏が暴露)の発覚等が影響し、セーフハーバーの見直しが進められた。
その見直しの最中、2015年10月6日、欧州司法裁判所がセーフハーバー決定の無効判決を出した。←EU在住のフェイスブック利用者は米国本社の子会社であるフェイスブック・アイルランドと契約して利用することになるところ、アイルランドから米国内のサーバーへ個人データを移転していた事実があり、これについて不十分な保護措置がとられている米国への移転である旨の主張がなされてその差止めが求められたため、米国の十分性(セーフハーバー決定の有効性)が争点となっていた。
↓
同無効判決を受けて、EUと米国が再交渉を実施し、保護をより強化する形で、2016年7月12日、EU-U.S.プライバシー・シールドが構築された。現在は、企業が同制度に基づく対応を講ずることで個人データの移転を行っている。
【日本から日本域外への個人データ移転】
改正個人情報保護法24条による。
現在のEUとの交渉により、仮に24条の例外事由である“同等水準国”にEU加盟国が認定されれば、日本からEU加盟国への個人データの第三者提供は、日本国内での第三者提供と同じ規制に従えばよいことになる。
以 上
