企業の皆様の運営上の様々な法律問題について弁護士がサポートいたします。顧問弁護士をお探しなら、ホライズンパートナーズ法律事務所まで

契約書・労務問題・債権回収等の中小企業の法律相談はこちら
 東京の弁護士による企業法律相談  

港区西新橋1-6-13 柏屋ビル9階 ホライズンパートナーズ法律事務所



アクセス

 

新橋駅 徒歩8分
虎ノ門駅 徒歩3分
内幸町関 徒歩3分
霞ヶ関駅 徒歩4分
虎ノ門ヒルズ駅 徒歩7分

受付時間

平日 9:30~20:00

お気軽にお問合せください

03-6206-1078

▶ メールでのお問合せはこちら

個人情報保護法の改正に向けた動き~その2

「個人情報保護法の改正に向けた動き~その1」はこちら

1.改正の注目点

個人情報保護法改正については,2014年11月上旬時点で改正法案が未公表ですが,「パーソナルデータの利活用に関する制度改正大綱」で法改正の方向性が示されているので,現時点で注目されているものを紹介します。

制度改正の大きなところは,次のとおりです。

  1. 事業者が安心して個人情報(個人データ)の利用・提供ができるための枠組みを導入する。
    = 現行法の曖昧な部分を明確にする。
  2. 機動的に対応すべく,法律では大枠を定めるにとどめて,具体的な内容は政令・省令,ガイドライン,民間の自主規制ルールで対応する。
    = 現行法も同様の対応をしているが,不十分であるため,更に充実させていく。
  3. 報告聴取・勧告・命令に加え,指導・立入検査等をする権限を有する「独立した第三者機関」の体制を整備する。
    = 現行法では主務大臣による報告聴取・勧告・命令による事業者の監督を採用しているが,独立した第三者機関による監督等を導入する。

今回は,1.の中でも特に注目されている「本人の同意なく目的外利用や第三者提供を可能とする枠組み」の導入について解説します。

2.本人の同意なく目的外利用や第三者提供を可能とする枠組みの導入について

(1)前提知識

個人情報保護法では,個人情報(特定の個人が識別される情報)を取り扱うにあたっては利用目的を特定しなければならず(15条1項),特定した利用目的の達成に必要な範囲を超えて個人情報を取り扱うためには「本人の同意」を得なければならないのが原則です(16条1項)。

個人データ(データベースを構成する個人情報)を第三者に提供する場合にも,「本人の同意」を得なければならないのが原則です(23条1項)。

(2) 匿名化とその問題点
これまでも,個人情報を加工して「匿名化」,すなわち特定の個人が識別される可能性をなくしたデータにすれば,本人のプライバシー権侵害の問題がなくなるので,「本人の同意」を得ないで目的外利用や第三者提供をしても個人情報保護法には違反しないと解釈されてきました。

匿名化の方法の例としては,
顧客ID・氏名・住所(番地まで)・生年月日・購買履歴で構成された個人情報について,顧客IDを別の記号に変換し,氏名は削除,住所は都道府県まで,生年月日は生年までとする加工が考えられます。
(加工後のデータは,記号・居住都道府県・生年・購買履歴で構成されたデータとなる)


ただ,どうすれば「匿名化」されたといえるかの判断は,実際にはむずかしいものがあります。なぜなら,「匿名化」するといっても限界はあり,統計データのように使えるデータでなければ利用価値がありませんから,購買履歴などの個人識別につながりうる情報は残すことになります。

そうすると,購買履歴がどこの店舗で何年何月何日何時何分に購入したという履歴なら,個人を絞ることができるかもしれません。また,インターネットを利用すればSNSやブログ等からパーソナルデータを収集できますから,これらの膨大なデータと照合すれば個人を絞ることができるかもしれません。

更には,匿名化したデータの提供を受けた事業者が独自に保有している顧客データ等と照合すれば,個人を特定できる場合もありえます(再識別化などと言われます)。

このため,事業者にとっては,どの程度匿名化すれば「本人の同意」を得なくても目的外利用・第三者提供の違反にならないかの判断ができず,データの利活用を躊躇せざるを得ません。
 

しかも,消費者の側にはパーソナルデータの無制限な利活用への不信感・不快感が少なからずあります。このため,事業者が適切な匿名化をして第三者提供をしても,本人の同意を得ない第三者提供はプライバシー上問題があるとして批判される可能性があります(2013年6月に発生したSuica乗降履歴販売事件(→こちらを参照)はその一例)。

このような社会的批判のリスクも,事業者がデータの利活用を躊躇することにつながると言われています。


そこで,改正法で,匿名化により個人情報に該当しなくなったデータの目的外利用や第三者提供には「本人の同意」が必要ないことを明らかにするとともに,他方で,プライバシーが侵害されないように匿名化データの取扱いのルールを定めることにしたのです。

適切に匿名化するとともに,取扱いのルールを遵守すれば,個人情報保護法違反にならず,プライバシーに係る社会的批判も回避できるようになり,事業者が安心してパーソナルデータを目的外利用・第三者提供できることが期待されるというわけです。

3 .「本人の同意なく目的外利用や第三者提供を可能とする枠組み」
の制度設計

制度設計は,次のような形が予定されています。

個人データについて,以下の場合に,本人の同意を得ずに目的外利用や第三者提供することを可能とする。 

① 特定の個人が識別される可能性(個人識別性・特定性)を低減したデータに加工する。

② 加工したデータ(特定性低減データ)について,特定の個人を識別することを禁止するなど適正な取扱いを定める。

※①(特定性低減データへの加工)について  
加工方法等を法律で規定するのは困難なため,法律で加工方法等を一律に定めることはせず,民間団体が策定した自主規制ルールに「独立した第三者機関」が認定(お墨付き)を与える形にする

※②(適正な取扱い)について
どのような取扱いルールになるかはこれから明らかになっていくはずです。   

なお,この要件は,「FTC3要件」(米連邦取引委員会(Federal Trade Commission))を意識した要件です。
そこで,参考のため,FTC3要件を掲げておきます。

【FTC3要件】
以下の3条件を満たす場合は,本人の同意を得なくてもパーソナルデータの流通を認める。
① 提供元が合理的な匿名化措置を行う
② 提供元が再識別化(再び個人が特定できるようにする)をしないことを公表・約束する
③ 提供元と提供先の契約で,提供先による再識別化を禁止する

FTC3要件は,匿名化が完全ではなく,再識別が技術的に可能なことを前提として,再識別化を禁止することで,プライバシーの侵害を防ごうとするものです。

お電話でのご予約はこちら

03-6206-1078

受付時間:9:30~20:00(土日祝を除く)

企業運営にかかわるニュースや事例を弁護士の視点から解説するメルマガです

バックナンバーをみる

Horizon
労働問題FORUM

定期的な小規模勉強会とセミナーを開催しています。

ホライズンパートナーズ法律事務所

03-6206-1078

平日9:30~20:00まで受付