「個人情報の保護に関する法律」(以下「個人情報保護法」といいます。)は、情報化の急速な進展により、個人の権利利益の侵害の危険性が高まったこと、国際的な法制定の動向等を受けて、平成15年5月に公布され、平成17年4月に全面施行されました。
個人情報の保護に関する法律(こじんじょうほうのほごにかんするほうりつ)は、個人情報の取扱いに関連する日本の法律。略称は個人情報保護法。
2003年(平成15年)5月23日に成立し、一般企業に直接関わり罰則を含む第4〜6章以外の規定は即日施行された。2年後の2005年(平成17年)4月1日に全面施行した。
個人情報保護法および同施行令によって、5,001件以上の個人情報を個人情報データベース等として所持し事業に用いている事業者は個人情報取扱事業者とされ、個人情報取扱事業者が主務大臣への報告やそれに伴う改善措置に従わない等の適切な対処を行わなかった場合は、事業者に対して刑事罰が科される。
wikipedia
その後、情報通信技術の発展や事業活動のグローバル化等の急速な環境変化により、個人情報保護法が制定された当初は想定されなかったようなパーソナルデータの利活用が可能となったことを踏まえ、「定義の明確化」「個人情報の適正な活用・流通の確保」「グローバル化への対応」等を目的として、平成27年9月に改正個人情報保護法が公布されました(全面施行は公布から2年以内→平成29年春頃予定)
改正に伴い、平成28年1月1日より、個人情報保護法の所管が、消費者庁から個人情報保護委員会に移りました。また、改正個人情報保護法の全面施行時には、現在、各主務大臣が保有している個人情報保護法に関する勧告・命令等の権限が個人情報保護委員会に一元化されます。
個人情報保護法が改正された背景
-
情報通信技術の進展により、膨大なパーソナルデータが収集・分析される、ビッグデータ時代が到来。
-
他方、個人情報として取り扱うべき範囲の曖昧さ(グレーゾーン)のために、企業は利活用を躊躇。(例:大手交通系企業のデータ提供)
-
また、いわゆる名簿屋問題(例:大手教育出版系企業の個人情報大量流出)により、個人情報の取り扱いについて一般国民の懸念も増大。
個人情報保護法の改正による対応
-
個人情報の定義を明確化することによりグレーゾーンを解決し、また、誰の情報か分からないように加工された「匿名加工情報」について、企業の自由な利活用を認めることにより経済を活性化。
-
他方、いわゆる名簿屋問題対策として、必要に応じて個人情報の流通経路を辿ることができるようにし、また、不正に個人情報を提供した場合の罰則を設け、不正な個人情報の流通を抑止。
個人情報保護法の改正による主な変更点
1.個人情報の定義の明確化
個人情報の定義の明確化(第2条第1項、第2項)
個人識別符号《特定の個人の身体的特徴を変換したもの(例:顔認識データ)や、個人に提供される役務の利用にあたり発行を受ける者ごと に異なる番号(例:マイナンバー、運転免許証番号、 旅券番号、基礎年金番号、健康保険証番号)等》は特定の個人を識別する情報であるため、これを個人情報として明確化する。
要配慮個人情報(第2条第3項)
本人に対する不当な差別又は偏見が生じないように人種、信条、病歴等が含まれる個人情報については、本人同意を得て取得することを原則義務化し、本人同意を得ない第三者提供の特例(オプトアウト)を禁止。
2.適切な規律の下で個人情報等の有用性を確保
匿名加工情報(第2条第9項、第10項、第36条~第39条)
特定の個人を識別することができないように個人情報を加工したものを匿名加工情報と定義し、その加工方法を定めるとともに、事業者による公表などその取扱いについての規律を設ける。
個人情報保護指針(第53条)
個人情報保護指針を作成する際には、消費者の意見等を聴くとともに個人情報保護委員会に届出。個人情報保護委員会は、その内容を公表。
3.個人情報の保護を強化(名簿屋対策)
トレーサビリティの確保(第25条、第26条)
受領者は提供者の氏名やデータ取得経緯等を確認し、一定期間その内容を保存。また、提供者も、受
領者の氏名等を一定期間保存。
データベース提供罪(第83条)
個人情報データベース等を取り扱う事務に従事する者又は従事していた者が、不正な利益を図る目的
で提供し、又は盗用する行為を処罰。
4.個人情報保護委員会の新設及びその権限
個人情報保護委員会(H28.1.1施行時点 第50条~第65条)(全面施行時点 第40条~第44条、第59条~第74条)
内閣府の外局として個人情報保護委員会を新設(番号法の特定個人情報保護委員会を改組)し、現行の主務大臣の有する権限を集約するとともに、立入検査の権限等を追加。(なお、報告徴収及び立入検査の権限は事業所管大臣等に委任可。)
5.個人情報の取扱いのグローバル化
国境を越えた適用と外国執行当局への情報提供(第75条、第78条)
日本国内の個人情報を取得した外国の個人情報取扱事業者についても個人情報保護法を原則
適用。また、執行に際して外国執行当局への情報提供を可能とする。
外国事業者への第三者提供(第24条)
個人情報保護委員会の規則に則った方法、または個人情報保護委員会が認めた国、または本人
同意により外国への第三者提供が可能。
6.その他改正事項
オプトアウト規定の厳格化(第23条第2項~第4項)
オプトアウト規定による第三者提供をしようとする場合、データの項目等を個人情報保護委員会へ
届出。個人情報保護委員会は、その内容を公表。
利用目的の制限の緩和(第15条第2項)
個人情報を取得した時の利用目的から新たな利用目的へ変更することを制限する規定の緩和。
小規模取扱事業者への対応(第2条第5項)
取り扱う個人情報が5,000人以下であっても個人の権利利益の侵害はありえるため、5,000人以
下の取扱事業者へも本法を適用。
改正個人情報保護法とマーケティング
マーケティングの観点で今回の法改正を捉えると、三つのポイントが見えてきます。
-
個人識別符号が個人情報と明確化されたことで顔認識情報の取得にあたり、取得の同意と利用目的の明示が必要となる。
-
匿名加工情報がビッグデータとして他企業・他団体が利活用できるようになる。
-
ルールに則ったうえでの個人情報の第三者提供および利用がグレーゾーンでなくなる。
1. 顔認識情報の取得にあたり、取得の同意と利用目的の明示が必要
顔認証による来店客分析の技術が向上して取り入れる店舗や施設が増えてきています。改正個人情報保護法では顔認識情報が個人情報と明確化されていますので、あらかじめ情報を取得している旨とその利用目的を公表していなくてはいけません。これまで監視カメラで撮った映像でこっそり顔認証分析を行ってきた企業は、その利用目的の公表を迫られることになります。
2. 匿名加工情報(ビッグデータ)の利活用
特定の個人を識別することができないように加工された「匿名加工情報」の利活用が可能となりました。
経済産業省は、平成27年9月の個人情報保護法の改正に伴い、新たに定義された匿名加工情報の作成手順・方法について、事業者の今後の検討の参考資料として、「匿名加工作成マニュアル」を作成、公表しました。
事業者が匿名加工情報の具体的な作成方法を 検討するにあたっての参考資料 (「匿名加工情報作成マニュアル」)Ver1.0
http://www.meti.go.jp/press/2016/08/20160808002/20160808002-1.pdf
今後、業界団体、企業、認定個人情報保護団体等が、匿名加工情報や匿名加工情報に係るガイドライン等を作成するにあたり、本マニュアルが有効に活用され、「匿名加工情報」による新産業・新サービスの創出に繋がっていくことが期待されます。
なお、匿名加工情報についてはマルチステークホルダープロセスにより検討されることが望ましいとされています。
マルチステークホルダー・プロセスとは、3者以上のステークホルダー(課題解決の鍵を握る組織や個人)が、対等な立場で参加・議論できる会議を通し、単体もしくは2者間では解決の難しい課題解決のために、合意形成などの意思疎通を図るプロセスです。
さて、この匿名加工情報ですが、どのようなデータかというと、
- クレジットカード会員の属性および購買情報
- ポイントカード会員の属性および購買情報
- 交通系ICカード利用者の属性および利用情報
などが考えられます。
このようなデータを利活用したマーケティング戦略が盛んになるでしょう。
3.個人情報の第三者提供および利用
これまでもオプトアウト規定に則った個人情報の第三者提供は可能でしたがグレーゾーンとなっていました。今回の改正個人情報保護法でオプトアウト規定の厳格化がなされたことでグレーな部分が払拭された感があります。
個人情報の第三者提供にあたり、個人情報を保有している事業者の義務があります。
オプトアウト手続
- 本人の求めに応じて、その本人の個人データについて、第三 者への提供を停止することとしていること
- 本人の求めを受け付ける方法等をあらかじめ本人に通知、又 は継続的にHPに掲載するなど本人が容易に知ることができ る状態に置くこと
- 本人に通知等した事項を個人情報保護委員会に届け出る こと
本人への開示・訂正・削除
- 本人は、事業者に対して、自分の個人情報の開示を請求することが できます。事業者は、その個人情報が保有個人データである場合に は、第三者の利益を害する等の一定の場合を除き、原則として本人 からの開示請求に応じる必要があります
- 本人からの請求に応じて、保有個人データの内容に誤りがある場合には 訂正・削除を、事業者が義務 に違反している場合には保有個人データの利用の停止・消去等をする必 要があります
- 保有個人データの利用目的や事業者の名称等を継続的にHPへ掲載する など本人が知ることができる状態に置き、本人の求めに応じて、その本人の 保有個人データの利用目的を通知しなければなりません
第三者提供時の記録等
- 事業者は、個人データを第三者に提供したときは、提供 年月日、受領者の氏名等を記録し、一定期間保存しなけ ればなりません
第三者からの受領時の確認・記録等
- 事業者は、個人データの提供を第三者から受けるとき は、提供者の氏名等、その提供者がその個人データを取 得した経緯を確認するとともに、受領年月日、確認した事 項等を記録し、一定期間保存しなけれ ばなりません
上記のように様々な部分が厳格化されたことにより、個人情報の第三者提供の透明性が高まりました。
今後、ルールに則った第三者提供による個人へのアプローチが盛んになるかもしれません。