EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
アドバイザリー事業部 公認会計士 梅澤 泉
公認情報システム監査人、公認不正検査士。金融機関、製造業、小売業、サービス業などの会計監査を経て、個人情報保護をはじめとする情報セキュリティ監査やデータセンター事業者・クラウドサービス事業者の顧客向けサービスに係る内部統制の保証業務に従事。
2005年4月に全面施行された個人情報保護法(以下、改正前の同法を「現行法」、改正後の同法を「改正法」)は、ビッグデータの利活用に対するニーズの高まりや個人情報の大量流出事案による国民の不安増大などを背景として、およそ10年ぶりに改正される運びとなりました。改正法の施行期日については、公布の日(15年9月9日)から2年以内とされており、17年春頃をめどに全面施行となることが想定されています。
今回の改正内容を大まかに整理すると、<表1>のようになります。このうち、企業への影響が比較的大きいと考えられる主な変更点について、解説します。
改正法では、個人情報の定義が一部修正され、「個人識別符号」が含まれるものについても個人情報に該当することが明記されました。個人識別符号が具体的に何を指すかについては別途政令で定められることになっていますが、現時点で想定されているものとしては次の情報などが挙げられます。
なお、今回修正された個人情報の定義は、個人情報の範囲を明確にしたにすぎず、従来の考えを拡大・拡充するものではないとされています。
現行法では、個人情報の取扱いに関するさまざまな規制が、その内容や性質に関係なく一律に取り決められています。改正法では、個人情報のうち本人に対する不当な差別、偏見その他の不利益が生じないよう、その取扱いに配慮を要するものを新たに「要配慮個人情報」として定めました。これらの情報を取得する際には、原則として本人の同意が義務化されるとともに、本人同意を得ない第三者提供の特例であるオプトアウト※についても禁止とされました。
なお、要配慮個人情報の内容に関しては、「人種」「信条」「社会的身分」「病歴」「犯罪の経歴」「犯罪により害を被った事実」のほか、別途政令によって明確に定められる予定です。
今回の改正法では、もともと個人情報であるデータを誰の情報か分からないように加工するとともに、個人情報として復元できないようにした「匿名加工情報」という概念が創設されました。
匿名加工情報は個人情報には該当しないため、本人の同意なしで第三者提供が可能となることから、企業はこうした匿名加工情報を基に、ビッグデータの利活用に向けた取り組みを促進することが可能となります。
なお、個人情報をどのように加工すれば匿名加工情報となり得るのか、その加工方法や加工基準については、個人情報保護委員会において新たに制定される委員会規則によって明確にされる予定です。
個人情報データベースなどを取り扱う個人情報取扱事業者やその従業者などが、不正な利益を図る目的で提供もしくは盗用した場合、1年以下の懲役または50万円以下の罰金を科せられるという罰則(データベース提供罪)が新設されました。
これまで個人情報の漏えい事故・事件が発生しても、個人情報保護法違反として実際に罰則が適用されることはありませんでした。しかし、昨今における個人情報の大量流出事案を通じて国民の強い懸念が示される中で、このような罰則強化に向けた法制化が図られたことになります。
現行法では、取り扱う個人情報の数が5,000件以下となる事業者(以下、小規模取扱事業者)は規制の対象外でした。しかし、改正法ではこうした個人情報の取扱量による規制枠は撤廃され、全ての企業が個人情報取扱事業者として改正法の適用を受けることになりました。
携帯電話番号やメールアドレスなど、これまで個人情報に該当するかどうかが不明瞭で、グレーゾーンとして取り扱われてきた情報に関し、企業は社内における情報の洗い出しを通じて、個人情報としての管理を改めて検討する必要があります。
また、要配慮個人情報についても、該当する情報の特定や、今後新たに取り扱う可能性を検討することが望まれます。
これらの取り組みは、今後個人識別符号の定義や要配慮個人情報の具体的内容が政令によって明確になった時点で開始することが、実務上は効果的だと考えられます。
改正法では、個人データの第三者提供に当たり、提供側・受領側それぞれに対し授受に関する情報の記録・保存が求められ、要配慮個人情報となり得る情報に関しては、取得時の本人同意が必要といった、新たな対応が求められます。
また、匿名加工情報に関しても、それ自体は個人情報ではないものの、別途取扱いルールが必要となるため、企業は個人情報保護方針や関連する規程・マニュアル類についての見直しを検討し、併せて社内体制の整備を行う必要があります。
特に小規模取扱事業者においては、個人情報保護に関する十分な措置が取られていないケースもあるかと思いますので、改正法の施行に向けて早期の準備対応が望まれます。
本改正では、データベース提供罪が創設されたことからも分かるように、個人情報保護強化の観点から個人データの不正な提供や盗用については厳しく取り締まる姿勢も打ち出されています。従って、個人情報データベースなどの安全管理体制(設置場所の入退室管理、データベースへのアクセス制御など)に関しては、改めて自社の状況をチェックの上、必要に応じて改善を施すことが推奨されます。
匿名加工情報に関しては、本人同意を得ることなく第三者提供が可能ですが、改正法ではこれらを作成する側(個人情報取扱事業者)と提供を受ける側(匿名加工情報取扱事業者)それぞれに対して、実施すべき事項や禁止事項が制定されています。ビッグデータを用いたビジネスに関わりのある企業にとっては、こうした取扱規制についても特に注意が必要です。
今回の改正法では、国境を越えて個人データをやりとりする上での規制が新たに定められています。またEUにおいても、一般データ保護規則が16年4月に可決され、EU域内での個人データの取扱いが今後強化されることになります。海外に拠点を置くグローバル企業では、国内のみならず各国の個人情報保護規制の把握に努めるとともに、海外子会社における個人データの取扱いルールの見直しや管理責任者の設置状況などについて検討する必要があります。
改正法に関しては、現時点では具体的な定義や考えが明確に示されていない論点も残されています。しかし、企業としては改正法のアウトラインを把握することで、自社に与えるインパクトを把握し、その上で個人情報をどのようにビジネスに活用し、あるいは適切に保護すべきかについての戦略と方針を練ることが重要だと考えます。
※個人に関するデータの第三者提供に関して、事後的に本人の求めに応じて第三者への提供を停止すること。