第18回
個人情報との向き合い方【第1回 個人情報の背景と現在】
株式会社TMR 執筆
1.個人情報とは
2.個人情報保護法の背景と改正
3.「プライバシーテック」という新しいサービス
オンラインでの買い物など日常の中でやり取りされる個人の情報やその取扱いについて定められた法律である【個人情報保護法】は、認知度も高く身近な法律なのですが、3年ごとに見直しが行われていることやその都度の改正内容についてはご存じない方も多いと思います。
個人情報の定義や3年ごとに見直されている理由、その経緯などと共に現在の個人情報の考え方や保護法の内容をご説明します。
1. 個人情報とは
個人情報保護法が定義する個人情報には2種類あります。一つは、氏名や生年月日など個人が識別できる情報で、二つ目は個人識別符号が含まれる情報です。
【個人が識別できる情報】
氏名、メールアドレス、防犯カメラ映像やそれらの組み合わせで個人が識別できるものです。具体的には、①生年月日、住所、電話番号、メールアドレスなどの情報と、本人の氏名の組み合わせ、②ホームページやSNS、職員録などで公開されている特定の個人を識別できる情報、③会社のドメインが付された特定の個人を識別できるメールアドレスなどです。
【個人識別符号が含まれる情報】
特定の個人を識別できる文字や番号のことです。具体的には、①指紋や掌紋、②顔認証や音声認証の情報、③マイナンバーや健康保険証番号、免許証番号などが挙げられます。
過去には5,000人未満の個人情報を保有する小規模事業者の除外規定がありましたが、2015年に法改正でその規定が撤廃され、個人情報を事業に用いる場合は、業種や規模に関わらず、ほぼ全ての組織に「個人情報保護法」が適用されるようになりました。
2.個人情報保護法の背景と改正
(1)個人情報保護法が制定された背景と経緯
インターネットなどの国際的なデータ流通が本格化するに伴い、国によって個人情報の扱いが異なることで世界的な情報流通の阻害要因となることが問題となりました。急速な国際的情報化に対応すべく個人の権利益侵害や不安を取り除くため、欧米諸国や日本も加盟するOECD(経済協力開発機構)により、1980年に「プライバシー保護と個人データの国際流通についてのガイドライン」が公表され、そこに含まれる個人情報の取り扱いに関する8つの基本原則「OECD8原則」が採用されることとなり、今では世界各国が制定している個人情報保護関連の法や規制の基礎となっています。
この「OECD8原則」を受け、日本では1988年に行政機関に対する個人情報保護の法律が公布されました。この時点では対象は行政機関だけに限られており、民間への規制はありませんでした。その後1999年に従事者が住民基本台帳データを持ち帰り販売するという事件が発生したことや、2002年の住基ネットの運用開始で政府が個人情報を把握して管理するのではという憶測が広まったりしたことにより、プライバシーに対する不安が膨れていきました。
このような社会背景の元、2003年5月に「個人情報保護法」が交付され、2005年4月に全面施行となりました。
(2)個人情報保護法の改正の主なポイント
現代においてはスマートフォンの普及やSNSの浸透など、個人情報保護法が交付された当初と比べても社会環境は急速な変化を遂げています。個人の行動に焦点を当てたターゲット広告のような個人情報を活用するサービスなども増え、それに伴い個人情報の価値が向上するとともに個人情報を扱うリスクも増加しています。
このような社会環境の変化に対応し、個人情報を適切に取り扱うための法整備の必要性から、2015年に個人情報保護法が改正されました。この改正では、IT技術の急速な進展による新技術や新産業の創出の可能性も視野に入れ、3年という短い期間で定期的に法の見直しを行うという規定も盛り込まれました。
2022年4月1日に新たに施行された個人情報保護法の改正では、主な改正ポイントとして以下のような内容が挙げられます。
① 個人情報の停止・消去等の請求権の権利の拡大
これまでは、対象事業者の個人情報の取扱いが個人情報保護法に違反する場合についてのみ、本人による利用停止や消去に関する請求権がありました。改正後、法違反がなくても、個人の権利や正当な利益が害される恐れがある場合は、請求権を行使できるよう範囲が拡大されました。
② デジタルデータでの提供が可能
個人情報を取扱う事業者が個人からの依頼によりデータを開示する際、これまでは書面による交付が原則でした。改正後、デジタルデータでの開示を個人が指定することができるようになりました。
③ 本人の同意なく第三者に個人情報を提供できる規定の厳格化
提供する個人情報の項目を予め公表した上で、本人の同意なく第三者に個人情報を提供できる制度をオプトアウトと呼びます。改正後、第三者に提供できるオプトアウトのデータ範囲が限定されました。具体的には、不正取得された個人データやオプトアウト手続きで取得した個人データは、第三者へ提供することができなくなりました。
④ 事業者が守るべき責務追加と罰則の厳格化
情報漏えい発生時の報告義務、不適正利用の禁止など、個人情報を取扱う企業の責務が追加されました。情報漏えいなど、個人の権利や利益を害する恐れが大きい事態については、個人情報保護委員会への報告と本人への報告が義務化されました。
さらに個人情報保護委員会からの命令違反や虚偽報告等の罰則規定が引き上げられました。命令違反した法人に対しての罰金は、これまで30万円以下であったものから1億円以下に、個人情報データベースの不正提供等については50万円以下から同様に1億円以下に、それぞれの罰則金額が大きく引き上げられました。
⑤ 海外への情報提供及び国外事業者に対する規定の追加
国外の第三者へのデータ提供に関しては、本人同意が定められていました。改正後は、本人同意に加え、利用する国やその国における個人情報保護制度、保護措置の情報を個人情報提供者に提示することが義務付けられました。加えて、日本国内の個人情報を扱う国外事業者も報告徴収・命令・立入検査などの罰則の対象となりました。
⑥ 「仮名加工情報」の追加
他の情報と照合しない限り、特定の個人を識別できないように加工された情報を「仮名加工情報」といい、この「仮名加工情報」を活用することに関しては、利用目的の変更制限が適用されず、情報を企業活動に利用することも可能となりました。これまで「匿名加工情報」という、いわゆる匿名の情報については本人の同意を得ずに第三者提供が可能だったのですが、匿名ではない情報を加工することでデータの有用性を保ちながら、情報を活用できるという新たなビジネスチャンス創出を見据えた改正ポイントと言えます。
3.「プライバシーテック」という新しいサービスの誕生
欧米では、プライバシーをポジティブに捉え、社会的に信頼を得て、企業価値向上につなげている企業も現れています。すでに経営戦略の一環としてプライバシーに取り組む企業もあります。
個人情報を保護し、適切な活用を行う技術が「プライバシーテック」と呼ばれ、この「プライバシーテック」を扱う企業が注目を集めています。プライバシーテックの例としては、データを暗号化して分析する「秘密計算」や分散した個人情報で機械学習を行う「連合学習」、人工的に個人情報などを生成する「合成データ」、個人を特定できない大量のデータからAI学習などを行う「差分プライバシー」など、さまざまな技術が存在し、これらの技術を活用するほか、技術自体の開発、実証実験等が行われており、これらの取り組みを行っている企業は「プライバシーテック企業」と呼ばれています。
プライバシーテック企業は有望視されており、スタートアップでも多くの出資を呼び込んでいます。日本でも大手Sier(SI(システムインテグレーション)を行う業者)などが既に取り組みを始めています。
今回は、「個人情報」の内容や法制定の背景、変化の内容と今後のサービスなどについて掲載しましたが、次回は個人情報保護法の違反事例や必要となるリスクマネジメントについて掲載する予定です。
㈱TMRでは、企業のリスクマネジメントとして法改正やデジタル化の進展に対応したアドバイスの豊富な実績とノウハウがあります。個人情報保護法に対応するための従業員との秘密保持契約へのアドバイスや従業員の資質向上を目的としたコンプライアンス教育を研修等の形式で行うことも可能です。改正法に沿った個人情報の取り扱いを行うためのプライバシーポリシーや社内規程の作成や見直しといった規程作成の支援実績も多数保有しています。海外展開企業の支援実績が多いため、個人データを外国の第三者へ提供しているかどうかのチェックについても適切な調査が可能です。
また㈱TMRでは、国際基準であるISMSで認められた、情報セキュリティ体制の運用や標準化、専門技術などについて、豊富なノウハウと実績を保有しています。法規制に対応しながら、刻々と変化する情報化社会である現代に対応した情報セキュリティ体制の構築を行うための支援ができます。
※転載元 株式会社TMR お役立ち情報「個人情報との向き合い方 第1回 個人情報の背景と現在」
プロフィール
株式会社TMRはビジネスにおけるあらゆるリスク対応を支援し、企業価値の向上を全力でサポートします。
・信用を第一に「誠意」「正確」「迅速」をモットーにご納得いただくまで親身にご説明いたします。
・マスコミや弁護士事務所、警察関連組織などへの調査協力も行っており、法令遵守で調査情報の秘密厳守、社会正義に即した調査を行います。
・ISO27001認証を取得しており、調査後の調査資料の廃棄に至るまで厳格に管理しています。
取引先や社員、株主などを対象に「反社会的勢力」との関係をチェックします。情報収集と収集した情報の蓄積を行い、独自でデータベースを構築し、情報利用についても熟知しているため、安心してお任せいただけます。
■信用調査
企業の与信調査(不動産や資産など)から採用時の個人 調査、その他、長年のノウハウを活用したきめの細かい各種信用調査を行います。
与信調査・不動産・資産・債権保全・信用調査・採用 入居者審査・身元調査・市場調査・各種マーケティングリサーチ・テナント調査・身元調査・訴訟関連・債権関連など
ISMS認証のノウハウを活用した情報セキュリティ対策支援やネット風評対策、ハラスメント対策などの企業のリスク対策のほか、盗聴対策などの個人向けの対策を含め、あらゆるリスク対策について対応可能です。
企業リスク対策(情報セキュリティ、情報漏洩等)・ネット風評対策・ハラスメント対策・各種相談窓口開設(コールセンター、内部告発等)・その他 盗聴対策、各種セミナー開催など
Webサイト:株式会社TMR
- 第44回 雇用リスクとは?【第1回 安全配慮義務の対策】
- 第43回 経営者リスクとは?
- 第42回 海外取引のリスク【第2回 海外取引におけるリスクマネジメント】
- 第41回 海外取引のリスク【第1回 海外取引における信用調査の重要性】
- 第40回 営業秘密の保護
- 第39回 業務上横領にはどう対応すべきか
- 第38回 企業のBCP対策【第2回 BCP対策の手順】
- 第37回 企業のBCP対策【第1回 BCP対策の状況】
- 第36回 企業不祥事の要因【第2回 自動車開発の不正認証取得事例から見る改善ポイント】
- 第35回 企業不祥事の要因【第1回 自動車関連企業の不正】
- 第34回 企業が行うべきリスクヘッジ【第4回 盗聴・盗撮から企業を守るためのリスクヘッジ】
- 第33回 企業が行うべきリスクヘッジ【第3回 情報漏えいのリスクヘッジ】
- 第32回 企業が行うべきリスクヘッジ【第2回 リスクヘッジの取り組み方】
- 第31回 企業が行うべきリスクヘッジ【第1回 リスクヘッジ能力の高い人材の確保と育成】
- 第30回 職場の心理的安全性
- 第29回 注意義務となっている反社チェック
- 第28回 投資先、出資先とのトラブル未然防止と発生後の対処
- 第27回 企業が行うべき反社チェックとは
- 第26回 企業におけるハラスメント 【第4回 企業間で発生するカスタマーハラスメント(カスハラ)とその対応】
- 第25回 企業におけるハラスメント【第3回 カスタマーハラスメントへの対応】
- 第24回 企業におけるハラスメント【第2回 パワーハラスメントの分類と事例】
- 第23回 企業におけるハラスメント【第1回パワーハラスメントがもたらす企業リスク】
- 第22回 企業のリスクマネジメントとして行う素行調査の有効性
- 第21回 反社チェックのポイント(採用編)
- 第20回 採用リスクを回避するバックグラウンドチェック(経歴調査)とは
- 第19回 個人情報との向き合い方【第2回 情報が流出する原因とリスクマネジメント】
- 第18回 個人情報との向き合い方【第1回 個人情報の背景と現在】
- 第17回 外部専門会社を活用した前職調査や身元調査で明らかになるネガティブ情報とは
- 第16回 資金調達における反社会的勢力の規制への対応について
- 第15回 倒産リスクのシグナルを読み取る必要性とポイント
- 第14回 顧客満足度を向上させるための相談窓口の設置
- 第13回 信用取引において必要不可欠な与信管理とは
- 第12回 オンライン面接へシフトする採用市場における調査専門会社の活用
- 第11回 採用時にネガティブ情報をつきとめるバックグラウンドチェック
- 第10回 企業の社会的責任として求められる、組織全体で行う反社対策
- 第9回 自社の内部統制は本当に機能していますか? 【第3回 内部統制の効果的な運用】
- 第8回 自社の内部統制は本当に機能していますか? 【第2回 内部統制の体制づくり】
- 第7回 自社の内部統制は本当に機能していますか? 【第1回 内部統制とは?】
- 第6回 不良債権リスクの高まりでより必要不可欠となる与信管理
- 第5回 コロナ禍の資金調達難に付け入る反社や黒社会の融資や買収の危険性
- 第4回 アリバイ会社との取引が懸念される場合の企業調査対策とは
- 第3回 採用調査で重要性が増しているリファレンスチェック
- 第2回 ビジネス取引において実施される信用調査とは
- 第1回 貸し倒れリスクを回避するための債権回収の対策