トランプ政権と日本・アジア 2017

米国株や為替に影響する時事問題を中心に政治動向をウォッチ。今さら聞けない常識も再確認。

改正個人情報保護法が施行 結局、何がどう変わるのか

f:id:minamiblog:20170330081802j:plain

(米議会図書館。出所はWIKI画像)

 改正個人情報保護法が5月30日から施行されます(同法は2015年9月に改正されている)。

 しかし、そもそも、いったい、何がどう変わったのでしょうか。

 産経ニュース(2017/5/26)を見ると、アララ株式会社が企業の情報システム部門の担当者に調査した結果、回答者のうち65%が改正個人情報保護法の内容を把握できていないことが分かったと報じています。

(※アララ社は10年連続シェアNo.1の個人情報検出ソフト「P-Pointer(ピーポインター)」を提供する企業)

 前掲の法律改正では、5000人以下の個人情報を管理する事業者でも法令順守の対象となり、個人情報と定義される内容も拡大されることになりました。今後は、顔や指紋認識なども個人情報に含まれるのです。

 そのほか、本人同意の確認を一部厳格にしつつも(人種や信条等は「要配慮個人情報」とされ、取得時には本人同意が必要になる)、ビッグデータの活用にも道を開くことや、不正な利益を目当てに情報を提供したり盗んだりする行為への罰則が新設されています。

 そこで、今後のビジネスのあり方に関わる、この個人情報保護法の改正の中身について、今回はおさらいしてみたいと思います。

個人情報保護法はどう変わるのか?

 「法律、変わりました」と言われても、日本では条文がみな読みにくい専門用語の羅列なので、何を言っているのやらさっぱりわかりません。筆者も必要上、仕方がなく法律の勉強をすることがありますが、原文を読むとチンプンカンプンになるので、「入門の入門」等と書かれている本を買って読んだりしています。

 というわけで、当ブログでは「筆者に分かる範囲で、できる限り、普通の言葉で説明する」ことに挑戦してみます。幾つか、変わった項目を並べてみましょう。

何が個人情報と扱われるの?

 個人情報といわれて頭に浮かぶのは、氏名、住所、生年月日、電話番号、メルアドに始まり、マイナンバーや保険証番号、運転免許証番号、パスポート番号等ですが、それ以外にも範囲が広がっています。

 例えば、改正個人情報保護法では「身体的特徴」(顔認証データや指紋データ、音声等)やSNSのアカウント/ID、位置情報、カード等の購入履歴、交通カードに記録される乗車履歴、Webの閲覧履歴等が個人情報に含まれます。これらは「個人情報識別符号」として保護され、本人の同意を得ずに取得・提供することが禁じられます。

 そして、その中で「要配慮個人情報」というものが定められました(作成にあたってはEUの規定が参考にされた)。

 これは病歴、人種、宗教、犯罪歴、社会的身分等、扱い方次第で差別や偏見が発生する可能性のある個人情報のことです。これを第三者が取得する場合には、原則、本人の同意が必要になりました。本人の同意なしにこれを第三者に渡すことは許されず、その場合は罰則が適用されます(データベース提供罪)。

全事業者が個人情報保護法の適用対象になる

 今までは5000人を超える個人情報を管理する事業者だけが個人情報保護法の適用対象でしたが、これからは小規模の事業者でも例外なく、同法の適用を受けます。

「名簿リストが数十人だからいいじゃないか」という理由は通じなくなるわけです。

 顧客名簿を持つ通販ショップ、美容院、エステサロン等、どんな事業者でも何らかの個人情報を管理しますが、その管理に責任が問われるわけです。アルバイトを含む従業員に情報管理を徹底しなければいけなくなります。

第三者に個人情報を提供する場合のルールはどうなる

 提携会社や協力会社に個人情報を提供する時、提供する側と提供される側の双方が記録を保存することが義務化されました。提供側は提供年月日、相手の氏名、住所等を記録し、被提供側も提供者氏名、取得経緯等を記録しなければなりません。

 そうすることで情報漏えい等が起きた場合に出元が分かるようにします。

 データベース提供罪という犯罪が設けられ、事業者が不正に個人情報を提供・盗用した場合(情報屋に個人情報を売る、他社に顧客リストを売る等)は罰されることになりました(1年以下の懲役又は50万円以下の罰金)。

 また、あらかじめ本人に個人データを第三者へ提供することを通知するか、それが行われることを認識できる状態にし、本人が反対しない限り同意したとみなすことを「オプトアウト」といいますが、個人情報保護法のこの規定(オプトアウト規定)を用いる場合は「個人情報保護委員会」への届け出が義務化されました。

(※通常の本人同意のもとで第三者へ個人情報を渡すやり方は「オプトイン」という)

 さらに「匿名加工情報」の扱いのルールも決まりました。

 これは個人情報の一部を隠し、加工して、情報として利用できるようにする方法です。

 例えば「山本一郎/1972年1月30日生/神奈川県横浜市石川町1-1-1/年収580万円」という個人情報があった場合に「名前消去/1972年生/神奈川県/年収500万円以上」といった具合に、誰の情報かが特定できないように加工し、統計データとして使えるようにするのです。これはマーケティング等を行う際に必要な区分けを行い、非個人情報として使えるようにするための規定だと言えます。

 こうした匿名加工を施したデータは、本人の同意なしで第三者へ提供できることになりました。 

「個人情報保護委員会」が事業者を監督

 個人情報保護委員会は従来の縦割り行政の弊害をなくすために、内閣の外局として2016年1月に設置された委員会(委員8名)で、事業者を一元的に監督します。この委員会には、事業者の事情聴取や立入検査、指導・助言、勧告・命令の権限があり、命令違反の場合は6か月以下の懲役もしくは30万円の罰金刑となります。

社会的に見た「個人情報保護」という大問題

 今までは個人、企業レベルで見た個人情報保護の問題ですが、もう少し、大きな目で見た時に、これは非常にややこしい問題を抱えています。

改正個人情報保護法に懸念を示した日本新聞協会

 日本社会の中では、この法改正に反対している団体もあります。

 それは新聞協会です。

 朝日デジタル(2017/5/29)を見ると、新聞協会の声明が掲載されていました(「改正個人情報保護法『匿名社会が深刻化』新聞協会が声明」)

  • 個人情報保護法が施行されて以降、社会全体に個人情報を流通させることへの萎縮が広がり、個人情報の保護を理由に社会のあらゆる分野で匿名化が進んでいる
  • 自治会の名簿や学校の連絡網が作れないなど、緊急時に必要な情報の流通が阻害されているばかりか、自治体が災害時に行方不明者等の氏名を公表しなかったり、行政当局が懲戒処分を受けた公務員の実名を隠したり、警察当局が重大事件の被害者を匿名で発表したりすることが常態化しつつある。
  • 報道機関は、真実を発見し、不正を明らかにし、社会が共有すべき情報を伝える公共的使命を負っている。そして、匿名ではなく実名による報道によってこそ、事実の重みを社会に伝え、当事者の苦しみや怒りを社会で共有し、再発防止や事件・事故の風化を防ぐことにつなげることができる。
  • だからこそ報道機関は、報道目的で個人情報を取り扱う場合には個人情報保護法の適用が除外されており、個人情報取扱事業者が報道機関に個人情報を提供する行為も規制の対象外とされているのであるが、こうした適用除外の規定が国民に周知されているとは言い難い。

  これはかなり端折った要約ですが、新聞協会は、個人情報保護を理由として日本が取材しにくい社会になることを懸念しています。

 災害時に情報がオープンになれば助けられる人が増えたりする等の例を挙げ、報道機関の公的性を主張しているのですが、報道機関が市民の人権を脅かすケース(何か事件が起きた時に学校に押しかけ、関係者の心を傷つける等)も出てきているので、マスコミがどこまで麗しい理屈の通りに動いてくれるのかは未知数です。

 ただ、どのみち、報道機関への情報提供に関しては「報道の自由」への配慮から個人情報保護法の規制は適用除外されています。

 そのため、この声名に関しては、「今さら何を言っているんだ」「もう十分に配慮されているんじゃないの?」等と考える方もいらっしゃるだろうと思います。

米国ではIT業者と個人のプライバシー保護が相克

 トランプ政権下でアメリカ議会が個人情報保護の規制を3月28日に廃止する方針を決めました。

 まだオバマ氏が大統領だった2016年の10月に、プロバイダー業者に対して、顧客の個人情報(位置情報や金融、健康、サイトの閲覧履歴や家族構成等)を広告やマーケティングに用いる際に顧客の同意を得なければいけなくなったのですが、このルールはグーグル等のネット系大手に該当しなかったので、廃止することになったのです。

 これは競争条件を同じにするための措置で、このルールの改廃には、通信や放送業界の規制・監督を担う連邦通信委員会(FCC)が関わっています。

 どうして今まで、競争条件が違ったのかというと、グーグルやフェイスブックなどに関しては管轄が連邦取引委員会(FTC)になっており、省のスタンスの違いが規制の厳しさに反映されていたからです。

 プライバシー保護団体はこの規制廃止に抵抗しており、フォーブス誌は、この廃止に関して、ITメディアのThe Vergeが「コムキャストやAT&T、Charterなどの大手ISPは、顧客から許可を得ることなく個人情報を高額で販売するようになる。ネットユーザーにとって最大のプライバシー保護になるはずだったルールが消滅するばかりか、FCCはそれを永遠に復活させることができなくなる」と懸念を示したことを報じています。

 そして、Vanity Fairというメディアが「法案が下院を通過した場合、ISPは顧客の財務情報やアプリの利用状況、ネットの閲覧履歴などを入手することができる」「ISPが消費者や企業からの反発を考慮して、加入者が開示情報を最小化できる「オプトアウト機能」を自主的に設置するケースが出てくるかもしれない」と指摘したことを紹介しました。 

 この種の事例は、今後の日本でも起きてくる可能性があるので、注意が必要です。ネット企業と個人情報保護の兼ね合いという、難しい課題が現代社会には存在するからです。 

テロ対策と個人情報保護の複雑な関係

 最近の事例では、イギリス議会近辺で起きたテロの後、政府が捜査のためにフェイスブック(FB)に「WhatsApp」での通信内容へのアクセスを求めたことが報じられていました(※ワッツアップは世界最大のスマホ向けの無料メッセンジャーアプリでテキスト、写真、動画の送付や位置情報の共有が可能)。これに関してはフォーブス誌が解説しています(「英、テロ捜査でフェイスブックと協議 通信内容の開示要求」2017/3/27)

  • カリド・マスード容疑者は犯行の約2分前にWhatsAppを起動
  • 英国内務大臣(アンバー・ラッド)はグーグルやFB、ツイッターの担当者と面会。
  • ラッド氏は「テロリストらが特定のプラットフォームで連絡を取り合っているのに、そこにアクセスできないというのは実に不条理なことだ」「このような状況下では、国家の情報機関がWhatsAppの暗号化メッセージにアクセスする権限を持つことが正当であるべきだ」
  • しかし、WhatsAppはメッセージ送信者と受信者に高度な暗号化の技術が施されるため、同社のエンジニアでも送信済みのメッセージにはアクセスができない

 トランプ氏も選挙期間中に、テロ対策の一環として、アップル社に情報開示を要求したことがありましたが、治安と個人情報保護の関係は複雑になってきています。政府は個人情報を知りたがりますが、民間の側からすれば余計なことを政府に知ってほしくはありません。個人情報が治安維持以外の目的で使われることもありえるからです。

 そうなるのは、結局、SNSが「お友達とのやりとり」という当初の利用範囲を大きく超えるレベルにまで広がったからです。ワッツアップをつくった人はテロリストの情報ツールにされるとは思わなかったのかもしれませんが、SNSは現在、ISや他の過激派の宣伝等にも利用されてしまっています。

 他の事例を見ると、SNSが選挙戦で偽情報ツールとして悪用されたこともあります。

 SNS等の情報ツールも、ある意味では、現代社会における「武器」となっているので、創始者の意図を超えて独り歩きを始めつつあるのかもしれません。