個人情報保護法の経緯
個人情報保護法(個人情報の保護に関する法律)は、情報化社会の急速な進展により、個人の権利・利益における侵害の危険性の高まりと、国際的な法制定の動向等を受けて2003年5月に公布され2005年4月に全面施行されました。
その後、情報通信技術の発展や事業活動のグローバル化などの急速な環境変化により、当初想定していなかったパーソナルデータの利活用が可能となったことより、「個人情報の定義の明確化」「個人情報の適正な活用・流通の確保」「グローバル化への対応」などを目的として、2015年9月に改正個人情報保護法が公布され2017年5月に全面施行されました。それまで各省庁が分割して所管していましたが、2016年1月より個人情報保護委員会が所管し、適正な取扱いの確保を図っています*1。
また、2015年に公布された改正個人情報保護法では、附則第十二条で「この法律の施行後三年を目途として、所要の措置を講ずるものとする。」が追加されています。
これに基づき個人情報保護委員会において、関係団体・有識者からのヒアリング等を行い、実態の把握や論点を整理し、2020年6月の国会で「令和2年 改正個人情報保護法について」が交付されました*2。当該法が、今年4月に全面施行されます。
2022年4月全面施行の個人情報保護法
では、2022年4月の個人情報保護法では、2017年に全面施行された改正個人情報保護法と何が変わるのでしょうか。
詳細は個人情報保護委員会のサイト*3を見ていただくとして、いくつか抜粋すると、以下のような記述があります。
1.個人情報の権利のあり方
・個人の権利や正当な利益が害されるおそれがある場合にも要件を緩和する
(筆者注:「要件を緩和する」のは個人データが「目的以外で利用されている場合、不正取得等の違反をした場合のみ」であったが「本人が利用しなくなった場合、重大な漏えいが発生した場合など」でも利用停止や消去請求ができるように対象が拡大されました。)
・個人データの開示方法に、電磁的記録の提供を含め、本人が指示できる
・第三者が提供する記録について、本人が開示要求できる
・6か月以内に消去する短期的保存データについて、保有個人データに含め開示、利用停止などの対象にする
・本人の求めがあれば事後的に提供停止する前提で、提供する個人データの項目などを公表し、本人の同意なく第三者に個人データを提供できる、オプトアウト規定により第三者に提供できる個人データの範囲を限定
2.事業者の守るべき責務のあり方
・個人データの漏えいにより個人の権利利益を害するおそれがある場合、個人情報保護委員会への報告、本人への通知を義務化
・不適切な方法により個人情報を利用してはならないことを明確化
3.事業者による自主的な取組を促す仕組みのあり方
・認定団体制度は、現行の対象事業者の全ての部門を対象とすることに加え、企業の特定部門を対象とする
4.データ利活用に関する施策のあり方
・「仮名加工情報」を創設し、内部分析に限定するなどの条件で開示・利用停止請求への対応義務化を緩和
・提供元では個人データに該当していなくても、提供先で個人データとなることが想定される情報の第三者提供については、本人同意が得られていないなどの確認を義務化
5.ペナルティのあり方
・個人情報報保護委員会による命令違反や虚偽報告などの場合の法定刑を厳格化
・情報の不正提供で委員会より命令違反をうけた法人に対しては行為者より罰金の最高額を引き上げる
6.法の域外適用・越境移転のあり方(域外や、越境とは日本の国以外の国、地域を指します)
・個人情報を扱う、日本に拠点のある外国事業者は広告徴収や命令の対象となる
・海外にある第三者に個人データ提供時に、提供を受けた事業者に個人情報取扱いに関し、本人への情報提供の充実を求める
その他、【「行政手続における特定の個人を識別するための番号の利用等に関する法律」及び「医療分野の研究開発に資するための匿名加工医療情報に関する法律」においても、一括法として所要の措置(漏えい等報告、法定刑の引上げ等)を講ずる。】とあります。
さらに個人情報保護局による要点を見ると*4、
- 個人の権利利益を害するおそれがある場合は、個人情報保護委員会への報告と本人への通知が義務化される
- 仮名加工情報の創設により利用目的限定にて、利用目的変更の制限などを緩和
- 第三者に個人情報提供時、本人同意確認が義務化される
- 海外に個人情報を提供時には、その国名や個人情報保護制度の有無、提供先が講じる措置などを本人に提供する、また、制度の有無に関して定期的な確認と、取扱いに問題が発生した場合の対応を求める
というのが、2022年4月改正の主旨になります。
恐らく影響が大きいのは、個人情報漏えいなど個人の権利利益を害するおそれがある場合に、今までは義務ではなかった「個人情報保護委員会への報告」と個人の権利・利益が保護できるように「本人への通知」が義務になったことではないでしょうか。また、通知の対応時間に関しても速報として事態を把握してから概ね3~5日以内に行い、確定報告は30日以内(不正目的の場合は60日以内)と定められています。
個人情報保護委員会への通報はこちら*5をご覧ください。
個人情報とは
2017年の改正個人情報保護法では*6、
◆この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
- 氏名、生年月日その他の記述等【文書、図画若しくは電磁的記録<電磁的方式(電子的方式、磁気的方式その他、人の知覚によっては認識することができない方式)で作られる記録をいう。>に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。】により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
- 個人識別符号が含まれるもの
・身体の一部の特徴を電子計算機のために変換した符号
→DNA、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋
・サービス利用や書類において対象者ごとに割り振られる符号
→公的な番号(旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証等)
となっており、特に大きな変更はありません。
しかし、上記2022年4月全面施行の個人情報保護法の「4.データ利活用に関する施策のあり方」で記載したように、「仮名加工情報」が創設されています*7*8。この仮名加工情報は、データ内の個人を特定できる情報を削除あるいは変更することで、個人を識別するには他の情報と照合しないとできないように加工した情報です。以前からあった「匿名加工情報」は、特定個人の情報を復元できないように匿名化しますが、「仮名加工情報」は他の情報との照合で個人の識別ができるという違いがあります。仮名加工情報は関係する企業内、委託先などの共同利用先だけが分析など限られた用途でデータの利活用を促進するために導入されました。
他国における個人情報保護法
有名なものはEU(欧州連合)のGDPR(General Data Protection Regulation)*9あるいは米国カリフォルニア州のCCPA(California Consumer Privacy Act of 2018、カリフォルニア州消費者プライバシー法 2018年)*10です。ここでは詳細は述べませんが、特にGDPRに関しては米大手IT企業の複数社が訴訟され莫大な制裁金を課されるなど世間を賑わせていました。
以下は、欧州委員会が十分なレベルの個人データ保護を保障している国と地域(2022年1月末時点)です。*9
| アルゼンチン共和国 | アンドラ公国 | イスラエル国 |
| ウルグアイ東方共和国 | 英国 | 英国王室属領ガーンジー |
| 英国王室属領ジャージー | 英国王室属領マン島 | カナダ |
| 韓国 | スイス連邦 | デンマーク王国自治領フェロー諸島 |
| 日本国 | ニュージーランド |
GDPRに関して日本は2019年1月23日に個人情報保護法の対象範囲内に限り、個人データについて十分な保護水準を満たしていることを認める十分性認定を欧州委員会から受け、企業は煩雑な手続きを省略できるようになりました。しかし、十分性認定を受けたとしてもデータに対する保護措置は変わりません。少なくとも以下の条件に当てはまる場合は、日本の法令だけでなく、GDPRの原則に基づいた対応が求められますのでご注意下さい。
・EUに子会社や支店、営業所を持つ企業
・日本からEUに商品やサービスを提供している企業
・EUから個人データの処理について委託を受けている企業 等
日本の個人情報保護法を準拠していればGDPRについて全て対応できるわけではありませんので、GDPRの対象となる可能性がある場合は検討しておく必要があります。
特定分野の個人情報保護法に関するガイドライン
本Blogでは一般的な変更内容を述べていますが、「金融関連分野ガイドライン」、「医療関連分野ガイダンス」などの特定分野ガイドラインも個人情報保護委員会のページ*11にはありますので、関係のある方は一読されることをお奨めします。
コラム:筆跡による本人認証への利用
「筆跡」は個人情報に該当するのでしょうか。個人情報の「氏名、生年月日その他の記述等」の記述等には映像、音声、筆跡等も含まれるとされています。では、一文字だけをランダムに選んで記述した場合はどうなのでしょうか?文字は時間と共に書き方が変化していきます。文字を書く速度、筆圧もやはり時間、あるいは筆記用具により変化します。しかし、個人情報保護法では筆跡は個人識別符号として、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋と同様の扱いになると解釈できます。
2021年10月26日ブログのゼロトラスト(後編)で本人認証に利用できる製品としてverifyooをご紹介しました。この製品は、コロナ禍で急拡大したリモートワーク時にアクセスを試みた人が本人なのかを認証するための製品(スマホ上で操作)です。多くの製品が顔面や指紋などの一つの生体情報を使用して認証しますが、本製品は、筆跡・書く速度・筆圧・指の太さなどの複数の情報を用いて本人認証を行います。そのため、例えば書き方が漏洩したり、あるいは真似をされたとしても認証を通ることはできず、不正アクセスをより強固にすることができます。
個人情報保護の観点からお話すると、あくまでも当製品の目的は本人認証であり、端末外へ情報を提供、開示することはありません。「スマホという特定デバイス」に「本人認証を目的」として「指」で文字を書き、その際の「筆跡」「書く速度」「筆圧(指圧)」「指の太さ」を総合的に使い、本人認証に使うという事を使用者に通知すれば個人情報保護の観点からは問題が無いと言えます。また、利用する個人識別情報として、顔面や指紋といった情報より筆跡の方が、心的ハードルが低いものだと思います。
強固な認証技術でありながらも、利用に心的ハードルの少ない「筆跡」による認証、ご興味があればお問合せいただければと思います。
脚注(参考文献一覧)
- 東京都|個人情報保護法の概要(参照日:2022-03-16)
- 出典:個人情報保護委員会|令和2年 改正個人情報保護法について(参照日:2022-03-16)
- 出典:個人情報保護委員会|個人情報の保護に関する法律等の一部を改正する法律(概要)(参照日:2022-03-16)
「個人情報の保護に関する法律等の一部を改正する法律(概要)」(個人情報保護委員会)を加工して作成 - 出典:個人情報保護委員会|令和2年改正個人情報保護法 政令・規則の概要(参照日:2022-03-16)
「令和2年改正個人情報保護法 政令・規則の概要」(個人情報保護委員会)を加工して作成 - 出典:個人情報保護委員会|個人情報保護委員会における公益通報の受付について(参照日:2022-03-16)
- 出典:個人情報保護委員会|個人情報保護法の基本(参照日:2022-03-16)
「個人情報保護法の基本」(個人情報保護委員会)を加工して作成 - 出典:個人情報保護委員会|個人情報の保護に関する法律についてのガイドライン(通則編) (参照日:2022-03-16)
- 出典:個人情報保護委員会|個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)(参照日:2022-03-16)
出典:個人情報保護委員会|個人情報の保護に関する法律についてのガイドライン(仮名加工情報・匿名加工情報編)(平成 28 年個人情報保護委員会告示第 9 号)の一部改正の新旧対照表(参照日:2022-03-16) - 出典:個人情報保護委員会|GDPR(General Data Protection Regulation:一般データ保護規則)(参照日:2022-03-16)
- 出典:個人情報保護委員会|米国「カリフォルニア州消費者プライバシー法 2018年」(参照日:2022-03-16)
- 出典:個人情報保護委員会|特定分野ガイドライン(参照日:2022-03-16)
