2017年5月に施行された改正個人情報保護法。
同法では、個人情報を取り巻く世の中の流れは数年のうちに変化することが予想されるため、3年毎に「見直し」をすることが記載されている。
つまり、翌年の2020年にはその見直し案が施行されることになる。
その見直しに向けて、19年4月末に59ページにわたる中間整理のドキュメントが公開されたので、本記事ではそのの内容を確認していこう。
- 個人情報保護法の見直しの方針
- 2020年の「見直し」における大きな変更点は?
- 利用停止を企業に請求できる権利
- 企業のデータ活用を促す「仮名情報」制度
- 情報開示のデジタル化
- 個人情報の消去の権利(通称「忘れられる権利」)
- データポータビリティの権利
- さいごに
個人情報保護法の見直しの方針
「個人情報保護法 いわゆる3年ごと見直しに係る 検討の中間整理」によると、今回の見直しでは、以下の項目を意識して見直しが行われるとのこと。
- 個人の自らの情報の取扱いへの関心や期待の高まりから、「個人の権利利益の保護」に必要十分な措置を整備する
- 保護と利用のバランスは引き続き重要
- 国際的な制度調和や連携に配意する必要性
- 国を超えたサービスの利用におけるリスクへの対応の必要性
3点目と4点目のグローバルな観点は、2018年のGDPR施行等の動きもあり、前回の法整備のときに比べ、さらに重要性を増してきている観点だといえよう。
2020年の「見直し」における大きな変更点は?
日経新聞の記事にもあるように、今回の「見直し」において、変更が予想されている大項目としては、以下の3点があげられる。
- 利用停止を企業に請求できる権利
- 企業のデータ活用を促す「仮名情報」制度
- 情報開示のデジタル化
一方で、以下の項目は見送りが濃厚となっている。
- 個人情報の消去の権利(通称「忘れられる権利」)
- データポータビリティの権利
これらは、いずれもGDPRでは規定されているが、事業者側への負担なども考慮され、見送られる方針だ。
以降では、ここまでで上げた5つ項目について、簡単に解説していこう。
利用停止を企業に請求できる権利
まずは、個人情報の利用停止を企業に請求できる権利(以下、利用停止の権利)だ。
見直しにあたり、相談ダイヤルやタウンミーティングにおける議論において、消費者から「自分の個人情報を事業者が削除・利用停止しないこと」への不満が多く寄せられていたという。
現在でも、プライバシーマークの審査基準の根拠となっている「JIS Q 15001」においては、事業者は無条件で利用停止の要求に対応することを義務付けられている。
また、個人情報保護法においても、法律違反があった際には利用停止の要求に応えることが求められている。
今回、個人情報保護法においても、無条件の利用停止の権利が新たに追加されるとなると、事業者は利用停止の窓口の作成や、停止の自動化などの対応に迫られる可能性がある。
企業のデータ活用を促す「仮名情報」制度
現行の個人情報保護法では、「個人情報」とそれを匿名加工した「匿名加工情報」がそれぞれ定義されている。
これに対して、EUにおいては、個人情報としての取扱を前提としつつ、若干緩やかな取扱いを認める「仮名化(Pseudonymisation)」が規定され、その活用が進みつつある。
匿名加工情報は、特定の個人を識別できないように個人情報を加工したものを指すのに対して、仮名化は、個人を識別できる情報(氏名、住所など)を仮の値に差し替えることで、個人の特定のためには元の値と突き合わせる必要があるデータのことを指す。
つまり、仮名化のほうが匿名加工よりもライトな基準となっている。
この仮名化した個人情報「仮名情報」により、企業のデータ利活用を促進していこうというわけだ。
情報開示のデジタル化
情報開示のデジタル化は、当たり前のようで現行の個人情報保護法では規定されていない。
開示の提供形式については、個人情報の保護に関する法律施行令(2003年)において、「書面の交付による方法」を原則としつつ、「開示の請求を行った者が同意した方法があるときは、当該方法」とされている。
今回、デジタル手続き法案において、民間手続きにおける情報通信技術の活用促進が謳われる中、個人情報保護法における開示においてもデジタル化されるべきであるという判断のもと、検討されている。
個人情報の消去の権利(通称「忘れられる権利」)
個人情報の消去の権利、通称「忘れられる権利」は、今回の見直しでは見送られる方針だ。
GDPRでは、第17条「消去の権利」において定められている。
データの消去については、以下のような論点に対して、さらに議論を深めていく必要があるとしている。
- 完全に消去してしまった場合に、その後、再び当該本人の個人情報を取得した場合にその人の個人情報を利用することの可否等をどう判断するか
- 複数部門により別々に個人情報データベースを管理している場合に、利用停止が技術的に難しい可能性
また次の3年後の見直しのタイミングに向けて、さらに議論が深められていくだろう。
データポータビリティの権利
また、データポータビリティの権利についても、今回の見直しでは、見送りとなりそうだ。
データポータビリティは、ある企業が保有している当該個人のデータを別の企業に持ち運びすることを指す。
EUのGDPRでは、データポータビリティの権利は導入されているものの、「技術的に実行可能な場合に限定」されているため、実質的にはまだ効力を発揮しているとは言い難い。
個人情報保護法に沿った形でこのような取組が自主的に行われることは歓迎すべきものである。一方、データポータビリティの法的な義務化については、そもそも個人の権利利益の保護といった個人情報保護の観点以外に、産業政策や競争政策といった幅広い観点が存在する。
消費者ニーズ、事業者のメリットと実務負担等を含め、議論の推移を見守る必要がある
(個人情報保護法 いわゆる3年ごと見直しに係る 検討の中間整理より)
個人情報保護法としては、以上のように、データポータビリティは産業政策や競争政策とも関連してくることから、慎重に議論の推移を見守っていく方針だ。
データポータビリティについては、「データの移転・開放による健全な競争活性化」を目指す新法案で実現していく可能性も出てきている。こちらの動きにも注目だ。
さいごに
本記事では、2020年に迫っている個人情報保護法の「見直し」について、中間整理のドキュメントを元に、その内容を整理してみた。
これらの他にも、クッキーの扱いや匿名加工情報導入の現状など、参考になる情報があるので、気になる方はぜひ目を通してみていただければと思う。
個人情報保護法 いわゆる3年ごと見直しに係る 検討の中間整理
ここから、パブリックコメントも踏まえて、年内で見直し案が定まっていく。今後どのような動きがあるのか、注視していきたい。