牧野総合法律事務所弁護士法人 個人情報保護法 改正案の検討 2015

個人情報保護法 改正案の検討
2015年3月23日
弁護士 牧野二郎
はじめに
今回、個人情報保護法が平成 15 年に施行されてから、初めての大幅改正ということができます。
最も重要な改正点は、「匿名情報」の設定と、本人同意なしでの利用、第三者提供などを幅広く認
めた点でしょう。
平成 26 年に発表された政府基本政策である「世界最先端 I T 国家創造宣言」が、その根底にあ
ると考えられます。この中では、わが国の経済力の相対的低下と、国際的地位の後退という事実
が明記され、その上で、「IT を経済成長のエンジンとして位置づけて、わが国の経済再生」に貢献
させるという決意が表明されています。
これまでのIT化は、過去の社会を前提にしており、時代の変化に即応していないと指摘し、IT化
の阻害要因を明確にして「一点突破の精神」でこれを打破する事を決意しているのです。
その手始めが、平成 27 年度税制改正大綱(平成 27 年 1 月 14 日閣議決定)に盛り込まれた税
務関係書類の保存に関するIT化の促進対策としてのスキャナ保存でしょう。これまで 3 万円以上
の書類のデジタル化は認められず、各種の厳しい規制が、経理関係、税務関係書類の IT 化を拒
んできたのですが、今回その障壁を取り払い、スキャナ保存を全面的に解禁して、関係書類のデ
ジタル化を徹底する事としました。その結果、企業のすべての経理、会計、税務関連書類のデジ
タル化、データベース化が進み経理処理効率化が進むとともに、監査業務、調査業務の効率化も
一気に進むことになります。
今回の個人情報保護法の改正も、このような流れと軌を一にしているということができます。
1 個人情報保護法改正の基本的視点(第一条の改正)
今回の改正のポイントは、第一条の改正に表れています。
これまでも、個人情報は権利保護と個人情報の活用をともに考慮するというものでしたが、今回
はさらに次の文章が盛り込まれました。
「個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果
的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するも
のであることその 他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的
とする。」
との改正になります。
この目的の改正は、極めて重要な意味をもちます。法律の作り方として、前文、あるいは第一条
がその法律の目的意味、機能を明確にするためのものとなりますので、ここに基本方針が明確化
されたということができます。
ここで個人情報の活用で「新たな産業の創出」をするというのですから、匿名加工情報の活用に
牧野総合法律事務所弁護士法人
より新しい産業、具体的にはビックデータの活用、解析などによる新たな需要の喚起、新しいサー
ビス事業の開始、ソフトウエア開発、データアナリストによる新たな価値の創造など、さまざまな場
面が考えられるでしょう。
また、「活力ある経済社会」の実現という目的からは、現在の停滞した事業の足かせを取り払っ
て、活力が出てくる仕組みを構築する事も読み取れます。従来の事業活動も活性化させる、という
決意が明示されたということです。
2 個人情報の定義(第 2 条)関係
個人情報の内容は、
① 個人識別符号
特定の個人を識別することができる文字、番号、記号その他の符号
② 要配慮個人情報
本人の人種、信条、病歴、犯歴など差別偏見のきっかけになるような記
述の含まれた個人情報
①この定義が追加されたのは、従来の個人情報の定義に加えて、番号や記号で個人
が識別できるケースがあることに対応したものと思われ、②については「ヘイトスピーチ」を
はじめとして、権利侵害、不利益対応が起きないように配慮した結果と考えられます。
③ 匿名加工情報、匿名加工情報取扱事業者
今回の改正の重要なポイントの一つが、この匿名情報の活用という制度を採用したことで
す。この概念は、もとの個人情報を加工した結果、その加工後の情報そのものからは、特定
の個人を識別できないということ、さらにその情報からは当該個人を復元できないこと、が必
要な条件となっています。
特定の個人を識別できる識別符号、識別情報を削除するなど、一定の基準(個人情報保護
委員会があらかじめ定めたもの)を満たす加工が行われることが予定されています。その結
果、特定の個人が識別できなくなるわけです。
また、加工方法によっては、何らかの情報が付加され、其の情報を活用することで元の情
報が復元される場合が考えられることから、そうした復元ができないもの、との条件も付され
ています。暗号化などの場合、確かに識別性がなくなりますが、ある鍵があれば復元できる
ため、そもそも加工が無いのと同じに扱われてきましたが、今回その点も含めて整理され、復
元できるようなものは匿名加工情報とは言わないということになったのでしょう。
次に、匿名加工情報取扱事業者という定義を確立し、その者に対しては識別行為を禁止す
るなど、一定の義務を課すことにしました。この事業者とは、匿名加工情報をデータベース化
して、これを自らの事業の用に供する、利用する事業者としました。
3 個人情報取扱事業者が匿名加工した場合
従来の個人情報取り扱い事業者であって、今、保有している個人情報から、匿名加工情報を取
りだし、第三者提供を行おうとする企業は、以下の定めを守りながら、これを提供する事が認めら
牧野総合法律事務所弁護士法人
れています。
(1)匿名加工情報の作成(36 条 1 項)
まず、作成するに当たっては、個人情報保護委員会規則で定める基準に従って、加工する
ことが必要です。
(2)安全管理措置(同法2項)
事業者は、削除した識別情報や、加工方法が漏えいしないように安全管理措置をとらなけ
ればならないとされています。
(3)情報項目の公表(同法3項)
事業者は、情報を加工した場合には、匿名加工情報としてできあがった情報について、個
人に関する情報項目(たとえば年齢、職業、乗降駅名、出身大学など)を公表することが必要
です。
なお、生年月日や住所などは、職業や乗降駅情報などの他の情報との組み合わせでは、
特定の個人が識別できる可能性もあるでしょうから、今後書かれる規則には、そうした詳細
情報を残す事を制限する事項があげられるでしょう。
(4)第三者提供(同法4項)
事業者は、保護委員会規則の定めに従って作成した匿名加工情報を、本人の同意を得る
ことなく、第三者に販売、頒布、提供、移転する事ができることになりました。
その際に必要なのは、第三者提供を明記するとともに、第三者に提供する匿名加工情報
に含まれる個人に関する情報項目(3項と同様)と、第三者への提供方法を、公表しておくこ
とが必要となります。
(提供の相手方への告知義務)
事業者は、匿名加工情報を第三者に提供する場合には、その第三者に対し、提供にかか
る当該情報が匿名加工情報であること、すなわち、もともとが個人情報ではない抽象情報と
して保有しているものではなく、提供者の手元においては加工前には個人情報であったもの
を、提供者が加工したものであること、もともとは個人情報であったものであるから、復元のリ
スクがあり、従って、復元、識別作業をしてはならない、という義務を課すことを目的としたも
のです。
(5)事業者が、匿名加工情報を利用する場合(同法5項)
個人情報取り扱い事業者が、自ら保有する個人情報を加工して、匿名情報とした場合に、
それを自ら利用しようとする場合には、その匿名加工情報の元となった情報の個人を識別す
るために他の情報などと照合してはならない、とされています。
分かりにくい表現ですが、一旦匿名加工情報とした場合は、それを元へ戻してはならず、
また、それを識別情報化してはならない、ということです。ただ、実際には、元の個人情報を
保有し、利用目的に従って利用しているはずですから、その必要性には乏しいと考えられま
牧野総合法律事務所弁護士法人
す。むしろ、問題は、匿名加工情報を他の情報と照合してはならない、ということを注意したも
のといえます。
(6)適正取扱措置の公表(同法6項)
個人情報取扱事業者は、これまで利用してきた個人情報を基礎に、匿名加工して利用す
る場合には、安全管理措置をとっていること、さらに匿名加工にかかる適正措置をとり、苦情
処理などの手続きについて公表しなければならない、としました。
4 匿名加工情報の転売(同法37条)
匿名情報を取り扱い事業者が、他から取得した匿名加工情報を第三者に転売する場合には、
自ら作成して販売するのと同様に、加工後のデータに残る個人にかかる項目、提供方法につい
て公表しておくこと、及び転売先に対して、その情報が匿名加工情報であることを示しておく必
要があります。
これは、自ら加工して販売する場合の同法36条4項と同じ趣旨を示したものといえます。
5 識別行為の禁止(同法38条)
匿名情報をデータベースにして利用するもの(匿名加工情報取扱事業者)は、元の個人情報
を復元したり、その本人を特定することを目的として、その匿名加工データの加工方法にかかる
情報を取得してはならず、また、他の情報と照合してはならない、としています。ここで禁止され
るのは、あくまでも個人を特定する目的で復元や照合をすることです。
従って、一般的なデータ解析の手法を駆使して、匿名加工情報のデータを解析したり、匿名
加工情報相互の突き合せを行い、あるいは比較検討するなどして、データから「類型的」な人の
行動パターンを読み取るといった作業は自由に行うことができます。
6 安全管理措置(同法39条)
匿名加工データベースを利用するものは、安全管理措置を実施し、適正取り扱いの措置を講
じて、その内容を公表する必要があります。
7 罰則
今回の改正で注意すべき点に、罰則の変更があります。
(1) データベース等を持ち出し、処分した場合1年以下の懲役、50万円以下の罰金の規定が新
設されました(同法83条)。
これまで、持ち出しなどに対する直罰制度はありませんでしたから、持ち出した者は主に民
事事件で処罰されるか、例外として刑事事件として業務妨害、不正競争防止法違反として捕ら
えられる可能性がありました。なお、不正競争防止法、同営業秘密管理指針の改定により、同
牧野総合法律事務所弁護士法人
法による処罰可能な範囲が広がりましたので、注意が必要です。
(2) 従来の行政命令違反行為の拡大(同法85条)
これまで、命令に対して違反したものに対し、罰則がありましたが今回の改正では、その範囲
を拡大し、報告せず、虚偽報告をしたものに加えて、質問に対して答弁せず、虚偽答弁を行い、
検査を拒み、妨げ、軽視した場合にも同様に処罰があるとしました。
まとめ
今回の個人情報保護法の改正は、多岐にわたりますが、最大のポイントは、匿名加工情報の徹
底した利活用が可能になったことでしょう。個人情報の利用変更に対しては、本人の同意が必要
とし、かつ、匿名化行為自体に対しても、匿名後の情報売買に対しても、利用目的の縛りと、本人
同意の必要性を堅持してきたこれまでの見解を180度変更し、一定の要件、個人情報保護委員
会規則の基準を満たすことで、また、匿名加工情報の取り扱いについての公表を行うことで、本人
の同意なく、情報を利活用できることになったのです。
果たして、この改正で「新産業の創出」になるか、また、「活力ある経済社会」が出来上がるか、
まだまだ未知数が多く分かりませんが、大きな第一歩が踏み出されたことは間違いないでしょう。
以上
このサイトのトップへ
牧野総合法律事務所弁護士法人