2019.08.25 [日]

2020年の改正でどう変わる？知っておきたい「個人情報保護法」の論点

インタビュー

ＩＴの高度化により個人のプライバシーを守るために個人情報保護法が益々重要になっています。2015年に改正され2017年に全面施行された個人情報保護法では、政府に個人情報保護員会が設立されたり、個人情報を扱うすべての業者を規制の対象にしたりと、個人情報を有効活用しつつも個人のプライバシーを保護するための条文が盛り込まれました。

また施行後3年毎に内容の見直しを行う旨も記載されており、2020年には見直し後の案が施行されることになっています。

そこで2019年4月に個人情報保護委員会は中間整理文書「個人情報保護法いわゆる３年ごと見直しに係る検討の中間整理」(https://search.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000186649)を発表しました。その中に記述から2020年の改正に向けた論点項目を紹介します。

1 個人情報保護法改正の３つの論点
2 まとめ

個人情報保護法改正の３つの論点

ここでは以下の３つの論点を紹介します。いずれも中間整理文書から類推した改正項目のため、2020年の改正ではどうなるかわかりません。検討されている論点を知るためのものとして活用してください。

①個人情報の利用停止を企業に請求できる「利用停止権」
②活用が進まない匿名加工情報に代わる「仮名化」
③インターネット広告上での個人情報の扱い方

それぞれの論点を解説していきます。

個人情報の利用停止を企業に請求できる「利用停止権」

個人情報保護法相談ダイヤルでの相談実績やタウンミーティングでは『自分の個人情報を事業者が削除・利用停止しないこと』に対する不満が出ています。またプライバシーマークの審査基準根拠となる「JIS Q 15001」では事業者は顧客の利用停止要求に対応しなければならないとされています。

状況にギャップが発生しているため、事業者の実態を踏まえながらどのような規制がよいかが検討されています。例えば、事業者が利用停止相談窓口を開設し、個人情報の利用を自動で停止する仕組みなどが挙げられます。

活用が進まない匿名加工情報に代わる「仮名化」

2020年の改正でどう変わる？知っておきたい「個人情報保護法」の論点

2017年の改正個人情報では「匿名加工情報」という用語が定義されています。個人データを個人が特定できない形に加工してかつ元に戻せない状態にしたデータのことをいいます。個人の特定が不可なので、匿名加工情報は個人情報には当たらないため、自由に利用できます。特にヘルスケア領域で活用が進んでいると中間整理文書で述べられています。

一方で匿名加工情報は使い方がよくわからないという声や、人材が不足しているという声などが上がっています。GDPR（EUの一般データ保護規則）では、個人情報に該当する前提で、「仮名化」という用語を定義しています。

仮名化データは、追加情報がないと個人を特定できない状態のデータのことです。例えば氏名や住所、電話番号などの個人情報を別の文字列に置き換えた状態などをいいます。置き換えただけなので元に戻すことが可能ですから、個人情報に該当します。

グローバルにデータが流通する時代なので他国の水準に合わせつつ、仮名化にどのようなニーズがあるのかを見極めたのち、改正条文に盛り込まれるかどうかが決定されるでしょう。

■匿名加工情報の加工の仕方

2020年の改正でどう変わる？知っておきたい「個人情報保護法」の論点

匿名加工情報は、元の個人情報に戻せないデータに加工して使用するデータです。氏名やクレジットカード番号は削除し、住所は地域のみに修正します。図中の「少数データ」とは例えば日本最高齢の年齢である人や、症状が極めて稀な病歴など、状態から個人を特定できてしまう情報のことをいいます。

引用元：ＪＣＢ／匿名加工情報とは？

（https://www.jcb.co.jp/service/pop/tokumeikakou.html）

インターネット広告上での個人情報の扱い方

ブラウザーでの自分の閲覧履歴を基にしたターゲティング広告を行なう時に、履歴を追いかけるためのデータは個人情報に該当するか否かが論点になります。例えばブラウザー上でデータ管理に利用するための「クッキー」は、通信の接続状態を管理する識別子として機能する一方で、暗号化した状態で個人を特定できるようなデータも含まれているのが実情です。

技術の進歩が速い領域である一方、何かしらの個人の特定が可能な情報が含まれているため、定義の明確化や規制が明文化される可能性があります。