個人情報保護法改正…変更点やデータ取扱いの注意点とは?

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

個人情報保護法改正…変更点やデータ取扱いの注意点とは?

2015/03/17


 平成17年から全面施行された個人情報保護法は、数々の個人情報漏洩事件を明るみに出す大きなきっかけになったと同時に、さまざまなITサービスの利便性をプライバシーに関わるリスクを低減しながら享受できる社会の実現に向けた大きな一歩になった。しかし世界の法制度との解離や曖昧さが問題視され、見直しの必要性がかねてより指摘されてもいた。3月10日に改正法案が閣議決定され、記事執筆時点ではまだ内容が公開されていない段階だが、法案とその審議経過を正しく理解する意味でも、いま、何が問題とされているのかを整理しておきたい。今回は、昨年12月に公表された「改正骨子案」(以下「骨子案」)に沿って、改正のポイントを紹介していく。

個人情報

きっかけの1つはSuica乗降データの第三者提供

 個人情報保護法改正のポイントは3つある。1つはパーソナルデータの取扱ルールの明確化、そして国際的なパーソナルデータ保護制度との整合をとること、さらに違反事業者に対する法執行の強化だ。

 ◯パーソナルデータの取扱にかかわるトラブル事例 
まず1つめのパーソナルデータの取扱ルールの明確化に関しては、1つの象徴的な出来事があった。2013年の、JR東日本が「Suica」の乗降履歴情報を日立製作所に販売していたことが明らかになった事案だ。本人の同意なしに個人情報を第三者に提供していたとして社会的に指弾されることになったのだが、JR東日本は「提供したのは分析用データ」であり、一定レベルの匿名化処理がされて特定個人を識別できない状態だと評価しており、「個人情報」にはあたらないという認識だった。乗降履歴データは、氏名や電話番号など個人を識別する情報を削除したうえSuica IDも別の識別IDに変換していた(図1)。

図1 2013年のJR東日本から外部へのSuica情報提供の流れ
図1 2013年のJR東日本から外部へのSuica情報提供の流れ
※組織、作業環境、スタッフ(アクセス権限)、システム
2013年7月25日東日本旅客鉄道株式会社 公表の「Suicaに関するデータの社外への提供について 」を参考に編集部作成。

 しかし、情報提供の件が報道された後、JR東日本はSuica利用者からの希望に応じてデータの販売、譲渡を個別に取りやめる「オプトアウト」の受け付けを始め、やがて批判の高まりに応じて両社は情報の授受や利用を停止した。同年9月に「有識者会議」を設置して取扱について議論を重ね、2014年2月にまとめられた「中間とりまとめ」では、個人情報保護法違反とは言えないものの、事前に十分な説明や周知を行わなかったことなど、利用者への配慮が不足していたことが問題視されたため、現在も情報提供は行われていない。この経緯で個人情報の定義における特定の個人の識別性の論点について、専門家の間でも解釈に幅があることも明らかになった。

◯海外とのデータ保護レベルの違いがもたらす弊害
 また改正のもう1つのポイントである海外制度との差について、典型的なのはEUの「データ保護指令」との差だ。EUでは個人データ保護の権利は基本的人権の1つとして捉えられており、EUと同等のデータ保護制度がない国へのパーソナルデータの移転は認められない。現行の日本の制度はEU基準では不適合になってしまう。つまり例えば日本企業がヨーロッパに進出して拠点を設立したとき、その顧客データはむろんのこと、従業員管理のための情報すら日本に送信できないということだ。従来は特例的な方法で本人の同意をとったり、個別に契約を締結したりして情報送信が認められてきてはいるが、前者は国によっては労組の同意が必要であったり、後者は第三者機関の承認が必要で、契約のための弁護士費用や承認にかかる時間等が問題になっている。

◯法執行強化の必要を感じさせた大規模漏洩事件
 改正のさらに1つの背景は、昨年の大規模個人情報漏洩事件で誰の目にも明らかになったように、情報を流出させた当人が罪に問われる一方で、情報を買った名簿業者は、その存在や売買事実が明らかなのに罪に問われないという、法の網の目の粗さが知れ渡ったことだ。

 こうした3つのポイントが現行法の主な弱点とされ、改正案が作成されている。以下に、改正案の骨子について見ていこう。


1

個人情報保護法改正案の骨子

 個人情報保護法改正の基本方針(大綱)は昨年6月に公表され、12月に骨子案が発表されている。その骨子案をベースに実際の法律条文が作成されており、骨子案がそのまま条文になるわけではないが、ベースになることは間違いない。法案でチェックしておくべきポイントを知るためにも、ここで骨子案の概要を紹介していくことにしよう。

1-1

個人情報の定義はどうなる?

 現行法と骨子案の個人情報の定義を見てみよう(図2)。

【現行法】
「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
【骨子案】(現行法の定義に以下を追加)
生存する個人に関する情報であって、次のいずれかに該当する文字、番号、記号その他の符
号のうち政令で定めるものが含まれるものを個人情報として新たに位置付けるものとする。

(1)

特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した符号であって、当該個人を識別することができるもの(例:指紋データ及び顔認識データ)

(2)

個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行される書類に付される符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は付されるもの(例:携帯電話番号、旅券番号及び運転免許証番号)。

図2 「骨子案」の個人情報の定義
図2 「骨子案」の個人情報の定義
2014年12月19日内閣官房IT総合戦略室 パーソナルデータ関連制度担当室「パーソナルデータの利活用に関する制度改正に係る法律案の骨子(案)」
■顔情報は個人情報なのか?

 指紋や顔などの生体情報は、いったん特徴がデータ化されて流出してしまうと元の情報の変更ができないので取り返しがつかない。特に、いま社会で利用が広がろうとしているのが顔認識を利用したシステムだ。施設内を通行する人の動線把握や年齢、性別の推定を行い、マーケティングなどに役立てるシステムはすでに実用化が進んでいる。もしこれが個人特定できる情報と結びついたら、個人の行動が逐一監視できることになり、プライバシー保護上問題が大きい。
 ちなみに顔認識データは、主に額から目の周辺画像の特徴によって、データベースにその人の顔データがある場合には高い精度で一致を検出できる。以前Facebookの画像からの顔認識機能が話題になったが、米カーネギーメロン大学が写真撮影に同意した人の顔写真をFacebookのデータと照合したところ、1/3の人のプライベート情報(社会保障番号の一部を含む)がわかったということだ。個人情報保護法施行から約10年間でソーシャルメディアは急速に普及しており、そこから得られるプライベート情報は膨大だ。たとえ本人がプライベート情報を公開していなくても、友達のリンクと投稿を丁寧にたどればさまざまな関連情報が手に入る。
 これは何も顔画像に限ったことではなく、物品の購入情報やGPSによる特定時間帯の位置情報、あるいは上の例のような特定駅での乗降情報など複数の情報をSNSの情報に突き合わせれば、個人特定は不可能ではない。そこで骨子案では購買履歴や移動履歴も個人情報としようとしていたが、容易に他の情報と照合できるかどうかは微妙なところで、現在のところはこれらは氏名などとセットになっている場合以外は個人情報から除外される見込みだ。法案でどうなるかが注目される。

コラム:顔認識にまつわるトラブル事例

 昨年4月に情報通信研究機構(NICT)が、JR大阪駅ビルでカメラ撮影した人の流れを追跡したデータを収集して防災目的に役立てようという実験を行おうとしたところ、市民からの抗議の声が上がり、実験を取りやめる事態になった。この件は第三者委員会によって検討され、民法や個人情報保護法には違反していないが、実験実施には(1)撮影回避手段を設けること、(2)映像センサの存在・稼働を施設利用者に明らかにすること、(3)安全管理措置を徹底すること、(4)実験に関する計画・目的・手段等を丁寧に説明することが提言された。NICTはこれを受け、昨年11月から夜間の一般利用者が入れないエリアにおいて文書で同意を得たエキストラのみによって実験を再開した。 また、商業施設などでは、顔画像を利用して性別や年齢を推定してマーケティングなどに役立てる取り組みが行われており、個人を特定しはしないものの、やはり事前通知や回避が難しいという課題がある。


■携帯電話番号は個人情報から除外?

 その他、個人ごとに与えられる符号も個人情報とされている。免許証番号、パスポート番号などがそれにあたる。例示では携帯電話の番号も示されているが、こちらは民間事業者が付番していて強制的なものではなく、本人が変更できるとして除外される可能性がある。また今年から付番が始まるマイナンバーは、「特定個人情報」となり、個人情報保護法よりも厳重な保護が規定されている。
 なお、家電製品はじめ多くの個人使用機器の製造番号はどうなのかは気になるところだが、こちらは付番の目的が個人の特定とは大きく異なるので個人情報にはあたらない見込みだ。

セキュリティ情報局にご登録頂いた方限定で「個人情報保護法改正…変更点やデータ取扱いの注意点とは?」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

個人情報/個人情報保護法改正…変更点やデータ取扱いの注意点とは?」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「個人情報」関連情報をランダムに表示しています。

個人情報」関連の製品

機密情報ファイルの漏洩対策 DataClasys(データクレシス) 【ネスコ】 FEREC 【ネットスプリング】 情報漏洩対策+資産管理ツール MaLion 5 【インターコム】
暗号化 UTM IT資産管理
様々なファイルの暗号化・利用権限設定により、情報漏洩を防止するDRM・IRM製品。権限者は暗号化したまま通常操作で利用可能。海外拠点からの二次漏洩も防止できる。 IDとパスワードによる「ユーザ認証」「アクセスコントロール」「ログ収集」を1台で実現するアプライアンスタイプのLANアクセス管理システム。 情報漏洩対策とIT資産管理・SAMを網羅したクライアントPC運用管理ソフト。充実した操作監視・制限機能や管理者負担の軽減に配慮した導入・運用支援機能が特長。

個人情報」関連の特集


「顧客情報が漏洩したらどうしよう…」不安を抱えていた担当者が導入したのは、月間2万円で利用可能なファ…



「メールセキュリティアプライアンス」・・・いざ導入する際の必須検討項目とは!?運用体制・利用環境・コ…



電子文書の管理を怠っている企業は、情報漏洩など様々なリスクを抱えることになります。こうした課題に有効…


個人情報」関連のセミナー

半年前の情報はもう古い!ランサムウェア最新対策セミナー 【主催:ソフトバンク コマース&サービス/協賛:マカフィー】 締切間近 

開催日 12月9日(金)   開催地 大阪府   参加費 無料

猛威を振るい続けるランサムウェア。近年よく聞かれるようになりましたが、かなり古くから存在する攻撃手法の1つです。常に進化・変貌を重ねており、個人から大手企業まで…

プライバシーマーク内部監査員養成講座 【ハピネックス】  

開催日 12月21日(水)   開催地 東京都   参加費 有料 2万1600円(税込)

内部監査はJISQ15001要求事項によって実施が義務付けられています。内部監査はJISQ15001の要求するPMS(Personal information …

ハンズオンで学ぶ!PC資産管理と情報漏えい対策 【エムオーテックス】  

開催日 12月15日(木)   開催地 愛知県   参加費 無料

マイナンバー制度の開始や個人情報保護法の改正に伴い、お客様の情報セキュリティの重要性は日に日に増しています。情報漏えいのリスクは、従来からの内部からの情報漏えい…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30007536


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ