個人データ保護のルールの緻密化がグローバルで進む中、日本はどのようなルール作りを行えばよいだろうか。国際社会経済研究所の小泉雄介主任研究員は、EUなどの諸外国の法令に比べ、日本の個人情報保護法は規定が緩やかだと指摘する。
さらに、小泉氏は個人情報保護法の現状と課題について、図2に示すような分析を行う。
図にみるように課題は多く、規制が緩めで産業界寄りの米国ルールと、厳格なEUルールとの間でバランスを取る必要もありそうだ。
また、EUのデータ保護規則案に日本の法規が現状では合致しないため、場合によっては欧州の顧客情報や自社営業所などの従業員データも日本国内に集中できなくなることもあり得る。EUのルールでも「十分性が認められる」程度に合致するように日本の国内法を変える必要があるだろう。
さらに、個人情報保護の監督は現在産業各分野で管轄官庁が異なる。これを一元化して国際的な窓口にもなり得る第三者機関の設置、「日本版FTC3要件」についての精密な議論が必要だ。ルール違反の監督や罰金の強化などの厳罰化も重要になるだろう。まずは、2014年6月に大綱が示され、夏にはパブリックコメントを募集する運びになる個人情報保護法に注目したい。
EU成立当初、EU加盟国の個人情報保護に関する法制度はバラバラだった。違いを埋めるために作られたのが「EUデータ保護指令」(1995年採択)だ。個人データの保護に関するルールがEUデータ保護指令の基準に達していない場合には、EU域外への個人データの移転を禁じた。
これが大きなきっかけとなり、世界各国で個人情報保護の制度整備が進んだ。しかし、20年近い期間でIT環境は著しく変化し、従来の規定では対応できない部分が多くなってきた。
そこで、EUデータ保護指令を改定するとともに「規則」として格上げを目指すのが「EUデータ保護規則案」だ。2011年11月に非公開ドラフトが成立し、2012年1月に公開、2013年10月に欧州議会の修正案が作られた。現在は審議中で、早ければ年内、遅くとも2015年中には採択されるだろう。
「忘れられる権利」との関連は?
EUデータ保護規則案の第17条として「忘れられる権利と消去される権利」が記された。非公開ドラフトにあった他サイトにコピーされた個人データなどの消去義務はなくなり、削除が求められたことの通知義務のみになった。しかし、2013年の修正案ではこれも削られ、第17条は「消去される権利」のみになるのではないかと考えられている。
データから個人をできるだけ識別できなくするための技術や処理のこと。従来、国の指針などでは主に2通りの方式があるとされた。
氏名や住所など個人を特定できるデータの代わりにIDや仮名を付加し(仮名化)、データ収集元の事業者ではその対応表を持ち、一定の制限された目的と環境下では対応表を利用して再識別化する「連結可能匿名化」(仮名化)の方式と、データ収集元の事業者にも対応表を残さない「連結不可能匿名化」(無名化)の方式だ。
2013年12月には、下記「パーソナルデータに関する検討会」の技術検討ワーキンググループから、「識別非特定情報」と「非識別非特定情報」という新たな区分も示された。
「忘れられる権利」との関連は?
EUデータ保護規則案の修正案では、仮名化したデータは消去請求を含め、本人からの請求に必ずしも応じなくてもよいという規定が追加された。その他、仮名化したデータは事業者の義務が幾つか緩和された。また、無名化されたデータは、そもそも保護の対象外とされる。ただ、これら匿名化措置に関する指針の策定は今後の課題だ。
FTC3要件とは米国連邦取引委員会(FTC)が提唱するプライバシー保護の要件。
(1)事業者はそのデータの非識別化を確保するために合理的な措置を講ずる
(2)データを非識別化された形態で保有および利用し、そのデータの再識別化をしない
(3)非識別化されたデータを他の事業者に提供する場合には、相手がデータの再識別化をしない契約をする
日本の「パーソナルデータに関する検討会」が2013年10月に、FTC3要件を土台にした「日本版FTC3要件」の法的整備を提案した。
「忘れられる権利」との関連は?
個人データの第三者提供の際に「匿名化」「再識別化しないことの透明性確保」「データ提供先との再識別化しない契約」を法制度として強制することになるので、「忘れられる権利」の一部が保障される。ただし、匿名化しても再識別化のリスクはゼロにはならない。そこで非識別化措置のプロセスを定義して、可能な限りのリスク低減を図ることが議論されている。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。