個人情報保護法の改正のポイント
このパネルディスカッションが行われたのは、折しも個人情報保護法改正案が閣議決定された2日後。報道で関心が高まり、会場は満員の聴衆で埋め尽くされた。
佐野究一郎氏(経済産業省 商務情報政策局 情報経済課長)
なお3月10日になされた閣議決定に該当する法律とは、厳密には「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律案」となる。いわゆる「個人情報保護法」と「マイナンバー法」だ。これらは今後2つセットで国会審議が進むもよう。
モデレーターの玉井克哉教授は冒頭に「今後パーソナルデータを利活用するビジネスがどうなっていくか。(重要な論点となる)プライバシーに関しては次回以降に回し、今回は法改正を契機に(アベノミクスの)第三の矢のひとつとしてビジネスを支えるかどうかなどを考えていきたい」と切り出し、ディスカッションでは法改正が経済に好影響を与える可能性を中心に議論を交わした。
経済産業省の佐野究一郎氏は「今回の法改正で期待されているのは匿名加工情報。どこまで加工するかなど民間で議論を積み上げていくのが大事だと思います」と話した。
パネルディスカッションというものの、多くの時間は板倉陽一郎弁護士による個人情報保護法改正案について割かれた。板倉弁護士は「オレオレ(我流)解説ですが」と笑顔で前置きしつつ、新旧の条文を示しながら細かく解説した。板倉氏が指摘した個人情報保護法改正のポイントは以下の点になる。
1. 個人情報の定義の明確化
現行法に比べて改正案では個人情報がより細かく定義されている。従来の定義に加え、「個人識別符号が含まれるもの」が追加された(新第2条1項二)。個人識別符号(新第2条2項)とは身体的特徴やカードの利用履歴などで個人を識別できるものが該当すると考えていいだろう。
また現行法のガイドラインで「機微(センシティブ)情報」として言及されているものが「要配慮個人情報」として、より細かく整備されている(新第2条3項)。具体的には本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実など、配慮を要する個人情報となる。
2. 適切な法律の下で個人情報等の有用性を確保
改正案で重要なキーワードとなるのが「匿名加工情報」(新第2条9項)。これは特定の個人を識別することができないように加工したものや、個人情報を復元することができないようにしたものにあたる。ただし現時点では「仮名化すれば匿名加工情報か」、「匿名加工情報かつ個人情報がありうるか」、「復元できないようにとはどういう状態か」などの問題があり、今後さらに議論を深めていくことになりそうだ。
また認定個人情報保護団体は個人情報の適正な取り扱い確保のために、個人情報保護指針を作成すること、届出することなどが明記されている(新第53条)。
3. 個人情報の保護を強化
改正案では「記録を作成しなければならない」とトレーサビリティの確保について明記されている(新第25条)。ただし行政機関等が間に挟まるとトレーサビリティが切断されることになっており、独立行政法人等を一律に除いてよいのかが問題視されている。また外国にある第三者への提供、クラウドの扱いも議論の余地がありそうだ。
さらに「不正な利益を図る目的で提供し、又盗用したときは、1年以下の懲役又は50万円以下の罰金に処する」と不正な利益を図る目的による個人情報データベース等提供罪が新設された(新83条)。
4. 個人情報保護委員会の新設及びその権限
改正案で個人情報保護委員会が新設され、定員、権限などが明記された(新第5章)。
5. 個人情報の取り扱いのグローバル化
改正案では国境を越えた適用(新第75条)、外国執行局への情報提供(新第78条)などグローバル化を想定した規定が新設された。また外国にある第三者への個人データ提供に関する規定(新第24条)も新設された。ただし同等性認定の扱い、違反した場合の実効性などにおいて議論の余地がありそうだ。
6. その他改正事項(オプトアウト、小規模取り扱い事業者)
改正案では本人の同意を得ない第三者提供(オプトアウト規定)の届出や公表に関して厳格化(新第23条2項)された。これは昨年起きた顧客情報漏えい事件をうけたもの。オプトアウトで合法化されている業者は委員会により公表される。またオプトアウトで利用目的を変更する場合に関しては「変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない」(新第15条2項)と変更された。
個人情報取扱事業者に該当しない小規模事業者(管理している個人データが5000人未満など)に関する規定も新第2条4項、5項、改正法附則11条などで若干変更が施されている。
