プライバシーフリークカフェの本、でてます。
「個人を特定する情報が個人情報である」
と信じているすべての方へ』
「プライバシーフリークカフェの記事にはとても重要そうなことが書いてありそうだな…」とわかってはいても、あまりの長さに辟易し、「あとで読む」「長い」「くどい」などと思っていた方、この機会にあらためて、じっくりねっとり、プライバシーフリークの世界を体験してみませんか?
書籍では、各章ごとに訳注、参考URLを記載。また紙の書籍には特別付録「プライバシーフリークの会会員証」がもれなくついてきます。
この1冊で現在、日本で行われている最先端のプライバシー議論がだいたい、把握できます!
→ご購入はこちらからどうぞ!
個人情報保護法がようやく改正
山本 山本一郎でございます。よろしくお願いいたします。プライバシーフリークというような形で活動を過去4回ほどさせていただいて、ついに個人情報保護法が改正になったでござるという話から聞きたいなと思います。2015年9月3日に成立しまして、2年以内に施行ということで、いろいろ思うところもあると思うんですが、ぜひ、鈴木先生のほうから、お考えを伺えればと。
鈴木 そうですね。施行期日は附則の1条に公布の日から起算して2年を超えない範囲内において政令で定めるとありますけど、まあ2年いっぱいかかるのかな。政令のほかに、委員会規則も作らないとなりませんから。ただ、来年の1月1日に個人情報委員会は一足早くスタートするようです。私がここで注目しているのは立入検査が入るっていうところですかね。
山本 重要なところですよね。どこまで実効性があるのか注目です。
鈴木 ええ。立入検査が入ると、やがて裏名簿屋にも調査をかけると。そうすると医療カルテのコピーを売っていたり、銀行の残高情報等も売っていたり、なんかいままではないとされてきたものがリアルに見えてきてしまう。もうすでにありますよね。丸八真綿でしたっけ?これは不正競争防止法上の刑事事件として警察の手が入った関係で発見された漏えい事件でした。
山本 はい。
鈴木 でも当の会社は、まあコピーですから、流出した事実を知らなかったわけです。警察から問い合わせがあって初めて漏えいに気が付いたと。
山本 ということですよね。流出した先から、このデータはどこから?みたいな風邪薬の宣伝みたいな状態になってしまって発覚したという。
鈴木 ええ。これが今度は個人情報保護法でも起きる。何かの事件をきっかけに、立入検査が入ったとたんに、流出物件がわらわらと出てくるのではないかな、と懸念しています。まぁ、施行されればそういうこともでてこようかな、などと思っています。
山本 このあたり、ど真ん中のお話になるのかと思うんですけども、いわゆる、その通報の中で本当は出てはいけない情報が多数出ている事例って過去もたくさんあります。最近の例でいうと、シンガポールに拠点を持つ通販会社で出ていた日本人を中心とした健康情報が出て行ったんじゃないかとか、界隈で問題になりました。いわゆるデータブロガー的な意味で個人に関する情報の売買という点では周辺の問題に飛び火をしているのかなと思いますが、情報に関する法令の強化やですね、それと見合うようなセキュリティ、情報関連のリテラシー各庁面の強化みたいなのがあまり連動していないんじゃないかと感じられるんですが、どうでしょうか?
鈴木 そうですね。まあ企業対応のほうは個々の企業とその専門家にお任せするとして、それを取り締まる方の体制が、これまた、ばらばらなんですよね。
山本 さらに匿名加工情報とは何ぞやという問題もありますし。高木先生どうですか?
高木 今回の法改正の最大の目玉というのは、個人情報保護委員会ができて、立入検査とかできるようになったことですが、そのほかにも、匿名加工情報に加工すれば個人情報を利活用できるようになったなどと、新聞では書かれていますね。そしてもう一つは、ベネッセ事件をきっかけに、トレーサビリティ確保のための第三者提供時の記録義務っていうのができちゃったことなんですけど、実はこれ、問題がありまして、匿名加工情報の制度は、条文の都合上、当初想定されていたものとは違うものになってしまいまして、そこを報道は誤解しているかもしれない。実は、この匿名加工情報の制度、使う必要性がない、誰も使わないんではないかなどと言われているわけでして。
鈴木 匿名加工情報では、いわゆる仮名化データを回せないと、それに保有している間の管理コストがわかっている人は、まあ、「こんなものは使わない」って言っていますが、あまり詳細を知らない人は、「お、匿名加工情報で本人同意なく、いよいよ大量の情報をぐるぐる回すぞ」と、こう、期待感いっぱいです。両者相当ギャップがありますね。
山本 けっこうそのあたり、今回の改正、2年以内に施行で一回試してやってみて、さらに問題があるようであれば随時っていうことでしょうし、あと技術的な進展も今後出てくると思うので、実態にいろいろ合わせて改変していくかと思うんですけども。その辺の権限規則はどうなるのかっていうところも含めてですね、調整していきたいなと……。
鈴木 いや、委員会規則に授権していればまだね、委員会のほうでさじ加減で、私はそのほうが機動的でいいって思ったんですが、法律事項で書いちゃいましたから、あの建付けの中で、まあ、すべては越境データ問題につながるわけですから、米国の匿名化、EUの匿名化を見据えながら、三極でだいたいこれで折り合いがつこうというあたりを目指すためには二次改正という次の改正マターに持っていかざるを得ないんだろうなと思っています。
高木 ここはちょっと、何を言っているのか会場の皆さんにはたぶん伝わっていないと思うんですね。ちゃんと条文を示して、こういう予定だったのにこうなってしまったので、不本意にも使えなくなってしまったと、本当はそういう説明をしないと話が通じないでしょう。
山本 では、ぜひ。
高木 それを説明すると長くなって、たぶん、今日の会場の皆さんには、関心から外れているんじゃないかと思って用意してないです。結論だけ言うと、匿名加工情報の制度はちょっと変なことになっていて、用途は限定的ですよということです。もう一つは記録義務のほうでして、
山本 あら。
鈴木 これはごついですね。
高木 今まで個人データを提供するときには、本人同意をとるか、オプトアウトでってことだったわけですけども、これが今回の改正で、本人同意があっても、提供時にその記録をする義務ができます。誰に渡したのか。そして、受け取ったほうも、誰からもらったというのと、渡した側が正規の方法で手に入れたものかどうかその取得の経緯を相手方に確認して記録する義務ができるという。
鈴木 年月日とね、日付も法律事項なんですよね。
山本 マニフェストですからね。
高木 これ、名簿屋の名簿売買に対してなら、そういう義務を課すのもアリかなという感じですが、そういうものじゃなくて、ごく普通の八百屋さんが隣の魚屋さんに、お客さんの情報を電話帳から一個取り出して口頭で伝えるようなとき、しかも本人の了解を取ってですよ、「お客さんの電話番号、隣の魚屋さんに渡しときますね」って、そういう場合ですらですね、八百屋と魚屋の双方が記録を取らないといけないんですよ。
鈴木 第三者提供の個人データの授受に関して、今回、5000要件っていう、今まで5000より満たない個人データを取り扱っている事業者は個人情報取扱事業者の義務を免ぜられていたんですが、今回の改正で、この裾切条項っていうんですけど、5000要件を撤廃しましたので、とにかく個人情報を扱っていれば全部……、
山本 何であれ、何であれ、何であれ、ですね。
鈴木 何であれ。まあ、もうマイナンバー法の方も例外なくいってますから、合わせて一般個人情報も揃えるということもあるんでしょうか。
ということで、データベース等から、ちょいと、一件でも渡すときに、年月日と提供先みたいなものをもらったときは確認してまた、大学ノートかなんか台帳に記録しとかないと、もう、一発アウトですよね。
山本 おお……大学ノートですね。
鈴木 大学ノートです。
高木 こんな制度、他の国でやってないですからね。
山本 やってないですね。デジタル全盛のこの世の中で、まさかの手書き大福帳。
高木 誰も望んでないことで、これ立法のミスだと思うんですが、残念ながらそのまま通ってしまった。委員会規則でどうにかするといってもですね、
鈴木 法律に書かれちゃってるんで……
高木 どうするんだっていう実は大問題ですが、ちょっとそれもたぶん、今日、お話ししても……
山本 あまりご関心を持っていただけない……
高木 うん、今日のテーマからはずれているかもしれないなと思ってですね。
鈴木 でも、大手企業の方々が多数いらっしゃってますけど、他社とデータ連携していると思うんですよね。いま指摘した問題は零細企業の例でしたけども、大手は大手でデータ連携の中には第三者提供型もあるでしょうから、大量に瞬時にガーっとやってるものの記録作成義務どうするの?みたいな。
山本 それはもう、今回あのメール問題で出てきましたヤフーさんとかも、相当コアなところでそれなりの問題を抱えてらっしゃるような気もするんですけど……
