SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press

個人情報保護法改正、データのグローバル活用で企業はどうすべきか?

 個人情報保護法が改正された。影響があるのは個人というよりは企業だ。企業がすべきことは何が変わるのか。またグローバル企業でデータを越境する場合の考慮点は何か。デロイトトーマツサイバーセキュリティ先端研究所が記者向けに説明会を開催した。

個人情報保護法改正で変わること

 2015年9月3日に個人情報保護法改正案が可決、成立した。同月9日に公布。施行は公布から2年以内とされている。まずは法改正に関連して基本的なところを大場氏が整理した。

 主任研究員 大場敏行氏
主任研究員 大場敏行氏

 個人情報保護法改正により、「個人情報」の定義が見直された。改正前(現行法)では以下のように定義されている。

第二条(定義)  この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

 イメージとしては個人情報に該当するものは氏名、生年月日、住所といったところだろうか。しかしIT技術の発展や普及などにより、個人に結びつくデータが出てきて個人情報で「グレーゾーン」的なものが増えてきた。例えば指紋データ、顔認識データ、移動履歴や購買履歴などである。

 改正後(未施行)では、こうしたグレーゾーンにあたるものも個人情報の定義に盛り込まれるようになった。

 単体では個人を特定できないと思われていたデータでも、何かと組み合わせたり、分析すれば特定の個人に行き当たる可能性がある。言い換えるとそのデータに該当する人物が1人に絞られる場合と考えればいいだろうか。

 例えばSuicaやPASMOなどの利用履歴。改札を通過した時間と場所の履歴から個人に行き着くことは可能だろう。購買履歴も特定の時間、店舗、商品名の履歴から誰かに行き当たる。移動履歴や購買履歴の利用は個人を特定するのが目的ではなく、マーケティングで活用するためだとしても、個人に行き着いてしまうのでは問題ではないかと指摘されてきた。そもそもデータの目的外の利用や第三者への提供には原則として本人の同意が必要とされている。

 そこで出てきたのが匿名化のための加工だ。データの精度を下げるように加工するということだ。移動履歴なら時間を「何時何分何妙」から「何時台」にする、購買履歴なら「商品型番XXXXX」ではなく「衣料品」というようにぼかす。

 大場氏は匿名化のための具体的な加工方法をいくつか挙げた。具体的な値を上位の値や概念に置き換える「一般化」、金額を「~円以下」や「~円を超える」など「トップ(ボトム)コーディング」、直接個人を識別可能な属性(氏名など)を削除する、氏名や生年月日などを符号や番号に置き換える「仮名化」、数値属性に乱数的なノイズを加える、レコードやセルの削除など。

 方法はいくつかあるものの、何が必須かどうかは現時点では不確定だ。大場氏は企業における対応例のポイントを挙げた。

  •  基準どおりの加工が行われるよう加工方法を策定する
  •  加工前、加工途中、加工後のデータについて、管理体制やセキュリティ対策の整備など、安全管理のための措置を講じる
  •  苦情を受け付ける体制を整備する
  •  第三者提供にあたって必要な情報(項目や提供方法)を開示する
  •  契約などで提供先に匿名加工情報に関する義務を負わせる

 大場氏は「(改正法は)2年以内に施行されます。企業は制令や規則、業界指針などの動向を注視し、確実な運用ができるように準備する必要があります」と述べた。

次のページ
グローバルの状況――データを越境する場合の考慮点

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7520 2015/12/18 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング