« JR東日本の8割だいぶ走破した県が増えました。 | トップページ | 個人情報保護法の改正法案を考える その2 匿名加工情報 »

2015年4月 8日 (水)

個人情報保護法の改正法案を考える。その1 「定義の明確化」により個人情報の範囲が広がる?

個人情報保護法の改正案が内閣で了承され、3月20日衆議院に法案番号34号として提出された。現在の個人情報保護法は、2003年に制定され、2005年から施行されているが、制定当時には、マスコミや政党などに適用されないようにとマスコミがかなり取り上げたことや当時問題になっていた住民基本台帳法の住基番号の問題、またプライバシー法のないわが国にとって、プライバシー保護に役立つのではという過剰な期待感などが織り交ざるなかで、それまで個人情報の取り扱いについて自主的にガイドラインを設けていなかった産業界も含めて、情報の収集や提供にさまざまな過剰な反応が発生してしまったことが思い出される。

今回の改正は、個人情報がたびたび漏洩し、情報漏えいした項目によっては、消費者を巻き込む大きな問題になった状況を踏まえ、業法などによって情報の安全管理が進みつつあるが、一部事業者の不適切とも考えられる利用が散見される中で、適正な情報の利用であっても、消費者の感情面での拒否反応が見られることから、慎重な取扱が求められるなどの弊害が生じていることなどが背景にある。特に、産業界を中心に個人情報保護法の改正による個人情報ではない「パーソナルデータ」の利活用の面から強い要望が出されていたものである。

昨年開始された改正作業では、パーソナルデータの利活用の面から、情報の収集・提供につき柔軟な取扱が求められる一方、漏洩したデータを名簿業者が買い取り、多数の事業者に販売している実態が明らかになり、情報の安全管理を図る上でも、不正な情報の収集や違法な個人情報の提供を制限し、個人の利益を保護すべきとする意見が対立し、利用と規制に関するさまざまな方策が提案され、議論されてきたものである。

今回の提出法案の内容を見ると、今までの混乱を反映するように、多数の点で検討会議の専門家の意見や企業の要望が入り乱れ、用語はもちろん、実質的な内容も二転三転したものがある。従って、このままの内容で法律が制定されるのか、それとも国会の法案審議の過程で蒸し返され、最終的に修正等が行われるのか、大変興味深い。

このブログでは、改正法案の検討途上において新聞等で報道されてきた内容と異なる点を中心に、何が問題となっており、今後の業務の取組み上どのようなことに留意すべきかを数回に分けて解説することとしたい。

 

最初に定義の明確化を取り上げたい。

「定義の明確化」というが、個人情報の範囲が広がったと感じる人もいるのではないか。

 

法案では、『個人情報』の定義は、今回2つに分けて定義されている。

一つ目は、今までの定義と実質的に同じである。しかしながら、従来の定義に図画、電磁的記録に記載・記録されたもの、音声・動作等によって表されたものであって、特定の個人を識別できるものが追記された形になっており、個人情報の範囲について、行政や学者などの解釈と条文がほぼ一致することになった。

二つ目が、「個人識別附号」が含まれる情報が個人情報に当たると定義された。「個人識別符号」とは、第一に、特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字・番号・記号等を指すとされているので、いわゆる「指紋認証」「静脈認証」「光彩認証」などに使用されるデータに、個人を識別できるデータが含まれていると個人情報となることは明らかである。

また、「個人識別符号」は、役務提供や商品の販売に関し発行されるカード等に記載されたり、電磁的方式により記録されたりする文字、番号、記号等の符号であって、発行を受ける者ごとに異なるものを割り当てることで、特定の個人を識別することができるものとも定義されており、具体的には、政令で対象となるものが指定される予定であるどのようなものが政令指定されるか現時点では、よくわからないが、たとえば、JRSuica-日立のパーソナルデータ活用の提携で問題になった識別子も年頭に入っているのではないか。また、アプリケーションソフトや端末のシリアル番号が個人識別符号とされ、利用者登録を組み合わせることで個人情報になるとされることが考えられる。また、クレジットカード番号が該当することが考えられる。

この中で指定されると問題となるのは、クレジットカード番号であろう。カード番号は、カード会社ではもちろん個人を識別できる手段があるので、個人情報に該当する。しかし、カード番号だけでは番号載られるであり、個人を特定できないため、個人情報ではないとして売り上げ処理、精算等の業務に用いられている。カード番号は、信用供与を受けた人を示すものであるので、悪用されると消費者に被害をもたらすおそれがあるので、割賦販売法等でカード番号を取り扱う加盟店やその情報処理委託先に対して個人情報に準じて情報の取扱に安全管理義務を課している。もし今後クレジット会社以外でもカード番号を個人情報として扱わなければならないとなると、会員のカードの利用に伴い、販売店は会員に対して収集・利用の目的の明示、アクワイアラや収納代行会社等への情報提供の同意の取得等の負荷がかかり、業務に大きな支障が出る可能性が高い。

割賦販売法の現状の規定の存在、個人情報保護法の改正を受けた更なる安全管理の徹底により、政令指定をされない方向で解決されることが必要と考えられる。

 

ところで、「定義は明確」に記されたが、これによって個人情報とされる情報の範囲は、どうなったのであろうか。

これに対しては、憲法学者やプライバシー保護の観点からは、『実は変わらない』という声が聞こえてきそうであるし、一部の産業界(あえて、この表現を使う理由は、どこかで)からは、『範囲が広がりすぎで、おかしい』という声も聴かれるようである。

その理由は、個人情報の定義に今回明記された『個人識別符号』にある。

次回に『個人識別符号』を取り去ることになる『匿名加工情報』を取り上げよう。

|

« JR東日本の8割だいぶ走破した県が増えました。 | トップページ | 個人情報保護法の改正法案を考える その2 匿名加工情報 »

企業法務」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/1233100/59569543

この記事へのトラックバック一覧です: 個人情報保護法の改正法案を考える。その1 「定義の明確化」により個人情報の範囲が広がる?:

« JR東日本の8割だいぶ走破した県が増えました。 | トップページ | 個人情報保護法の改正法案を考える その2 匿名加工情報 »