マイナンバー・ガイドラインに続いて、こちらも大注目の個人情報保護法改正の動き。

今年の通常国会に提出される予定とされていて、
去る12月19日には、政府の検討会において内閣官房より
パーソナルデータの利活用に関する制度改正に係る 法律案の骨子(案)
が公表されましたので、今度はこちらについて。


まず、改正骨子の案の概要としては、次の5点にまとめられます。

  1. 個人情報の定義の拡充
  2. 適切な規律の下で個人情報等の有用性を確保するための規定の整備
  3. 個人情報の保護を強化するための規定の整備
  4. 個人情報保護委員会の新設及びその権限に関する規定の整備
  5. 個人情報の取扱いのグローバル化に対応するための規定の整備



1と4については、ふんふんなるほどねーといった内容であまり懸念材料もなく
妥当な方向性だと思うので割愛。
2,3,5について気になるところをピックアップしてみます。



2.適切な規律の下で個人情報等の有用性を確保するための規定の整備

(1) 匿名加工情報(仮称)に関する規定の整備
(ア) 第三者に提供するために匿名加工情報を作成するときは、4の個人情報保護委員会に届け出た上で、個人情報保護委員会規則で定める基準に従い、個人情報から特定の個人を識別することができる記述等の削除(他の記述等に置き換えることを含む。)をするなど、当該個人情報を復元することができないようにその加工をしなければならないこととする。また、匿名加工情報を作成した者は、削除をした記述等及び加工の方法に関する情報の漏えいを防止するために必要かつ適切な措置を講じなければならないこととする。


今回の法改正の最大の注目ポイントは、匿名加工方法についての「基準」ですね。
どんな基準に仕上がるのかは非常に気になるところですが、
例えば人材会社が登録者のデータベースをオープン化するにあたっては、
ある程度プロファイリングできる程度に個人の特徴を残さなければ意味がないので、
相当知恵を絞らなければいけないのは確実と言えそうです。



3.個人情報の保護を強化するための規定の整備

(1) 要配慮個人情報(仮称)に関する規定の整備
本人に対する不当な差別又は偏見が生じないようにその取扱いについて特に配慮を要する記述等(例:本人の人種、信条、社会的身分、病歴、犯罪被害を受けた事実及び前科・前歴)が含まれる個人情報については、本人同意を得ない取得を原則として禁止するとともに、利用目的の制限の緩和及び本人同意を得ない第三者提供の特例の対象から除外する。


ある程度定着していると言える「機微情報」「センシティブ情報」と言い回しを変え、
「要配慮個人情報」という造語をした意図が気になります。法案をつくるにあたっても各所からの陳情に
「配慮」する必要のある規定ですが、OCODプライバシー・ガイドラインから大きく逸れないようにしないと
いろいろと弊害も出てきそう。JIS Q 15001の規定との整理も待たれるところです。


(2) 第三者提供に係る確認及び記録の作成の義務付け
(イ) 個人情報取扱事業者は、個人情報データベース等の第三者提供をしたときは、提供の年月日、提供先の氏名等の記録を作成し、一定の期間保存しなければならないこととする。


構造化されていない数名分の個人情報が「データベース等」に含まれないことを確認したい
ところです。人材業界は非常に大きな影響を受けることになります。
また、公表資料をみると委託による提供は「第三者提供」に含まれるものとされているようですが、
データベースを同期するなど共同利用に近い形式で情報を預託している場合には記録の作成は
免れるのかなど、現段階では妥当な運用を想定しにくい記述でもあります。


(4) 本人同意を得ない第三者提供への関与(オプトアウト規定の見直し)
個人情報取扱事業者は、本人同意を得ない個人データの第三者提供をしようとする場合には、次の事項を、個人情報保護委員会規則で定めるところにより、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出なければならないこととする。
(略)
この場合において、個人情報保護委員会は、その内容を公表しなければならないこととする。


利用目的の変更と第三者提供のオプトアウトについては、既にJIS Q 15001をベースにして
運用している私の勤め先のような事業者にとっては影響がなさそうです。
なお、個人的には、個人情報保護委員会がこれを公表すると、
(語弊があるかもしれませんが)当事者以外の「物好きな外野」によってネット上で執拗に批判され、
結果として事業者や消費者のためにならない事態が生じるおそれがあるのではないかと思います。
また、この「個人情報保護委員会」への届出のために、利用目的と第三者提供の有無について
一元管理されることが半ば必須になると思われるのですが、プライバシーマーク取得事業者
意外でそのような体制を構築できるのか、疑問が湧くところです。


(6) 個人情報取扱事業者による努力義務への個人データの消去の追加
個人情報取扱事業者は、個人データを利用する必要がなくなったときは、遅滞なく当該個人データを消去するよう努めなければならないこととする。


努力義務とはされていますが、明確に規定されたことで、
ビッグデータ活用との関連でいうと、どんなデータが価値を持つのか分析するまでわからない
というのがアナリティクスにおける定説になっていますので、コンプライアンスとのバランスを
どのように考えるのか、多くの事業者が頭を悩ませることになりそうです。



5.個人情報の取扱いのグローバル化に対応するための規定の整備

(3) 個人データの外国にある第三者への提供の制限
個人情報取扱事業者が個人データを外国にある第三者に提供する場合は、当該提供についての本人同意を得るか、次のいずれかの要件を満たさなければならないこととする。(ア) 我が国と同等の水準にあると認められる個人情報保護の制度を有している国として個人情報保護委員会が定める国にある第三者に提供すること。(イ) 当該第三者が本法の規定により個人情報取扱事業者が講じなければならないとされている措置に相当する措置を継続的に講じるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備していること。
※現行の各企業の適切な移転手続きが合法であることを明確化。


事務センターやシステム保守をオフショアで運用している場合に懸念になりそうなのがここです。
中韓、フィリピン、ベトナムあたりが(ア)を満たせないと、オフショアアウトソーシングの潮流に
大変動が起きるかもしれません。