2020年の第201回国会にて「個人情報の保護に関する法律等の一部を改正する法律案」が成立し、同年6月12日に公布されました。
この改正個人情報保護法の主なポイントは、「個人関連情報の第三者提供での本人同意等確認義務」、個人情報の利活用促進を目的とする「仮名加工情報の創設」です。これらは今回新設された項目です。
匿名情報の第三者による意図しない復元を防ぐ「個人関連情報」
「個人関連情報の第三者提供での本人同意等確認義務」は、巷ではCookie規制と言われていたものですが、義務の対象は「個人関連情報」の定義に該当するものであり、Cookieに止まりません。
この「個人関連情報」とは、生きている個人についての情報で、その情報だけでは個人が特定できない情報です。個人が特定できない情報には他にも「仮名加工情報」や「匿名加工情報」がありますが、これらは別に扱いが定められており個人関連情報とは異なります。個人関連情報を他社(第三者)に提供するときに義務が生じます。
この義務を負うのは個人関連情報のデータベースを事業の用に供している者(個人関連情報取扱事業者)です。実務的には、個人が識別特定できない程度の内容・粒度等の情報を個人から収集・記録している事業者すべてが対象です。
「第三者提供での本人同意確認」が義務付けられた理由はこうです。
個人関連情報取扱事業者が個人関連情報を第三者に提供したとします。その第三者が他の情報、たとえばその第三者が保有している購買履歴とマッチングすることで個人情報保護法上の個人データに復元できる場合があります。これにより本人にとっては思いもよらない形で個人が特定され、本人が不意打ちをうける可能性があるため、それを防ぐことが求められました。
このため個人関連情報取扱事業者は、上記のような事態が想定される場合は、第三者提供にあたり予め本人同意を得ていることを確認しなければなりません。
この「想定」の判断基準などは別途定めるガイドラインで定めることが検討されています。
個人データの利活用をさらに進める「仮名加工情報の創設」
これまでも「匿名加工情報」が創設され個人データの利活用が促されてきました。しかし、匿名加工情報は個人情報とならないよう加工するその程度が厳しく、使い難い面がありました。このため今回、個人情報の加工の程度を抑え利活用しやすくする「仮名加工情報」が新たに創設されました。
「仮名加工情報」は、「他の情報と照合しない限り特定の個人を識別することができない」という程度でよいとされています。これにより通常の個人情報に課せられている義務の一部が軽減されます。具体的には仮名加工情報に加工することで、利用目的の変更を公表すれば目的の変更が自由にできるため、企業内での個人情報の利活用が進むと期待されています。
一方で、仮名加工情報は、定義上はあくまで個人情報とされるため、利用目的の変更条件などの他は、個人情報(個人データ)に課せられる規制を遵守する必要があります。
また仮名加工情報は、法令による場合や共同利用を除き、第三者提供を行うことができないという制約があります。仮名加工情報を幅広に第三者に提供し、ビッグデータとして活用することは想定されていません。
利便性と安全のバランスを求める更なる改正
今回の個人情報保護法改正では、現在の社会状況にあわせ、個人情報の保護と利活用両面でアップデートされましたが、今後も社会状況の変化に応じた改正が進められていきます。今回改正された項目も、技術進化などに伴いさらに改正されていくと思われます。
なお2021年には行政機関個人情報保護法や独立行政法人個人情報保護法と個人情報保護法とを一本化し、各地方公共団体の個人情報保護条例との関係を整理をするための法案提出も予定されています。
今後のビジネスにおいても、こうした動向を踏まえながら個人情報保護法を「使って」いくことが求められるでしょう。