2017年 1月

企業のITセキュリティ講座

改正個人情報保護法で何が変わる?

テキスト/吉澤亨史

2017年から、「改正個人情報保護法」が全面施行される。これは国により施行される「法律」であり、全面施行されるとほぼ全ての企業が遵守しなければならない。ここでは、そもそも個人情報保護法とは何なのか、改正によってどこが変わるのか、企業にはどのような対応が求められるのかについてまとめていく。

個人情報保護法とは

個人情報保護法は、正式名称を「個人情報の保護に関する法律」と言い、2005年に初めて施行された。文字どおりに、企業が個人情報を守るために行わなければならないことをまとめたもので、個人情報の漏えいを防ぐことを目的としている。もちろん、2005年以前にも個人情報の漏えい事故は発生していたが、紙媒体による漏えいがほとんどであり、それを入手して悪用する方法も勧誘の電話やダイレクトメールの送付など、深刻な被害に結びつくケースは多くなかった。刑法など他の法律で対応できていたとも考えられる。

しかし、インターネットやパソコン、さらにはスマートフォンなどITの普及により、漏えいする個人情報が電子的なデータになった。漏えいしたデータはインターネットを介して世界中に拡散するようになり、売買することが可能となった。また、個人情報に何らかのサービスを利用するためのIDとパスワードといったログイン情報が含まれていれば、本人になりすましてサービスを利用され、クレジットカード情報が含まれていれば勝手に買い物をされてしまう。個人情報の価値が高くなったわけだ。

こうしたことを背景に、個人情報保護法が成立した。2005年に施行された最初の個人情報保護法は、個人情報漏えい事件の被害から消費者を守るために、個人情報を取り扱う事業者に対してその取り扱い方法を定めたものであった。そして今回、施行から10年を経て改正個人情報保護法が成立、2017年より全面施行される予定となっている。

改正個人情報保護法の施行スケジュール(出典:内閣官房)

改正個人情報保護法の施行スケジュール(出典:内閣官房)

目次へ戻る

2017年から変わること

改正個人情報保護法では、個人情報の定義が改められた。改正前は「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により、特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」とされていたが、そこに指紋データ、顔認識データ、遺伝子データ、移動履歴、購買履歴などが加えられた。

また改正個人情報保護法では、多発する個人情報漏えい事件への対策という「防止策」だけにとどまらず、個人情報を「活用」するという観点が加えられている。その背景には、スマートフォンのさらなる普及、そして急速に展開するIoTがある。IoTは「Internet of Things」の略で、「モノのインターネット」とも呼ばれるものだ。

IoTは、インターネット接続技術とセンサー技術の進化により、さまざまなモノがインターネットに接続され、データをやり取りするというもの。取り扱う、外出先からインターネット経由でエアコンの冷暖房を入れておいたり、お風呂を沸かしたり、帰宅時には人を感知して部屋の照明がつくといったことが実現する。また、スマートフォンに内蔵されるGPSや決済機能などによる位置情報や購買情報も大量に記録されている。

IoTにより収集される情報を分析することで、人の動きや購買傾向などを知ることができるので、マーケティングや商品開発に非常に有効となる。しかし、IoTのデータには個人を特定できるものもあるので、使い方を誤ると個人情報の漏えいにつながってしまう。そこで改正個人情報保護法では、「匿名化」という概念を導入している。データから個人を特定できる要素をなくすことで、個人情報漏えいの心配をせずにデータを活用できるようにしているわけだ。

もう一つの大きな変更点は、法律の対象となる企業の範囲が拡大されたことだ。改正前は、企業が所有する個人情報の件数が5,000件以上の企業を対象としていたが、改正個人情報保護法ではそれが撤廃された。ほとんどの企業は従業員の個人情報を保管しているため、事実上全ての企業が改正個人情報保護法の対象となったことに注意したい。

IoTのデータが個人情報になるケースイメージ図

IoTのデータが個人情報になるケースも

目次へ戻る

企業が対応すべきことは

改正個人情報保護法の施行後、企業にはどのような対応が求められるのか。まずは個人情報の定義を正しく理解する必要がある。まず、顔認識データなど特定の個人の身体的特徴を変換したデータも、個人情報として明確化されたため、例えば入退室管理に生体認証を使用している場合には、個人の識別データを保護しなければならない。

もちろん、個人情報の管理はより一層強化する必要がある。新たに個人情報データの取得経路を一定期間保存するトレーサビリティーが義務付けられる。これは、いわゆる「名簿屋」対策で、万一個人情報が漏えいしてしまった際に、その経路をたどれるようにしている。

また、個人情報データベースなどの管理者による内部犯罪を「データベース提供罪」として新たに規定した。さらに人種や信条、病歴など本人に対する不当な差別や偏見が生じないよう、これらの情報は本人の同意を得ることを原則義務化する「要配慮個人情報」も設定されたので、これにも注意したい。

IoTデータの活用においては、新たに「匿名加工情報」が設定された。これは、例えば交通系ICカードから得られる移動履歴について、元データは位置情報や時刻などが秒単位まで記載されるが、この位置情報を「度、分」までに、時刻を「○時台」にするなど情報の精度を落とすことで匿名化できるとしている。

同様に購買履歴であれば、店名を「実店舗」と「ネットショップ」に、商品名を「衣料品」「食料品」などカテゴリー名に、価格を「○円以下」などに変更する。これにより、マーケティングや商品開発にIoTデータを活用できるようになる。なお、こうしたデータを活用する際には、オプトアウト規定の厳格化、利用目的の制限の緩和、小規模取扱事業者への対応が規定されている。

改正個人情報保護法の施行は「2017年1月1日以降」とされているが、具体的な施行日は確定していない。しかし、企業は今から対応を進めていく必要があるだろう。まずは、自社にどのくらいの個人情報があるのかを把握し、個人情報のデータはインターネットと切り離されたデータベースに保管することが重要だ。

また、データベースに保管する個人情報データは暗号化しておくことが望ましい。これは、万一個人情報データを盗まれても、中身を見ることができないようにするためだ。さらに、個人情報データにアクセスし活用する場合には、そのログを記録し、だれがいつ、どのデータをどう活用したのかを把握できるようにする。

利活用後に、パソコンなどの端末から確実にデータを消去することも忘れてはならない。情報漏えい事故が発生してしまうと、改正個人情報保護法により罰則が適用されるだけでなく、ブランドの失墜や銀行の信用をなくすなど、大きなダメージを受けることになる。法律を正しく理解し、必要な対策を行っておきたい。

改正個人情報保護法への対応と対策のイメージ図

改正個人情報保護法への対応と対策

目次へ戻る