政府が今通常国会に個人情報保護法改正案を提出する。公表された骨子によると、企業などは、購買履歴や移動情報など企業に蓄積された個人情報(パーソナルデータ)について、個人が特定できないように加工をすれば、本人同意なしに提供できるようになる。「ビッグデータ」の活用に弾みをつける狙いだが、一方でプライバシーの侵害を心配する声は根強い。
骨子は2014年6月に政府のIT総合戦略本部に設置された有識者検討会がまとめた大綱を大筋で反映させたもの。2003年に同法が制定されてから初の本格的な改正になる。
一定の条件を満たせば別目的で使えるように
改正の第1の柱は、個人情報の範囲の拡大で、現行法と比べ、指紋など身体の特徴を電子化した情報や、携帯電話や免許証などの番号を保護対象に加えた。GPSなどによる携帯の位置情報を通じて集まる移動や買い物の履歴も、個人の識別につながる場合は保護対象になる。
2番目の柱は、匿名性を上げた情報の利用規定の整備、利用目的変更や第三者提供の制限の緩和など、「ビッグデータ」を活用しやすくすること。今回の改正の最大の目玉といえる。
具体的には、現行法では、情報を集めた時と情報を利用する時で、目的が変わる場合は改めて本人の同意が必要としているのに対し、改正案は、同意がなくても、一定の条件を満たせば別目的で使えるようにする。例えば氏名はすべて削除するが、生年月日の年だけや、住所の都道府県だけに絞るといった「加工」をすれば、他の企業などに提供することができる。ただし、利用目的の変更や第三者提供があり得ることをあらかじめ本人に知らせておくこととし、目的外使用や第三者提供を拒む方法を事前に本人に知らせたり、簡単にわかるようにしたりするとした。
国境を越える情報提供についても、保護法を適用可能に
一方、ベネッセの情報漏えい事件を受け、不正な利益を得るための情報提供を処罰する「個人情報データベース提供罪」を新設。国境を越える情報提供についても、海外の個人情報保護機関と連携し、個人情報保護法を適用可能にすることも明記し、また、人種や信条、病歴、犯罪歴などを含む情報は本人の同意を得ない限り取得や第三者提供を禁止するとした。
こうした個人情報全般に目を光らせる組織として、既存の「特定個人情報保護委員会」を改組し、事業者に立ち入り検査する権限を付与する。例えば名簿業者が個人を識別できないように加工して第三者に情報提供する場合でも、同委員会への届け出を義務付ける。
個人情報を巡っては、技術の発達により、ここ10年ほどで状況が激変。ネットでの閲覧や買い物、行動の履歴を蓄積することで個人の生活や関心事、健康などがかなり把握できるようになった一方、企業がこうした情報を大量に集めるようになり、現行法がカバーできるか否かの判断に迷うケースが増え、トラブルが目立ってきた。代表例がJR東日本のICカード「Suica(スイカ)」情報問題(2013年)で、乗降履歴などを市場調査用として同意なしで他社に提供し、批判を浴びた。経済界などから、加工すれば提供できるなど、データ利用のルール作りを求める声が高まった。
「自分の情報がどのように扱われたかわからない」との指摘
経済界のこうした要請に応えるのが今回の改正の最大の狙いだけに、消費者サイドからはプライバシーについて不安の声も聞こえる。有識者検討会でも、加工された情報の行き先を本人に伝える規定がないことに「自分の情報がどのように扱われたかわからない」との指摘が出たほか、「防犯目的で撮った監視カメラの画像を市場調査に使っていいのか」といった疑問も聞かれた。また、本人の同意なしで個人情報を提供できる例外規定は「生命、身体の保護が必要な場合」に限定されていることについて、日本新聞協会は報道機関への提供も例外規定に含めるよう求める意見書を検討会に提出していたが、骨子には取り上げられなかった。
海外の規制との関係も問題になる可能性がある。例えば欧州連合(EU)は個人情報が国境を越えて流通するのに対応し、データを第三国に移転する際、データの保護が十分か、移転の必要性は明らかかなどを基準に認定し、違反には罰金を科すことを検討している。EUでビジネスをする場合は域外企業もEUのルールが適用されることになるので、「日本での規制に合致していても、日本企業のEU域内での活動に支障が出ないとも限らない」(国際経済関係筋)との指摘がある。その場合、個人情報保護委員会の独立性や権限がポイントの一つになるとの見方もある。
これらの点を含め、改正案の成文化から国会審議の過程で議論になりそうだ。