改正個人情報保護法が成立へ、ポイントは匿名加工情報とトレーサビリティ

　今国会中に成立すると見込まれる「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」（以下「改正法」）は、個人情報の保護強化とパーソナルデータの活用促進の両面から、ビジネスに大きな影響を及ぼす見込みである。なお改正法には、マイナンバーの利用促進に関する事項も含まれているが、本稿では対象としない。

個人情報保護法の改正のポイント

　改正法のポイントは「保護強化」、「活用促進」あわせて6つのテーマに分けられる。以下、その概要を紹介する。

（1）個人情報の定義の明確化
　これまで個人情報に該当するかグレーゾーンにあったパーソナルデータのうち、顔認識データなどの身体的特徴に関するデータと、パスポート番号などの個人を識別する符号の一部が保護すべき対象として明確化される。検討段階では、端末IDや行動履歴データも候補に挙がっていたが、保護対象には含められない見込みである。ただし、今後定められる政令に委ねられており、未だ予断を許さない状況にある。また、「要配慮個人情報」として、人種、信条、病歴などの機微な情報について、特別に保護する規定が新設された。

（2）適切な規律の下で個人情報等の有用性を確保
　本人同意が無くてもパーソナルデータを様々な目的に利用したり、第三者提供したりすることのできる「匿名加工情報」の枠組みが新設される。匿名加工情報は、改正法の最大の目玉であり、ビッグデータビジネスを促進することが期待されている。

　匿名加工情報を活用するには、個人情報から氏名を削除する等の個人の特定性を低減する加工処理（個人情報保護委員会が定める規則に基づく）をした上で、3つの規律（匿名加工情報の取り扱いを公表する、加工処理の方法等の漏えい防止措置を図る、他の情報と照合して個人を再識別しない）に従うことが求められる。

　匿名加工情報が制度化される意義は大きい。従来は匿名処理しても、個人の再識別リスクが残存するために、第三者提供すると個人情報保護法に抵触するおそれがあった。これが改正法によって、合法的に行うことができるようになる。改正法では名簿屋規制（後述）が導入され、従来以上に外部の個人情報へのアクセスが制限されることになるため、匿名加工情報は、提供側、受領側双方にとって重要である。

　一方、匿名加工情報の活用には、厳しい規律への対応が必要で、とりわけ加工処理のルールは、業界ごとの特性に応じて、業界団体等が音頭をとって定める必要がある。新しい官と民による共同規制の試みと言える。このルール作りは、消費者代表等を含めた多様な主体による「マルチステークホルダープロセス」を通じて実施することが想定されている。

　マルチステークホルダープロセスの実証研究は、既に様々な分野で着手されており、試行錯誤を重ねながら、ルール作りの経験が蓄積されていく。制度改正の機会を掴むためには、事業者は自らルール作りに取り組む必要がある。

規制とともに、罰則も創設

（3）個人情報の保護を強化（トレーサビリティの確保等）
　個人情報の第三者提供を行う事業者、第三者提供により個人情報を取得する事業者すべてに対して、データ取引の記録・保存を義務づけする「トレーサビリティの確保」規制とともに、不正な利益を得る目的で個人情報を提供・盗用した者を直接処罰できる罰則が創設された。

　これは、昨年起きた名簿屋への大規模個人情報流出事件を受けて導入された規制である。しかしその中身は、単なる名簿屋対策に留まらず、通常のビジネス活動における個人情報の取引すべてに課されるものとなっており、影響は非常に大きくなる可能性がある。

　個人情報を第三者に提供する場合、その年月日、当該第三者の氏名又は名称等の記録を作成し、所定の期間保存することが義務づけられる。反対に、個人情報を第三者から（本人以外から）取得する場合は、当該第三者の氏名又は名称及び住所等を確認し、その個人情報が、正当な手続によって取得されたものであるかを確認し、提供を受ける年月日と合わせて一連の確認の記録を、所定の期間保存しなくてはならない。

　記録する項目の詳細や保存期間は、別途、新設される個人情報保護委員会が定めることとなっており、実際にどの程度の運用負荷が必要となるかは現時点では予測できない。しかし事業者にとって、個人情報の管理システムや運用手順を、大幅に見直す必要があることは覚悟しておく必要がある。

（4）個人情報保護委員会の新設及びその権限
　個人情報保護法制度を、分野横断的に監督する「個人情報保護委員会」が新設される。現行制度では、各分野の所管官庁が執行を担当する「主務大臣制」と呼ばれる方式をとっているが、改正法施行後は、個人情報保護委員会が一元管理する方式となる。なお一部の専門性の高い分野については、同委員会から権限の委任を受けた官庁が対応できるとされた。

　個人情報保護委員会には、主務大臣には無かった強力な権限が付与される。主務大臣が事業者に報告を求めるだけだったのに対し、同委員会は、立入検査する権限を有する。同様に、事業者に対して助言に留まっていた権限が、指導まですることができるようになる。また、前述の匿名加工情報やトレーサビリティに関する規則はすべて同委員会が定めることとなっている。

　同委員会は、2016年1月にマイナンバーを監督する特定個人情報保護委員会が改組されて発足することになっている。強力な権限を有する同委員会が、実際にどのような振る舞いをするのか注視していく必要がある。

（5）個人情報の取り扱いのグローバル化
　日本国内から外国に所在する事業者への個人情報の移転に対する規制が創設された。これは、欧州連合（EU）がEU域外への個人情報の移転について課している「越境移転規制」に倣ったもので、近年、シンガポールをはじめ、導入する国が相次いでいる。

　まず、相手国が日本の個人情報保護制度と同等の水準にあるか認定することとし、認定されていない場合には、本人から同意を取得する、あるいは、外国に所在する事業者が個人情報保護委員会規則で定める基準に適合する体制を整備するかしないと、データの移転ができないこととなる。この規制は、委託や共同利用でデータを移転する場合も対象となっている。中国をはじめ、海外へデータ入力などをアウトソーシングしている事業者は多く、規制導入の影響は大きいものになる可能性がある。

　また、他のグローバル化対応として、個人情報保護法の海外事業者への適用や、外国の執行当局への情報提供も合わせて規定された。

（6）その他改正事項
　最後に、その他の改正事項として、規制強化となるオプトアウト（＊）運用の厳格化と、活用促進となる利用目的制限の緩和について紹介する。

　オプトアウトで個人情報を第三者提供する事業者は、予め個人情報保護委員会へ、提供の目的、情報の項目、提供方法などを届出することが義務づけされ、さらに届出された情報は、同委員会によって公表されることになる。この規制は、名簿屋対策の一環でもあるが、オプトアウトを利用するハードルは確実に高くなる。

　個人情報の利用目的を変更する場合、現行法では、変更前の利用目的と相当の関連性を有する場合に限定されていたが、改正法では、関連性の解釈に幅を持たせることとなった。例えば、事業者が、省エネ目的で取得した電力データを、安否確認の目的に利用することも可能であると解釈される見込みである。

　改正法は、公布後二年以内に全面施行される。すべての事業者にとって影響は甚大で、迅速に対応に着手する必要がある。