政府のIT総合戦略本部は2014年6月19日、「パーソナルデータに関する検討会」の第12回会合を開催し、個人情報保護法改正に向けた検討会の大綱案を了承した。7月に1カ月間のパブリックコメントを実施し、2015年1月の通常国会を目指して法案の策定を進める。
検討会案では、企業などが個人情報を取得する際に示した利用目的をあとになって変更する手続きについて、目的変更を「本人が十分に認知できる手続きを工夫」するとした。また、取得時から大きく異なる利用目的に変更することにならないよう「実効的な規律を導入する」という記述が加えられた。
個人データを第三者提供する場合についても「現行法の趣旨を踏まえた運用を図る」とした。これらは「プライバシーポリシーを一方的に変更して、オプトアウト方式で履歴情報を第三者提供しようという行動をする者」が現れているという意見に対応したものとみられる。
本人同意を得なくても第三者提供や目的外利用ができる「個人特定性低減データ」については、「特定の個人を識別することを禁止する」と明記。低減データへの加工法は、民間団体が自主規制ルールを策定して、特定個人情報保護委員会を改組して発足する第三者機関が「ルール又は団体の認定等を行うことができる」とした。事務局は、第三者機関による認定のほかに、民間団体による第三者機関への「届け出や登録をすることも含む」と説明した。
ただ、会合では「第三者機関がゆめゆめどこかの団体を認定して、その団体にあとはお任せという形には絶対にしないでいただきたい」という意見が出た。
第三者機関は、改正法成立後に可能な限り早期に設置。「個人情報」の範囲や取り扱いルールの「グレーゾーン」の解消がゆだねられる。第三者機関は、保護対象となる個人情報の「解釈の明確化を図るとともに、個別事案に関する事前相談等により迅速な対応に努める」という。
個人データを第三者提供する際の例外となる「共同利用」については、事務局案に比べて厳格化が格上げされた。共同利用は複数事業者が1つの取り扱い事業者と同じであると認識される場合のみ認められるとした。共同利用の枠組みで別の企業と運営しているポイントカード事業者などは、利用規約の変更といった対応が必要となりそうだ。
一方、検討会案は「継続して検討すべき課題」として、4つの事項を挙げた。1つは個人情報などの保護に特化した新たな紛争処理の体制、2つめは企業が自社のサービス利用者一人ひとりの購買履歴などをプロファイリングする場合の対象範囲やプライバシー侵害抑止の対応策、3つめがプライバシー影響評価(PIA)の実施方法、4つめが個人情報の売買を業としている名簿屋による犯罪行為や消費者被害防止の措置だ。これらの検討は事実上先送りされた。
会合では、遺伝子情報について医療の見地から、個人だけでなく親族にも及ぶ情報であるため不当な差別を防ぐ手立てが必要だという意見が出た。事務局からは、医療分野をマイナンバーでどう扱うか厚生労働省で検討されているとして、厚労省と連携していくという説明があった。今後は改正個人情報保護法の特別法として、医療でのマイナンバー利用のルールや遺伝子分野の立法化が議論されることになりそうだ。
