政府は、個人情報保護法の改正案を閣議決定した。今国会で審議が始まる。この改正案は、「ビッグデータ」を有効活用するためと報じられている。だが、データを本格活用したい企業は、法改正とは別に、国際規格を基にプライバシー保護の仕組みを実装する方が近道になるのではないだろうか。
個人情報保護法の改正については、政府のIT総合戦略本部が2013年9月から2014年12月にわたってパーソナルデータ検討会を計13回開き、有識者の意見を集めた(写真)。その後、紆余曲折(うよきょくせつ)を経て、改正案を国会に提出した。
法改正案の目玉は大きく3つある。1つは、何が個人情報に当たるかという「グレーゾーン」の解消だ。改正案や要綱によると、「個人情報」の定義に「個人識別符号が含まれるもの」を加え、今後の政令で定める。
コンピュータで大量のデータを処理する際に割り振る識別子(ID)にひも付ける情報によって、プライバシーへの影響は異なる。それを政令で定めていくとみられる。
法改正の目玉の2つめは、「個人情報保護委員会」の新設だ。業界ごとに所管省庁の大臣が分かれていた権限を一元化して、国家公安委員会や公正取引委員会と法的に並ぶ独立した組織となる。委員会は、企業に報告や資料提出を求められるほか、立ち入り検査もできる。また、こうした権限を所管大臣に委任できる。
「匿名加工情報」の活用は委員会次第
目玉の3つめは、世界でも初めてのデータ類型である「匿名加工情報」の新設だ。個人を識別できないよう加工して、なおかつ個人情報を復元できないようにしたデータだ。企業が集めた顧客のデータを、本人の同意がなくても他社に提供できる枠組みとして作られた。
匿名加工情報は、IoT(Internet of Things、モノのインターネット)などで、センサーが自動的に集めたデータなどへの適用が想定されている。個人にとっては知らない間に収集されるデータもあり、実際問題として同意を得にくい場合もある。そこで本人の同意の代わりに、データを匿名加工情報にすれば第三者に提供できる。こうした企業のニーズに応えようとするものだ。
