2017年5月30日、2015年改正個人情報保護法が全面施行となる。プライバシーの保護と、個人データを扱うビジネスとの両立が改正の狙いだ。

 この特集では匿名加工情報や情報銀行構想など、個人データ活用をする際の実務の課題や、日本企業が対応を迫られているEUデータ保護規則の実態を紹介する。今回はデータ活用の目玉として新たに新設された「匿名加工情報」の使い方を解説する。

まず規則やガイドライン、Q&Aに目を通す

 改正個人情報保護法では、法的に公正取引委員会と並ぶ「個人情報保護委員会」が企業への監督権限を一元化。取り扱う個人情報が5000人以下の企業も、法律の適用対象になる。

 ITの発展で多様な個人データが流通することを受けて、個人情報の定義を明確化した。従来からの個人情報の定義である「特定の個人を識別することができる情報(他の情報と容易に照合することで特定の個人を識別することができるものを含む)」に加えて、DNAや顔の容貌、指紋などの特徴をデータ化して認証に用いる「個人識別符号」も個人情報となる。

 個人情報保護員会は改正法の施行準備についてというWebページで、企業向けに改正個人情報保護法の条文や政令・規則、ガイドライン、Q&Aをまとめて公表している。改正法に対応するには、少なくとも規則やガイドライン、Q&Aに目を通す必要がある。

 ただ、これらを読み解くには相応の労力を要する。企業の立場で省庁のルール作りに参画しているオプトの寺田眞治氏は著書 「システム開発、法務担当者のための2015年改正個人情報保護法実務ハンドブック」(日経BP社刊)で「具体的な対応方法は、自社の実態と照らし合わせて考えなければならない」と指摘。個人データの取得から第三者提供、廃棄までの流れに沿って、リスク対策を検討する手法を提案している。

「匿名加工情報」のレポートが続々と公表

 2015年改正法では「匿名加工情報」という類型が新設された。AI(人工知能)やIoT(インターネット・オブ・シングス)などの応用に向けて、匿名加工したデータを利用して新たなビジネスの創出を促すのが目的だ。

次ページ以降はITpro Active会員(無料)の方のみお読みいただけます。