3 脆
1. 個人情報、プライバシー問題
個人情報保護法の改正
●個人情報保護法の改正に向けた動き
●個人情報保護法の改正の理由
・今国会(第189回国会)に以下の法案が提出された。
『個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を 改正する法律案』
・法案提出の理由
個人情報の保護及び有用性の確保に資するため、特定の個人を識別することのできる符号を個人情報として位置付け るとともに、当該符号の削除等により個人情報の復元ができないように加工した匿名加工情報の取扱いについての規 律を定め、個人情報等の取扱いに関し監督を行う個人情報保護委員会を設置するほか、預金等に係る債権の額の把握 に関する事務を個人番号利用事務に追加する等の必要がある。これが、この法律案を提出する理由である。
2003 年 5 月 個人情報保護法 制定
2015 年 3 月 個人情報保護法改正案の国会提出
パーソナルデータの利用・流通に関する研究会(総務省)
2012 年 11 月〜2013 年 6 月
パーソナルデータに関する検討会(IT 総合戦略本部)
技術検討ワーキンググループ
パーソナルデータの利活用に関する制度見直し方針(IT 総合戦略本部決定)
2013 年 9 月〜12 月、2014 年 3 月〜 5 月
「パーソナルデータ関連制度担当室」を設置(IT 総合戦略本部)
2014 年 6 月 個人情報保護改正の内容を大綱として取りまとめ
2014 年 12 月 パーソナルデータの利活用に関する制度改正に係る法律案の骨子(案)
2014 年 3 月 2013 年 12 月
個人情報保護法制定から約 12 年(施行から約 10 年)
当時想定されていなかった個人情報の利活用、ルールの曖昧さ、制度の国際的な調和
パーソナルデータ という概念の創出
匿名化された パーソナルデータの扱いを
技術面から検討
サ イ バ ー セ キ ュ リ テ ィ
ア ニ ュ ア ル レ ポ ー ト
5 2
0 1 4 年 度 の サ イ バ ー セ キ ュ リ テ ィ 関 連 ト ピ ッ ク
●個人情報保護法の法目的の新旧比較
●個人情報保護法の改正のポイント
個人情報の定義の明確化 ・個人情報の定義の明確化(身体的特徴などが該当)
・要配慮個人情報(いわゆる機微情報)に関する規定の整備 適切な規律の下で個人情報などの
有用性を確保
・匿名加工情報に関する加工法や取り扱いなどの規定の整備
・個人情報保護指針の作成や届出、公表などの規定の整備
個人情報の保護を強化 ・トレーサビリティの確保(第三者提供に係る確認および記録の作成義務)
・不正な利益を図る目的による個人情報データベースなど提供罪の新設 個人情報保護委員会の新設
およびその権限 ・個人情報保護委員会を新設し、現行の主務大臣の権限を一元化 個人情報の取り扱いの
グローバル化
・国境を越えた適用と外国執行当局への情報提供に関する規定の整備
・外国にある第三者への個人データの提供に関する規定の整備
その他改正事項
・本人同意を得ない第三者提供(オプトアウト規定)の届出、公表など厳格化
・利用目的の変更を可能とする規定の整備
・取り扱う個人情報が5,000人以下の小規模取扱事業者への対応
【新 改正案】
(目的)
第一条 この法律は、高度情報通信社会の進展に伴い個 人情報の利用が著しく拡大していることに鑑み、個人 情報の適正な取扱いに関し、基本理念及び政府による 基本方針の作成その他の個人情報の保護に関する施策 の基本となる事項を定め、国及び地方公共団体の責務 等を明らかにするとともに、個人情報を取り扱う事業 者の遵守すべき義務等を定めることにより、個人情報 の適正かつ効果的な活用が新たな産業の創出並びに活 力ある経済社会及び豊かな国民生活の実現に資するも のであることその他の個人情報の有用性に配慮しつ つ、個人の権利利益を保護することを目的とする。
【旧 現行法】
(目的)
第一条 この法律は、高度情報通信社会の進展に伴い個 人情報の利用が著しく拡大していることにかんがみ、
個人情報の適正な取扱いに関し、基本理念及び政府に よる 基本方針の作成その他の個人情報の保護に関す る施策の基本となる事項を定め、国及び地方公共団体 の責務等を明らかにするとともに、個人情報を取り扱 う事業者の遵守すべき義務等を定めることにより、
個人情報の有用性に配慮し つつ、個人の権利利益を保護することを目的とする。
参照:http://www.cas.go.jp/jp/houan/150310/siryou3.pdf
参照:http://www.cas.go.jp/jp/houan/150310/siryou1.pdf
1. 個人情報、プライバシー問題
個人情報保護法の改正
●個人情報保護法の改正に向けた動き
●個人情報保護法の改正の理由
・今国会(第189回国会)に以下の法案が提出された。
『個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を 改正する法律案』
・法案提出の理由
個人情報の保護及び有用性の確保に資するため、特定の個人を識別することのできる符号を個人情報として位置付け るとともに、当該符号の削除等により個人情報の復元ができないように加工した匿名加工情報の取扱いについての規 律を定め、個人情報等の取扱いに関し監督を行う個人情報保護委員会を設置するほか、預金等に係る債権の額の把握 に関する事務を個人番号利用事務に追加する等の必要がある。これが、この法律案を提出する理由である。
2003 年 5 月 個人情報保護法 制定
2015 年 3 月 個人情報保護法改正案の国会提出
パーソナルデータの利用・流通に関する研究会(総務省)
2012 年 11 月〜2013 年 6 月
パーソナルデータに関する検討会(IT 総合戦略本部)
技術検討ワーキンググループ
パーソナルデータの利活用に関する制度見直し方針(IT 総合戦略本部決定)
2013 年 9 月〜12 月、2014 年 3 月〜 5 月
「パーソナルデータ関連制度担当室」を設置(IT 総合戦略本部)
2014 年 6 月 個人情報保護改正の内容を大綱として取りまとめ
2014 年 12 月 パーソナルデータの利活用に関する制度改正に係る法律案の骨子(案)
2014 年 3 月 2013 年 12 月
個人情報保護法制定から約 12 年(施行から約 10 年)
当時想定されていなかった個人情報の利活用、ルールの曖昧さ、制度の国際的な調和
パーソナルデータ という概念の創出
匿名化された パーソナルデータの扱いを
技術面から検討
サ イ バ ー セ キ ュ リ テ ィ
ア ニ ュ ア ル レ ポ ー ト
5 2
0 1 4 年 度 の サ イ バ ー セ キ ュ リ テ ィ 関 連 ト ピ ッ ク
『改正法(案)』 法改正でもほぼ変わらない個人情報
1. 個人情報、プライバシー問題●「明確化」された個人情報の位置付け
「個人識別符号」が、それだけで特定の個人が識別できるものとして位置付けられた。
・ビジネスにおいて、顔認識データ、顧客IDなどが、それ単体で管理されることは稀であり、氏名などと容易に照合でき るデータベースにおいて管理されている。
・すなわち、実務上、顔認識データ、顧客IDなどは容易照合性のある個人情報として扱わざるを得ない。
・法改正によって、顔認識データ、顧客IDなどが新たに個人情報として位置付けられたとしても、実務に与える影響は少ない。
●『改正法(案)』に見る個人情報の定義
●個人情報の「明確化」の影響 (定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気 的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。
第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事 項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合 することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令 で定めるものをいう。
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当 該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカード その他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若 しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されるこ とにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
それに含まれる情報 だけで特定の個人が 識別できる。
●『パーソナルデータの利活用に関する制度改正に係る法律案の骨子(案)』P3 より抜粋 参照:http://www.kantei.go.jp/jp/singi/it2/pd/dai13/siryou1.pdf
(定義) 第二条
9 この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定 の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元する ことができないようにしたものをいう。
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元す ることのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を 復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
『改正法(案)』 本人同意なき個人情報の第三者提供
●個人データを『匿名加工情報』にすれば、本人同意なく第三者に提供できる
●匿名加工情報の定義
変換 削除 削除
削除
第三者(受領者) 第三者提供の
同意なし 個人情報/匿名加工情報取扱事業者 (提供者)第三者提供
(販売など) 匿名加工
情報 匿名加工
加工 情報 個人 データ 個人
《注》 個人情報保護委員会規則 で定める基準で加工方法 が明らかになる。現時点で はこの例で良いかどうかは 分からない。
第37条 匿名加工情報を第三者に提供する
場合には、第三者提供をする旨を公表 第37条 提供先に匿名加工情報であることを明示
ID 氏名 電話番号 生年月日 性別 乗降駅名/利用日時
鉄道利用額 物販情報等
IDを変換した識別番号
−
− 生年月日
性別 乗降駅名/利用日時
鉄道利用額
−
加工前 加工後
変換 削除 削除
削除
《注》 個人情報保護委員会規則 で定める基準で加工方法 が明らかになる。現時点で はこの例で良いかどうかは 分からない。
ID 氏名 電話番号 生年月日 性別 乗降駅名/利用日時
鉄道利用額 物販情報等
IDを変換した識別番号
−
− 生年月日
性別 乗降駅名/利用日時
鉄道利用額
−
加工前 加工後
照合 ID
氏名 電話番号 生年月日 性別 乗降駅名/利用日時
鉄道利用額 物販情報等
IDを変換した識別番号
−
− 生年月日
性別 乗降駅名/利用日時
鉄道利用額
−
加工前 加工後
照合 可能
利 用
第36条1項 個人情報に復元することが できないように加工を行う。
第38条 削除をした記述など、および加工 の方法に関する情報を取得し、 または当該匿名加工情報をほかの 情報と照合してはならない。
個人識別符号の置き換えに当たるか?
個人情報に含まれる記述などの一部の削除に当たるか?