改正個人情報保護法のタイトルを描いたイラスト

【個人情報保護法】2022年の法改正がめざす“あるべき姿”とは?

世の中で話題のキーワードをDNPのプロフェッショナルが解説する「トレンド講座」。今回のテーマは、2022年4月に全面施行された「改正個人情報保護法」です。企業が生活者一人ひとりに役立つサービスを提供するうえで、今や欠かせない個人情報ですが、新たな枠組みによってビジネス活用にどのような変化があるのでしょうか。2002年に個人情報保護法を起草するワーキンググループに参加して以来、個人情報保護に特化したコンサルティングを行っているDNPグループの株式会社シーピーデザインコンサルティングの鈴木靖が解説します。

  • 改正個人情報保護法の背景と意義
  • データ経済の進展で変化する個人情報の位置づけ
  • 個人情報保護の先にあるものとは?
  • コラム:個人情報保護の“価値”を見つめ続けてきたシーピーデザインコンサルティング
正面を向く鈴木靖氏のプロフィール画像

プロフィール
株式会社シーピーデザインコンサルティング
代表取締役社長 鈴木 靖

1984年大日本印刷株式会社入社。2002年、個人情報保護に特化したコンサルティングを行う同社をDNPの社内ベンチャー制度によって創業。以後、実践経験と消費生活アドバイザーの有資格者として、多くの企業のコンサルティングに携わる。個人情報保護マネジメントシステム改正案作成委員会委員(JISQ15001:2006、JISQ15001:2017)、経済産業分野における個人情報保護ガイドライン改正検討委員会委員等も務める。

改正個人情報保護法の背景と意義

今回の「個人情報の保護に関する法律等の一部を改正する法律」、いわゆる新個人情報保護法のポイントをご説明する前に、知っていただきたいことがあります。コンサルティング業務に携わる私は、「これは個人情報保護法に違反しますか?」という質問を受けることが多いのですが、こうした問いにこそ個人情報保護に関する大きな誤解があると感じています。

そもそも個人情報保護法は、ゆるやかな運用のもと、全体を一定の枠内に収めることをめざす法律です。違反したらすぐに「懲役」や「罰金」が課されるわけではなく、個人情報保護委員会が行える行政処分は、「法的拘束力がない指導および助言」もしくは「勧告および命令」まで。ちなみに、これまで個人情報保護法違反で「命令」にまで至ったケースは1件のみです。

では、個人情報保護法の意図するところは何か。それを理解するヒントが、個人情報保護法の第一章第一条に書かれています。

“(前略)個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利権益を保護することを目的とする。”
(「個人情報の保護に関する法律」第一章第一条より抜粋)


つまり個人情報保護の目的は、「個人情報(データ)を漏えいから守る」だけではなく、「個人情報の有用性に配慮しつつ、個人の権利・権益を守る」ことにあります。単に“守らせる”だけでなく、“情報を上手に活用してデータ経済を推進する”という意図が込められているのです。

この守るべき「個人の権利・権益」の範囲は、IT環境の進化、国民の意識(受容幅)の変化、国際バランスといった要素ごとに、以下のように変わってきます。

「個人の権利・権益」の範囲の具体例

IT環境の進化の例
・個人を特定する認証方法が指紋や顔などに変化
・SNSの普及/利用拡大
国民の意識(受容幅)の変化の例
・無意識の行動データの活用の可否
・人の多様性を重んじる時代
国際バランスの例
・個人情報保護に対する国・地域による法規制の差
・国際情勢による、データ保存場所の安全性

近年、日本を代表するような大手企業による個人情報保護関連の事案が出てきています。いずれも「勧告」や「指導」にとどまっていますが、その多くが、各社が積み上げてきたサービスの終了に追い込まれています。

こうした事案は、適切な個人情報保護ができなかったためであると単純に考えるのではなく、個人情報保護というテーマにおいて、「IT環境の進化」「国民の意識(受容幅)の変化」「国際バランス」といった流動的な要素に対応し切れなかったからと捉えるべきだと考えます。

例えば、2021年4月に発生した、LINE利用者の個人情報が中国の関連会社から閲覧できる状態になっていた問題では、個人のプライバシーを侵害するような個人情報の取り扱いが見つかったわけではありませんでした。監督機関から指導を受けたのは、①個人情報保護に対する考え方が異なる海外の委託会社からの閲覧が可能になっていたこと、②同じく海外のデータセンターにLINEアプリの送受信ファイルが置かれていることを明示していなかったこと、に対する是正です。

図1:大手企業による世間を騒がせた個人情報保護関連の事案

個人情報保護関連の事案を4つ表組にしています。

意識していない個人の行動履歴が情報として価値を生むことが明らかになった今、世界で個人情報の扱いがさらに重要視されています。今回の法改正は、個人の権利・権益に対する考え方を現状に合わせてアップデートし、企業が安全・安心に個人情報を利活用できるように作られた枠組みともいえます。

笑顔で話す鈴木靖氏

データ経済の進展で変化する個人情報の位置づけ

そうした視点で、個人情報の定義をあらためて見てみましょう。「個人情報」とは、生存する個人に関わる情報の中で、次のA〜Cのいずれかに該当するものと規定されています。

・A=単体で特定の個人を識別できる情報を含むもの(氏名・住所・生年月日など)
・B=個人を識別できる記号・番号を含むもの
(指紋や顔などの生体データ・マイナンバーなど)
・C=他の情報と照合することで特定の個人を識別できるもの
(個人と関連する携帯電話番号・購買履歴・位置情報など)

今回の法改正で注目してほしいのが、上記のA〜Cに含まれない「仮名加工情報」の新設です。これは個人情報に「他の情報と照合しない限り個人を特定できない加工」をしたもので、利用目的の特定や本人からの開示請求の義務がある個人情報に比べ、データの利活用が容易になっています。

例えば、過去10年分の売上データがあっても、これまでは、そのデータと顧客の住所や氏名とを容易に照合できる場合は、新規事業のマーケティング等には活用できない可能性がありました。本人に示した利用目的を満了した場合に当該個人情報を遅滞なく消去することが原則となっているため、データ取得時にはなかった新規事業で利用するには、個人情報保護法が壁となってしまうケースがあったのです。

一方、利用目的の変更が可能で、その他の諸条件も緩和された「仮名加工情報」であれば、利活用の範囲が広がることになります。つまり過去に取得したデータも仮名加工情報にした上で利用目的を公表することで、共同利用も含めたデータ分析が進められるようになったのです。

図2:「個人情報」「仮名加工情報」「匿名加工情報」の比較イメージ

「仮名加工情報」の特性をわかりやすくるため「個人情報」「匿名加工情報」と比較した表

  • 1:個人データ、保有個人データに係る規定を含む
  • 2:仮名加工情報データベース等、匿名加工情報データベース等を構成するものに限る
    (個人情報保護委員会資料を参考に作成)

また、個人情報が国境等を越える可能性がある場合、ユーザーへの情報提供の充実が求められている点も要注目です。クラウドサービスの契約先が日本の個人情報取扱事業者ではないケースや、グループ会社の外国法人が個人情報を共同利用しているケースなどにおいて、「EUやイギリス等と認められた同等水準国」でない場合、移転先国・地域における個人情報保護の制度や事業者が講じる措置などについて情報提供する義務が追加されています。わかりやすくいえば、“個人情報保護に対する考え方が異なる国・地域の企業や公的機関がアクセスできる状態を許容するかどうか”について、慎重に判断せよという意図でもあるでしょう。その背景には「個人データは国家資源である」という認識があり、これはデータを活用する上で欠かせない視点だと言えます。

ほかにも新たな規定はありますが、いずれも単純な法令順守や漏えい対策だけでなく、その先にある意図を読み取り、「IT環境の進化」「国民の意識(受容幅)の変化」「国際バランス」といった変動要素を加味した正しい運用を行っていくことが大切です。別の言い方をすると、個人情報保護への対策が、情報漏えいの防止などで済んでいた段階は終わったとも言えるでしょう。

今後は、サービスの企画・設計段階から、個人情報とプライバシーを保護する施策を技術面・運用面・物理的設計面であらかじめ組み込む「プライバシー・バイ・デザイン(※)」の視点に立つことが重要になります。それによって、サービスのライフサイクル全体を通して、一貫したプライバシー保護の取り組みを行い、自社の構想を具体化した企業だけが、データ経済社会で生き残っていくと思います。

  • プライバシー・バイ・デザイン=個人情報保護の方策を企画段階から技術面・運用面・物理的設計面に組み込む概念。1990年代に提唱されたが、GDPR(EU一般データ保護規則)の法的要求事項に含まれたことで、近年あらためて広く認知されるようになった。

個人情報保護の先にあるものとは?

近年の個人情報保護に関する法改正の流れを理解するうえで重要なキーワードとして、日本政府が2019年のダボス会議やG20大阪サミットで言及し、現在は国際的なイニシアチブにもなっている「データ・フリー・フロー・ウィズ・トラスト(DFFT:信頼性のある自由なデータ流通)」というコンセプトがあります。

その狙いは、“新たな価値の源泉であるデータを自由かつ信頼性が担保された枠組みで流通させる国際的なプラットフォームをつくる”ことです。また、日本の成長戦略として、国内でDFFT環境をいち早く実現することで世界での主導的な役割を担い、データ経済社会のメリットを享受するという狙いもあります。個人情報保護法の一連のアップデートも、この戦略の一環として位置づけられると言えるでしょう。

テーブルに手を置き、話をする鈴木氏

DNPも、このDFFTがもたらす“開かれたデータ流通”につながるポジティブな事業モデルとして、さまざまなプロジェクトを進めています。その一例として、DNPが中心となって推進し、国の「デジタル田園都市国家構想(※)」の実現に向けて地域DXを推進している三重県多気町を中心とする広域連携のプロジェクトの事例をご紹介しましょう。

  • デジタル田園都市国家構想とは2021年、岸田文雄内閣総理大臣の下で発表された「デジタル実装を通じて地方が抱える課題を解決し、誰一人取り残されずすべての人がデジタル化のメリットを享受できる心豊かな暮らしを実現する」という構想。デジタルの力を全面的に活用し「地域の個性と豊かさ」を生かしつつ、「都市部に負けない生産性・利便性」も兼ね備え、「心豊かな暮らし」(Well-being)と「持続可能な環境・社会・経済」(Sustainability)の実現をめざすとしている。

多気町のプロジェクトの要となるのは、2021年4月に全面開業した国内最大級の商業リゾート施設「VISON(ヴィソン)」です。この施設を中心に近隣6つの自治体が連携し、東京23区の2倍に近い1,130㎢のエリアでのデジタル田園都市国家構想に沿ったDXによる地域活性化を目指しています。域内では、共通IDアプリを中心としたサービス連携・データ連携を展開し、デジタル地域通貨、AIオンデマンド交通サービス、パーソナルモビリティ(移動用機器)、車両を利用したオンライン対応のクリニック、脈拍・血圧・体温などのバイタルデータの可視化といった多彩なサービスを、共通IDにて個別登録なしにシームレスに利用できる街づくりを進めています。利用者の年齢や嗜好、既往歴などをもとに、一人ひとりに商品をリコメンドしてくれたり、疾病リスクを提示してくれたりなど、ライフステージに合わせたサービスも検討されています。

「オンデマンド医療MaaS」の実験車両

車内で、高齢者がディスプレイ越しに医師と健康相談をしている様子

  • 「オンデマンド医療MaaS」の実証実験を2021年に三重県の大台町、多気町、明和町、度会町、大紀町、紀北町で実施。看護師や保健師がマルチタスク車両で患者の自宅を訪問し、車両内で保健指導や受診勧奨を行う他、ビデオ通話を用いて病院内の医師によるオンライン診療やオンライン健康相談などを行った。

人に寄り添うこのようなサービスを実現するには、利用者本人の意思を前提として、信頼できる事業者に、関連データを限定して提供する仕組みが必要です。そして、データ経済社会において大きな価値を生む“情報”という資産を単に守るだけでなく、安全・安心に流通させるDFFTのコンセプトが大切となります。

欧米諸国に比べて日本では、個人情報保護という言葉に対して、法令順守や漏えい防止といった“守りに徹する”という印象が強いように思います。しかし、そうしたややネガティブなイメージに囚われていては、データ経済社会へと加速する世界的な潮流に乗り遅れてしまいます。ぜひ、各社が自らのサービスの視点から、個人情報を活用していくための構想を企画して、新たなビジネスへの扉を開いていただければと思います。

個人情報保護の“価値”を見つめ続けてきたシーピーデザインコンサルティング

個人情報保護法起草のワーキンググループに参加した鈴木を中心に、長年にわたって行政や多くの企業と連携してきたシーピーデザインコンサルティング。法令の正確な理解はもちろん、その法令が意図する“あるべき姿”まで視野に入れた、個別のクライアントに即したコンサルティングが強みとなっている。2002年の創業時から、多くの大手企業でコンサルティングの実績を重ね、DNPグループ内でも三重県多気町での取り組みやメディカル・ヘルスケア分野のプロジェクトなど広範な事業を手掛け、「プライバシー・バイ・デザイン」による価値の創出を支えている。

■シーピーデザインコンサルティングのWebサイトはこちら

今回のトレンドのまとめ

本文の内容を板書形式でイラストともにまとめました

  • 記載された情報は公開日現在のものです。あらかじめご了承ください。