1.はじめに
個人情報保護法は昨年9月、法制定から10年余りを経て初めて大改正がなされた。法制定当初とは比較にならないほど情報通信技術が発展し、個人情報を含む情報の取り扱い実態は変容を遂げている。この変容が社会にさまざまな便益をもたらした反面、個人のプライバシー侵害への不安が増したことは否めない。利便性と個人の権利利益の保護という相反し得る概念を前に、両者のバランスを図ることによって情報利活用環境を整えることが改正の目的であった。
改正個人情報保護法の全面施行が来春ともいわれるなか、今年9月以降、同法の政令規則の公布、ガイドライン案の公表があり、企業の改正法対応も加速しているものと思われる。今号から複数号にわたり、来春に向けていま一度、改正個人情報保護法の概要をお伝えしたい。
2.保護対象たる「個人情報」
(1)個人識別符号
発展を続ける情報通信技術によって日々発生する多種多様かつ膨大な人に関する情報は、何が法律上保護され、また、取り扱いが規律される「個人情報」であるのかをあいまいにした(いわゆるグレーゾーンの拡大)。情報源である本人には保護に対する期待があり、また、自らに関する情報が、どこでどのように扱われているかについて不安がある。他方で、企業は法の規制なく取り扱い得る情報の範囲や本人の保護への期待に関心を持ちつつも、これまでの実務慣行が否定され、取り扱いの変更を余儀なくされることを避けたいという意識が働いた。両者が期待する保護対象の範囲には齟齬がありつつも、これを明確化することについては方向性を同じくしていた。そこで、改正法では、「個人識別符号」という新類型が設けられ、これに当たる情報は個別の判断を待つまでもなく個人情報であることが明らかとされた。
「個人識別符号」は、大きく2つの類型に分かれ、その例は図表1のとおりである。
改正過程で企業から意見のあった携帯電話番号、クレジットカード番号など、民間分野で活用されるIDや符号については、明確性の点に加え、国際協調性等の個人識別符号として定める必要性を勘案して政令改正をするのでなければ、個人識別符号とはならない。
[ⅰ] 身体的特徴をコンピュータで利用可能な形に変換した符号 |
DNA情報(全核ゲノムシーケンスデータ等委員会ガイドラインに示された 本人認証可能なゲノムデータ)、顔、虹彩、声紋、歩行の態様、手指の静脈、指紋・掌紋の特徴から作成する本人認証用データ |
[ⅱ] 対象者ごとに異なるものとなるように役務の利用、商品購入またはカード・書類に付される符号 |
旅券番号、基礎年金番号、免許証番号、住民票コード、マイナンバー、各種保険証の被保険者番号等 ほか 筆者注:番号が法律によって制度的に担保されている。対応する法令については、適宜個人情報保護法施行令・施行規則を確認されたい。 |
(2)個人識別符号を含む個人情報
個人識別符号は個人情報該当性が明確なものを規定したにすぎない。このため企業は、情報の取り扱いにあたって、それが(1)個人識別符号を含むものか (2)特定の個人を識別するものか(一般人基準) (3)自社内で容易照合性があって特定の個人を識別することができるものか(企業ごとの総合判断)――という順で個人情報該当性を判断することとなる。
例えば、認証用ではない顔画像のデータは、個人識別符号ではないが((1))、「特定の個人を識別することができる」のであれば、個人情報に該当する((2))。また、認証機器を用いたのではないカスタマーサービスで録音した人の声のデータは、個人識別符号ではないが((1))、音声に特定の個人を識別できる情報が含まれるなどの事情がある((2))、会員IDによって氏名等と紐づけて利用する((3))のであれば、個人情報に該当する。
容易照合性の要件判断が難しいと聞かれるが、例えば、氏名・住所が含まれるデータベース、クレジットカード番号等信用情報が含まれるデータベース、そして購買履歴が含まれるデータベースを格別に保有し、共通のIDを付してシステム上連携している場合や、複数事業者間で1つのサーバーに個人情報を保管し、適宜各事業者がアクセスしている場合は容易照合性が認められる。
改正個人情報保護法で規律される情報を図示すると図表2のとおりである。全面施行を前に、あらためて自社の取り扱う情報の個人情報該当性の確認をお勧めする。
- 執筆者プロフィール
日置巴美
弁護士(内田・鮫島法律事務所)。内閣官房情報通信技術(IT)総合戦略室において改正個人情報保護法の立案担当を務める。その後、個人情報保護委員会事務局にて同法施行令改正等を担当し、現在に至る。