わたしは消費者 教員向け消費者教育情報提供誌・Web版
ページ1

パーソナルデータの利活用に伴う個人情報保護法の改正

弁護士、日本弁護士連合会 消費者問題対策委員会委員
奥野 弘幸

個人情報保護法改正の背景

(1)
情報環境の大幅な変化

個人情報保護法は、平成15年に「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」ことを目的として(同法1条)制定されました。

それから10年あまりが経過し、個人情報をとりまく環境は大きく変化しています。

情報関連技術の進展は、個人に関する情報を大量かつ詳細に収集・保存することを可能にしました。また、個人の利用する情報機器が自宅に備えられたパソコンから常に持ち歩くスマートフォンに移り変わるにつれて、個人に関する情報の種類も飛躍的に増加しました。すなわち、単なる氏名や住所、電話番号といったものから、「○年○月○日○時○分に自分がいた場所(位置情報)」「インターネット・ショッピングで自分が今までに購入した物の一覧(購入履歴)」「SNS(ソーシャル・ネットワーキング・サービス)で友達とやりとりした内容」といった、個人の行動に関する詳細な情報まで、多種多様な情報が「個人に関する情報」を形成するようになっています。

大量、詳細、多種多様な情報の集まりは「ビッグデータ」とも呼ばれ、その中で特に個人に関する情報の集まりを「パーソナルデータ」といったりしますが、このような「パーソナルデータ」は、うまく利活用すれば個人や社会に多大な便益を与えてくれる可能性を秘めています。例えば、インターネット・ショッピングで今まで購入した物品の情報(購入履歴)を分析して、その人の趣味・嗜好にあった「おすすめ商品」を提示したり、人々の行動履歴を分析して、災害時の効率的な避難誘導に役立てたりといったことが研究、実用化されています。

一方で、さまざまな情報関連サービスを利用している私たち消費者からすると、自分のあずかり知らないところで自分の行動に関する情報が収集され、勝手に利用されているのではないか、といった漠然とした不安感が残るのも事実です。

そこで、「個人情報の有用性に配慮しつつ、個人の権利利益を保護する」ための法律として個人情報保護法が制定されたのですが、制定後10年あまりが経過し、先にみたような情報環境の変化に伴って、現行の法律のままでは対処できないような事態が生ずるようになりました。

(2)
Suica事件

平成25年7月、JR東日本が、Suica利用客の乗降履歴(利用客の年齢、性別、駅に入出場した日時等の履歴情報等)について、氏名や電話番号等、個人が特定できる情報を除く加工を施した上で、マーケティング目的で第三者に販売するサービスを開始した旨発表したところ、Suica利用客等から批判が相次ぎ、同サービスが中止に追い込まれるという事件が起こりました。

「個人の特定性を低減したデータ」の取扱いについて、現行の個人情報保護法では何ら定められていません。そのため、どのようにデータを加工すれば「個人の特定性が低減された」といえるのか、加工したデータをどのように取り扱えば適正なのか、といったルールが不明確なままです。このような状態では、消費者としては不信感が募って自身のパーソナルデータを企業に提供することに躊躇を覚えますし、事業者としてもさまざまな可能性を秘めたパーソナルデータを利活用することが困難になります。そこで、今回の個人情報保護法の改正において、このような「個人の特定性を低減したデータ」の取扱いルールを整備することが検討されることになりました。

(3)
ベネッセ事件

平成26年7月、株式会社ベネッセコーポレーションのグループ会社が業務を委託している委託先の元従業員が、ベネッセの管理するデータベースに不正にアクセスし、顧客情報を社外に持ち出したことが判明しました。漏えいした件数は約2895万件と推計され、漏えいした個人情報には登録者本人の氏名、住所、電話番号、メールアドレス等の他に、子供の氏名、生年月日等も含まれていました。元従業員は、持ち出した顧客情報を名簿業者3社に売却したとされています。その名簿業者から顧客情報を購入した事業者が、顧客情報を利用してダイレクトメールを発送するなどしたことから、大きな問題に発展しました。

現行の個人情報保護法には、いわゆる「名簿業者」を規制する規定はありません。また、情報を提供した本人は、事業者に対し第三者への個人情報の提供を停止すること(現行法23条2項)や、不正な手段で取得された個人情報の消去を求めること(同27条)はできますが、転々流通する個人情報がどこの業者に渡っているのか、記録する制度は定められていません。

個人情報保護法の改正の議論が行われている最中に発生したこの事件によって、名簿業者に対する規制や個人情報の移転に関するトレーサビリティー(追跡可能性)の整備などが新たな課題として取り上げられ、改正法に反映されることになりました。

(4)
情報環境のグローバル化

スマートフォンの普及とともに、個人がさまざまな情報関連サービスを利用するようになりました。Amazon、Google、Facebook、Twitterなどのサービス名を聞いたり、実際に利用したりしている人も多いと思います。これらのサービスは、アメリカなど外国の事業者が提供しているもので、これらのサービスを利用することによって、私たちのパーソナルデータが海外の事業者に収集・蓄積されることになります。かつ、それらのデータの保管場所はアメリカとは限らず、世界中に点在しているのが実情です。つまり、私たちのパーソナルデータは国境を越えて世界中を移転しているのです。

そこで、個人情報保護法の改正の議論において、このような「グローバル化」への対応も検討されることになりました。