データ活用時代の個人情報保護
このブログを書こうと思い立った時に、4/3付の日経新聞電子版の記事で、
「個人情報、本人に利用停止権 企業の乱用防止」政府検討、来年法改正へ
https://www.nikkei.com/article/DGXMZO43234840S9A400C1MM8000/
というのをタイムリーに見つけました。
「え?今さら?」「そもそも依頼したら消せるんじゃないの?」と思った方もいらっしゃるでしょう。記事にも書かれていますが、実は現在の個人情報保護法では、次のようになっています。
- 本人の同意なく利用目的を超えたり、不正に入手された場合において、保有個人データ(6ヶ月以上保有している個人情報が検索できるように保持されたデータ)の利用停止または消去を請求することができる。(第30条第1項に補足)
- 保有個人データの内容が事実ではないとき、内容の訂正・追加・削除を請求することができる。(第29条第1項に補足)
個人情報保護法
http://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=415AC0000000057
つまり法律上、目的外、不正利用、事実ではない場合は、削除または利用停止は請求できますが、そうでない場合はできないようです。また、利用目的が達成された後(つまりサービスの利用などを終えた場合など)は、
個人データを遅延なく速やかに消去する「努力を」しなければならない(第19条に補足)
となっており、必須ではないのです。なかなかあいまいな法律ですよね。
だからといって、法律を盾に個人から依頼があったにも関わらず対応しないとなると、企業イメージは悪くなりますが。
一方で欧州のデータ保護規則(GDPR)は、そもそも「個人の権利を守る」ことを目的として制定されています。そのため、個人が利用の同意を撤回したり、データの利用停止や削除の請求があれば、企業・団体はそれらに対応する「義務」があります。(GDRP一般データ保護規則の仮日本語訳第3節第17条1項より https://www.jipdec.or.jp/library/archives/gdpr.html )日本より厳しいですね。
また、個人情報保護法とGDPRの違いとして気になるのは、「個人情報」の定義です。
IPアドレス、クッキー、個人IDとは紐づかない位置情報(GPS)、についても、
GDPRは明確に「個人情報」としています。よって、サービスのログ情報までもが「個人情報」の対象になります。ゆくゆくは、個人情報保護法も同じ解釈になるのではないでしょうか?
日本の個人情報保護法は、データの流通や活用を活性化させるために、匿名加工に関する条項を追加するなどの見直しを行ったと言われています。しかし、今後、個人情報を提供しないと有益なサービスが利用できない、サービスの利用に応じて個人の信用度をランク付けされることが当たり前の世の中になってくることも見越して、GDPRを習って徐々に個人の権利を守る方向に進んでいくのでは?と、この記事を見て思いました。
読者のみなさまの中には、BtoBなので個人情報は関係ないと思われている方もいらっしゃるかもしれません。しかし、例えばセミナーに来られたお客様の名刺情報等もデータベースに保持してご案内をされているのであれば、個人情報(厳密には保有個人データ)を扱っていることになりますので、こうした法規制と無関係とは言えません。
利用停止や削除請求への対応、個人IDが紐づいた情報の保護を適切に行うためには、何が必要になるでしょうか?
そう!今さらながら、メタデータ管理が重要になります。
社内に散在している個人情報には何があるのか(住所、氏名、メールアドレス、役職との個人属性など)、それらはどのシステムでどのように管理されているのか(CRMシステムや人事労務管理システム、データ統合基盤システムなど)、誰に参照や削除の権限が与えられているのかの管理は当然です。さらに、利用停止や削除を速やかに行うためにも、例えば個人IDに紐づいたデータを辿って取り出せるようにデータを保持しておく必要もあります。また、主キーと参照キーの関係が分かるようにデータモデルなどでデータの構造を把握する、リネージを管理する、といったことも求められます。
個人データの利活用が活発になってくる中、これからも個人情報保護法やGPDRの動きは見逃せません。今後も、機会があればブログでお伝えしたいと思います。
※個人情報保護法やGDPRの条文からの引用は分かりやすくお伝えするために、少し要約していますので、ご了承ください。