個人情報保護法はどこが変わった?〜情報セキュリティってどこまで取り組めばいいんだろ・・

ITnews

ついに法案成立

年金機構の情報漏えい以来、色々停滞していた法案がようやく進みだしました。直近に迫ったマイナンバーとともに、個人情報保護法も改正されました。

衆議院、個人情報保護法とマイナンバー法の両改正案を一部修正して可決、成立 (IT PRO)
http://itpro.nikkeibp.co.jp/atcl/news/15/090302862/

衆議院は2015年9月3日、個人情報保護法とマイナンバー法の両改正案について、参議院の一部修正案を自民、民主党などの賛成多数で可決、成立した。国会同意人事を経て、2016年1月に「個人情報保護委員会」が発足し、新たな個人情報保護法を所管する。

個人情報保護法の改正では、特定の個人を識別できる符号を個人情報と位置づけて、符号などを削除して復元できないようにした「匿名加工情報」の扱い方を定めた。

ということで、いろいろ変わりました。個人情報の管理は厳格にするしないといけない一方で、無駄に細かい管理を要求され、利便性を大きくそこなったり、情報の活用が困難であったりしました。

たとえば、JRのSUICA情報の活用。乗降駅、利用日時、利用額、年齢、性別などを日立に提供していました。名前がないので、本人が特定されないから、個人情報ではないのでは?という意見もある一方で、個人の履歴的な情報を、たとえ本人と認識できなくても許可無く外部に提供するのはダメだろ!という意見が多く、結局、JRは記事のように謝罪することになりました。

JR東日本、Suica利用データ提供について謝罪 希望者は提供データから除外も
http://www.huffingtonpost.jp/2013/07/25/jreast-suica-hitachi_n_3651050.html

個人情報保護法は何が変わった?

管理が厳しくなった点と、使いやすくなった点がありますね。特に後者はJRのようなケースでより情報を使いやすくするというのが目的ですね。
匿名加工情報が利用しやすくなります。

「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの」

具体的には以下の2つ

当該個人情報に含まれる記述などの一部を削除すること(当該一部の記述などを復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む)

当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む)

なるほど、JRのSUICAで乗った場合に名前と駅や時刻が紐付いていたら個人情報だけど、復元できないように名前を消して、駅と時刻であれば活用してもいいということですね。

150625deloit

一方で厳格になったのは、以下などでしょうか。

個人データを第三者に提供したときは、個人情報保護委員会規則で定めるところにより、当該個人データを提供した年月日、当該第三者の氏名又は名称その他の個人情報保護委員会規則で定める事項に関する記録を作成し、同規則で定める期間保存しなければならない。

いずれにせよ、適切な厳格さをもって、有用にデータ活用できるようになるといいですね。
今後、特定個人情報であるマイナンバーの管理も増えて、企業にとっては大変な事のほうが多いですが、うまく情報を活用していきたいものです。

管理を厳しくすればするほど、情報活用の効率性は落ちてしまいます。 機密性と効率性はトレードオフ。自社の情報管理のレベルを設定するのが一番難しいところですね。

以上です。

タイトルとURLをコピーしました