JRRCマガジンNo.406 コンプライアンス・企業倫理を考える9 個人情報の保護

━━━━━━━━━━━━━━━━━━━━━━━━━━
JRRCマガジン  No.406 2025/2/13
━━━━━━━━━━━━━━━━━━━━━━━━━━
※マガジンは読者登録の方と契約者、関係者の方にお送りしています。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆今回の内容
【1】板東氏のコンプライアンス・企業倫理を考える
━━━━━━━━━━━━━━━━━━━━━━━━━━━━
皆さま、こんにちは。いかがお過ごしでしょうか。

本日2月13日は「世界ラジオデー」
1946(昭和21)年2月13日に国連が国際連合放送United Nations Radioを開設したことにちなんで国際デーとして記念日に制定されたそうです。

さて、今回は板東氏の「コンプライアンス・企業倫理を考える」です。

板東氏の前回までの記事は下記からご覧いただけます。
https://jrrc.or.jp/category/bando/

◆◇◆【1】板東氏のコンプライアンス・企業倫理を考える━━━
⑨ 個人情報の保護
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆◇◆ 

                        日本赤十字社常任理事/雪印メグミルク株式会社社外取締役 板東久美子

データ社会に関わるコンプライアンス・企業倫理の問題として、前回はAIに関する倫理問題を取り上げましたが、今回はAIにも関連の深い個人情報の保護を取り上げたいと思います。
 個人情報の保護の在り方は、デジタル化、データ社会の進展の中で、企業・教育機関・医療機関・行政機関など様々な組織において重要な課題となっています。個人情報の流出などのトラブルも多い一方、個人情報保護を理由として個人の安全確保や被害防止のための情報が得にくいという過剰対応の問題も指摘されています。最近のデジタル化の急速な進展に対応し、個人情報保護法制やそれぞれの組織での対応も常に進化・検証することが求められています。
 私は消費者庁に2016年8月から2018年8月まで2年間在籍しましたが、現在は個人情報保護委員会が所管している個人情報保護法も、2015年改正法が施行された2018年1月の以前は消費者庁が所管していました。また、在職中に個人情報に関連する消費者被害の様々な問題が生じていることを経験しました。その時期に比べると個人情報保護制度は大きく変化してきており、改めてデジタル社会において極めて重要なコンプライアンス・企業倫理の柱である個人情報保護について整理してみたいと思います。

個人情報保護法の変遷
 現在の個人情報保護法について概観する前に、個人情報保護法制の変遷について簡単に振り返りたいと思います。まさに個人情報保護の歴史は、社会の情報化の進展そのものと深く関わり、連動しています。
 個人情報の保護と利用の在り方は、コンピュータの発達と蓄積されるデータが増大するにつれて大きな問題になり、1980年にはOECDが「プライバシー保護と個人データの流通についてのガイドラインに関する 理事会勧告」を採択し、「OECDプライバシー8原則」が打ち立てられました。この8原則では、①収集の制限 ②データの内容 ③目的の明確化 ④利用の制限 ⑤安全の保護 ⑥公開 ⑦個人の参加 ⑧責任 にわたり、プライバシーと情報の流通との調和が目指されています。我が国では、地方公共団体に関しては住民基本台帳のデータ保護などに関する条例を制定することが進みつつありましたが、このOECD勧告をきっかけに、1988年に国の行政機関を対象とする「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が制定されました。
その後、住民基本台帳データが民間に漏洩した事件が問題となったことから、国が住基ネットの導入を進める上でも必要な条件整備として、2003年に民間を対象とする「個人情報の保護に関する法律」(個人情報保護法)が制定されました。同時に、前述の行政機関を対象とする法律は「行政機関の保有する情報の保護に関する法律」に改正され、また、独立行政法人を対象とする「独立行政法人の保有する情報の保護に関する法律」が制定されました。このように、初期の個人情報保護法制は、民間・行政機関・独立行政法人を対象とする3つの法律に分かれ、また、地方公共団体の個人情報保護条例はそれぞれ個々に定められ、その基本的な枠組みを定める法律はありませんでした。また、個人情報保護法の所管は、消費者庁創設後は消費者庁となりましたが、個人情報取扱事業者の監督は各分野の省庁が行うという「主務大臣制」がとられ、いわば縦割りの構造となっていました。
 その後、ビッグデータ活用の拡大等の状況を踏まえて2015年に改正され、要配慮個人情報の取得制限、個人データの第三者提供に係る確認や記録作成の義務付け、個人情報データベース提供への罰則導入、オプトアウト(予め本人に了解を得て第三者提供するのではなく、本人から中止を求められた場合に第三者提供をやめる形で、個人情報を第三者へ提供すること)を実施する場合の届出、個人情報保護委員会への法所管変更等の改正が行われました。
 そして、デジタル化の急速な進展の下、2020年にデジタル社会形成基本法が制定された際に抜本的な改正が行われ、三つの法律は個人情報保護法に統合され、地方の条例の基本ルールも同法に定められることとなりました。また、個人情報取扱事業者の監督権限が主務大臣から行政委員会である個人情報保護委員会に一本化されました。

個人情報保護制度の概要
 個人情報保護法は、目的として、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを定めています。
 ポイントとなる同法の対象の「個人情報」とは何かですが、同法では、「生存する個人に関する情報」で①氏名、生年月日その他特定の個人を識別できるもの(他の情報と容易に照合でき、それにより特定の個人を識別できるものを含む) ②個人識別符号(1.顔・指紋等身体の一部の特徴を電子処理のために変換した符号 2.マイナンバー・パスポート番号・基礎年金番号など、サービス利用や書類において利用者ごとに割り振られる符号)のうち政令で定めるものが含まれるもの のいずれかとしています。個人識別性は判断がむずかしいものもありますが、例えば、メールアドレスも一律に個人情報であるとはいえないものの、所属機関や個人名を想起させるものがありますので、慎重に扱うことが望まれます。
 個人情報の中には、人種・信条・社会的身分・病歴・犯罪歴・犯罪被害歴など、他人に公開されて不当な差別や偏見等の不利益を被らないよう、取り扱いに特に配慮すべき情報があります。同法では、「要配慮個人情報」として、その取得には原則として予め本人の同意を必要とすることなどを定め、取り扱いの配慮を求めています。
 「個人情報」の概念のほか、「個人情報データベース等」「個人データ」という概念も出てきます。「個人情報データベース等」とは、特定の個人情報を検索することができるように体系的に構成された、個人情報を含む情報の集合物をいい、この個人情報データベース等を構成する個人情報を「個人データ」としています。これは、検索しやすいよう、体系的に整理された個人情報は、同時に漏洩などのリスクも高いことから、保護義務との関係でこのような概念を規定する必要があったものです。
 そして、個人情報保護法は、個人情報、個人データ、保有個人データそれぞれに対する取り扱う者の義務を規定しています。個人情報保護法は、先述のように、民間・行政機関・独立行政法人における個人情報保護を一本化したものですが、官民で異なる点もありますので、ここでは民間事業者の義務について簡単に触れたいと思います。 
 個人情報取扱事業者(個人情報データベース等を事業の用に供している者。非営利や個人事業主も含む)は、個人情報保護に関する様々な義務を負います。例えば、「個人情報」に関しては、①利用目的の特定 ②利用目的の達成に必要な範囲の利用 ③不適正な利用の禁止 ④不正の手段による取得の禁止 ⑤利用目的の通知又は公表 等の義務を負います。先ほど申し上げたように、個人情報をデータベースに組み込むとその利用の便益から漏洩など様々なリスクが高まることから、「個人データ」に関しては、さらに正確性の確保や不要データの消去、安全管理措置、漏えいが発生した場合の個人情報保護委員会への報告・本人への通知、第三者提供の制限等の様々な義務がプラスアルファで課されています。
また、個人データの中で、取扱事業者が開示、内容の訂正、利用の停止等を行える権限を有する「保有個人データ」に関しては、事業者は、事業者名・住所、利用目的など一定の事項を公表したり、本人が開示・訂正・利用停止等を請求できることとなっています。
 最近の改正では、ビッグデータ、AI等の活用拡大のため、加工情報に関する規定がいくつか新設されています。2015年改正では、「匿名加工情報」が、2020年改正では「仮名加工情報」が新設されました。「匿名加工情報」は、特定の個人を識別できないように個人情報を加工して得られる情報で、その個人情報を一般的には復元できないようにしたものです。この匿名加工情報は個人情報ではなくなっていますので、通常の義務の対象ではありませんが、事業者が匿名加工情報を自ら作成する場合について、適正加工や識別行為の禁止、安全管理義務などが規定されています。また、「仮名加工情報」は、個人情報を単体では個人を識別・特定できないように加工することにより、再識別禁止、内部利用への限定などを条件に、義務を緩和する制度です。このように、デジタル社会の進化、データ利用の変化に応じて、個人情報をめぐる制度も常に見直しがなされていくことが今後も予想されるところです。

 今回、各事業者における具体的な取組まで触れることが紙面の都合上できませんでしたが、改めて顧客データなど重要な個人情報を多く持つ企業等の取扱事業者としての責任の重要性を感じるところです。冒頭に消費者庁時代のことに少し触れましたが、当時ベネッセの個人情報漏えい問題があり、その影響は直接の対象者だけでなく、社会的に大きな不安を生じさせる広範なものになり得ることを感じました。頻発する特殊詐欺・悪徳商法なども、様々な個人情報の流出が関連していると思えるものがあります。また、サイバー攻撃などによる情報流出が問題になるケースも多く、情報セキュリティ対策に万全はないとはいえ、改めて個人情報管理の重要性を感じます。
 また、AIやデータ社会の進展の中、コンプライアンス・企業倫理としても新しい状況の中での個人情報保護の在り方を模索していく必要があることを改めて感じるところです。現在、AIの進展に対応した個人情報保護法の改正が検討され、この通常国会への法案提出が目指されています。この連載の最終回には、公益通報者保護法改正、AI新法制定の動きと併せて、個人情報保護法改正の動きについてご紹介したいと思います。

━━━━━━━━━━━━━━━━━◆◇◆
      インフォメーション
━━━━━━━━━━━━━━━━━━━━
JRRCマガジンはどなたでも読者登録できます。お知り合いの方などに是非ご紹介下さい。

□読者登録、配信停止等の各種お手続きはご自身で対応いただけます。
ご感想などは下記よりご連絡ください。
⇒https://jrrc.or.jp/mailmagazine/

■各種お手続きについて
JRRCとの利用契約をご希望の方は、HPよりお申込みください。
(見積書の作成も可能です)
⇒https://jrrc.or.jp/

ご契約窓口担当者の変更 
⇒https://duck.jrrc.or.jp/

バックナンバー
⇒https://jrrc.or.jp/mailmagazine/

━━━━━━━━━━━━━━━━━◆◇◆
      お問い合わせ窓口
━━━━━━━━━━━━━━━━━━━━          
公益社団法人日本複製権センター(JRRC)
⇒https://jrrc.or.jp/contact/

編集責任者 
JRRC代表理事 川瀬 真

※このメルマガはプロポーショナルフォント等で表示すると改行の位置が不揃いになりますのでご了承ください。
※このメルマガにお心当たりがない場合は、お手数ですが、上記各種お手続きのご意見・ご要望よりご連絡ください。

JRRCマガジン 読者登録

アーカイブ

PAGE TOP