コンサルタントブログ

COLUMN

ホーム

「経済産業分野を対象とする個人情報保護に係る制度整備等調査研究」について

こんにちは、コンサルタントの山手です。
 
2016年3月に公表された「経済産業分野を対象とする個人情報保護に係る制度整備等調査研究 報告書」についての話です。
 
本文書は経産省の情報経済課の仕切りで作成されたもので、検討委員には藤原 靜雄氏、新保 史生氏、高芝 利仁氏、森 亮二氏など、個人情報保護の世界では高名な方々が名を連ねています。
内容としては、新しい個人情報保護法に基づく経産省ガイドライン改正に繋がるものと認識するべきです。つまり余り注目されていないのですが、重要な文書なのです。
 
全体で164ページと中々のボリュームですが、現行の経産省ガイドラインや改正個人情報保護法が頭に入っている方であれば30分ほどで読むことができます。
やはり、我々が注目するのは「個人識別符号」と「匿名加工情報」についての話です。
 
個人識別符号の話はP46に登場。委員・オブザーバの意見が下記のように紹介されているのみです。少し残念です。
また、容易照合性の「提供元基準」はもはや既定路線なのですね。私は個人的には「提供先基準」派です。

<個人識別符号の範囲・対象>
・ 個人識別符号の範囲・対象を、分かりやすく事例をまじえて解説をするべきである。
・ 個人識別符号の一部を切り出したものが個人情報に該当するのか整理が必要ではないか。
・ 「機器に付与される符号・番号」である機器 ID、IP アドレス、製品番号等は、個人識別符号に該当しないことを明確にして欲しい。該当する場合は、その基準を具体的に検討すべき。
・ 「サービス提供のための会員 ID」である携帯電話番号、メールアドレス、クレジットカード番号等は、個人識別符号に該当しないことを明確にして欲しい。該当する場合は、その基準を具体的に検討すべき。
・ 事業者内部でのみ利用している顧客番号や従業員番号を、個人識別符号の対象外として欲しい。
 
<個人情報の該当性>
・ 容易照合性に係る「提供元基準」を明確化すべきではないか。

 
匿名加工情報の話はP63に書かれています。「前提となる政令・規則事項が未公表のため、具体的な案の作成は行わず、代わりに委員・オブザーバから寄せられた意見を取りまとめた。」と記述されており、こちらも少し残念です。下記が委員・オブザーバからの意見となります。

<匿名加工情報の範囲>
・ 客観的に匿名加工情報であることが検証できる定義にして欲しい。
・ 安全管理措置の目的で匿名化して、見た目は匿名加工情報と見分けが付かないデータであっても、「匿名加工情報」として活用することを目的としない(個人情報として取り扱う)のであれば、公表などの匿名加工情報の義務は課せられないことを、明示すべきである。
 
<仮名化、統計データとの関係>
・ 仮名化データ、統計データ、「匿名加工情報」との関係を整理すべきである。
 
<公表の方法>
・ 公表の方法は、できるだけ具体的であることが望ましい、とすべき。
・ 匿名加工情報に係る公表の方法は具体的に示して欲しい。
 
<委託>
・ 「匿名加工情報」の取扱い業務の外部委託に係る規定はないことから、当該業務を委託する場合の解釈を整理すべきではないか。
 
<安全管理措置>
・ 加工方法等に関する安全管理措置については、厳格な水準を要求すべきではないか。識別行為の禁止・ 本人を識別することを目的としない場合(属性推定を目的とする場合など)、他の情報と照合することが認められることを明記してほしい。
 
<加工基準のあり方>
・ 委員会規則は、必要最小限の原則的な事項を定め、具体的な加工基準などは、認定個人情報保護団体が定める個人情報保護指針にゆだねられるようにしてほしい。
・ 委員会規則が技術的な細目を定めるのでは無く、事業者相互のベストプラクティスの共有などについて協力する方向を目指して欲しい。
・ 二条 9 項の「当該個人情報を復元することができない」の意味が不確定。一部の情報の復元であっても法で言う「復元」に該当するのか、全部の情報の復元が該当するのか明確にすべき。

その他、多くのページを割かれているのが、「安全管理措置として小規模の事業者が実施すべき手法の例」です。こちらは文案がしっかりと作られています。
保護法改正の重要部分を除いて、「ガイドライン変更案」が出されているため、こちらについてはしっかりと目を通しておくべきでしょう。

<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ

一覧へ