全事業者が対象に！個人情報保護法改正。
新たな義務、罰則も。

2015年09月09日

今月3日、改正個人情報保護法が衆議院本会議で可決成立しました。法改正により、企業は、個人情報を個人が特定できないように加工することによって、本人の同意なく、ビッグデータとして活用できることが明確になり、多くの事業機会が新たに創出されることが期待されます。しかしその反面、現行法の適用対象が個人情報の保有件数が5000人超の事業者に限定されていたのに対し、改正法では、この規定が撤廃され、全事業者を対象とすることになり、これまで適用対象外であった企業は対応に追われることになります。また、個人情報の取り扱いに関して、新たな義務規定や罰則規定も設けられましたので、注意が必要です。
以下では、改正のポイントを分かりやすく解説したうえで、企業がとるべき対策を説明します。

改正個人情報保護法のポイント

ビッグデータの提供にあたり、現行法では、どのような場合に本人の同意が必要で、どのような場合に不要なのか、線引きがあいまいでした。このことが企業側の萎縮的効果を招き、ビッグデータの利活用を阻害してしまっていました。このような問題を解消するため、改正法では、個人情報から個人の特定につながる情報を除いたものを「匿名加工情報」とし、本人の同意なしに第三者に提供できるよう改められました。その一方で、ビッグデータの提供者はその項目を公表しなければならず、違反すると6か月以下の懲役または30万円以下の罰金が科せられることになりました。

また、冒頭で述べた通り、適用除外規定が撤廃され、すべて事業者が対象となったことも大きなポイントです。さらに、病歴等については、「要配慮個人情報」として、他の個人情報に増して慎重に扱う取り扱う規定もできました。

なお、この改正法は公布から2年以内に施行されます。

ビッグデータ活用におけるリスク

今回の法改正により、企業が活用できるビッグデータの幅が広がります。改正法の施行に合わせて、ビッグデータの利活用を進める企業も多いこと思います。その際、企業は、どのような点に気を付けるべきでしょうか。ビッグデータを利活用に際して考えられるリスクをみてみましょう。

●データ処理業務の委託先からの漏洩
ビッグデータは文字通りデータ量が膨大であり、その管理に高度な知識や技術が必要となるため、自社内だけで対応することが難しく、委託先から個人情報や営業機密が漏洩するリスクが生じます。

このようなリスクに対しては、委託先を技術力だけで選ぶのではなく、個人情報や機密情報に対する取り扱い体制を選定基準として盛り込むことや、委託先の業務の監視および監査を実施することが考えられます。

●データの組み合わせによる意図しない個人の特定
個人情報に匿名処理を施したとしても、別の情報と組み合わせることによって、再び個人が特定可能になることがあります。加工基準については、来年1月に新設される第三者機関「個人情報保護委員会」が定めることになっており、復元不可能な基準となることが期待されます。

漏洩を早期に検知することが重要

漏洩を未然にする防ぐ予防策も重要ですが、どれだけ策を講じても、100%漏洩を防ぐことはできません。万一、漏洩が生じた際にも直ちに検知し拡散前に対処できる体制を整えておくことが重要です。

エルテスでは、漏洩が生じていないか24時間365日有人監視するサービスを提供しています。詳しくは、サービス紹介ページをご覧ください。また、資料請求やサービスについてお問い合わせも承っております。お気軽にお問い合わせください。

● 03-6721-5790
● Webフォーム