- Column
- DXの核をなすデータの価値を最大限に引き出す
収集したパーソナルデータ/個人情報の適切な扱い方【第3回】
前回は、データ活用における“収集・蓄積・活用のサイクル”のうち、第1のステップである「データ収集」について説明しました。収集した種々のデータの中では、個人情報やパーソナルデータの扱いには特段の留意が必要です。パーソナルデータの扱いについて本項では法制度やガイドラインを含めて解説します。
情報活用のキーワードとして「ビッグデータ」という言葉を聞いたことがある方が多いと思います。ビッグデータについて『平成29年版情報通信白書』(総務省)は、(1)オープンデータ、(2)産業データ、(3)パーソナルデータの3つに大別しています。
(1)オープンデータ :官民データ活用推進基本法に基づき、政府や地方公共団体などの公共機関が保有するデータをオープン化したもの
(2)産業データ :ノウハウをデジタル化したデータや、生産現場や建築物に設置されたIoT(モノのインターネット)機器から収集されたデータなど
(3)パーソナルデータ :氏名や住所などの個人情報はもちろんのこと、商品の購買履歴、インターネットの閲覧情報、GPS(全地球測位システム)などの位置情報や行動履歴、健康管理情報など、「個人にまつわるあらゆるデータ」のこと
従って、オープンデータの元になる住民情報には公共目的のパーソナルデータが、産業データの一部には商業目的のパーソナルデータが関連することになります。つまり、ビッグデータの大部分にはパーソナルデータが関わっており、その取り扱いに十分配慮する必要があります。そのパーソナルデータのうち、「特定の個人にたどり着ける情報」つまり「個人を識別できる情報」が個人情報です(図1)。
欧州を筆頭に各国の動向を踏まえた対応が必要
個人情報の観点でパーソナルデータを活用する際には、さまざまな法令やガイドラインを遵守する必要があります。国際的にみると、プライバシーを含む個人情報保護の分野では欧州が先行しており、各国が対応を迫られる構図になっています。
欧州はまず、1980年に法律の基本原則を定めた「OECD(経済協力開発機構)8原則」を採択し、1995年には「EU(欧州連合)データ保護指令」を採択しました。さらに2016年には、「EU一般データ保護規則(GDPR)」を制定し、強力な域外適用と高額な制裁金を課すようになっています。
一方、一般法がなく判例主義の米国は、2018年に「カリフォルニア州消費者プライバシー法(CCPA)」を制定。現在は、連邦全体に効力を持つ「米国データプライバシー保護法(ADPPA)」を議論しています。プライバシーを含む個人情報保護の動きは国際的に関連しているだけに、各国の動向にも目を光らせながら対応する必要があります。
そうした動きの中で日本では、2003年(平成15年)に「個人情報保護法」が成立しました。その後も種々の法改正が進んでいます。「令和3年(2021年)改正個人情報保護法」では、官民の規定一体化が進められ、官民のデータ連携がより進めやすくなると期待されています。以前は、官民で個人情報保護の法令・ガイドラインが異なり、さらに地方公共団体ごとに条例が異なる、いわゆる「個人情報保護法制2000個問題」が発生していました。
日本の個人情報保護法の全体像は、法律・政令・規則・条例に基づき、民間部門と公的部門において遵守するべき各種ガイドラインなどがあるイメージです。個人情報保護委員会が定める「個人情報保護法の基本」が、その1つです。
ただし、個人情報保護法は一般法であり、対象分野に特別法が存在する場合は、そちらが優先されます。マイナンバー法は特別法の一例です。分野ごとに守るべき法律が異なる可能性があり、各分野のガイドラインに個別に対応しなければなりません。特定分野のガイドラインには、「金融関連分野ガイドライン」や「医療関連分野ガイダンス等」「情報通信関連分野関連ガイドライン」があります。