令和2年 改正個人情報保護法の概要(後編)/イーデザイン損保の交通安全データを活用した事故削減、東京電力による電力使用量データ活用サービス
LayerX Labs Newsletter (2022/01/19-01/25) Issue #139
今週の注目トピック
Takahiro Hatajima(@th_sat)より
令和2年 改正個人情報保護法の概要について、仮名加工情報の新設を中心に紹介します。
あわせて、イーデザイン損害保険の交通安全に関するデータを活用した事故削減、東京電力パワーグリッドなどによる電力使用量のデータを活用したサービス提供などを紹介します。
Section1: PickUp
●令和2年 改正個人情報保護法の概要(後編)
令和2年(2020年)3月10日に第201回通常国会に提出された「個人情報の保護に関する法律等の一部を改正する法律案」は、令和2年(2020年)6月5日の国会において可決・成立し、令和2年(2020年)6月12日に「個人情報の保護に関する法律等の一部を改正する法律」が公布された。
令和2年改正法のポイントは、大きく「1. 個人の権利の在り方」「2. 事業者の守るべき責務の在り方」「3. 事業者による自主的な取り組みを促す仕組みの在り方」「4. データ利活用に関する施策の在り方」「5. ペナルティの在り方」および「6. 法の域外適用・越境移転の在り方」の6つに分けられる。本稿では、先週に続いて、それぞれのポイントについて内容をふりかえる。
https://www.ppc.go.jp/files/pdf/200612_gaiyou.pdf
4.データ利活用に関する施策の在り方
(1)「仮名加工情報」の創設
仮名化された個人情報について、一定の安全性を確保しつつ、データとしての有用性を、加工前の個人情報と同等程度に保つことにより、匿名加工情報よりも詳細な分析を比較的簡便な加工方法で実施しうるものとして、利活用しようとするニーズが高まっている。そこで、イノベーションを促進する観点から、「個人情報」と「匿名加工情報」の中間的な制度として、氏名等を削除することによって、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工した個人に関する情報である、「仮名加工情報」を創設し、事業者内部での分析に限定する等を条件に、開示・利用停止請求への対応等の義務を緩和する。
(2)「仮名加工情報」創設の背景
「令和2年改正個人情報保護法の実務対応」(新日本法規 刊)にも記載のとおり、現行法には「匿名加工情報」が設けられているが、その作成には加工前の個人情報を事業者が通常の方法により特定できないような状態にする必要がある。そのため、そうした加工によってもデータの有用性を一定水準以上に保つためには、相当程度に高度な技術・判断が必要となってしまう点が、匿名加工情報の活用にあたって大きな壁となっている。一方では、事業者の中には、組織内部で個人情報を取り扱うにあたり、前述のように「匿名加工情報」よりも加工による抽象化の度合いが低いものとして、氏名など特定個人を容易に識別できる記述を削除したり他の記述に置き換えることによって(例:氏名を削除して仮IDを付与したりハッシュ化する)、加工後のデータ単体から特定個人を識別できない実務(仮名化)が広がっている現状がある。ただし、この仮名化された個人情報は、加工前の個人情報との対応関係を示す対照表等との照合によって、特定個人を識別可能である点において、匿名加工情報よりも加工による抽象化の程度が低いため、特別な技術を要することなしに比較的簡便に作成できる。また、個人情報の本人である特定顧客むけでなく、一般消費者むけの商品開発などの目的で利用する場合であれば、特定個人を識別する必要はなく、そうした利活用において、仮名化された個人情報はデータの有用性が加工前の個人情報により近いことから匿名加工情報より詳細な分析を比較的簡便な加工方法で実施できる可能性があるとされる。
こうした背景で、仮名加工情報の概念が追加されたことから、仮名加工情報を利用する上では、過去に個人情報を取得した際の利用目的に縛られずに別目的でも利用できるなど規制が一部緩和される一方で、第三者提供は禁止され、事業者内部での利用が想定されている点がポイントとなっている。
https://www.ppc.go.jp/files/pdf/201127_kameikakou.pdf
(3)利用目的による制限の緩和
仮名化された個人情報は、対照表などとの照合によって特定個人を識別可能なため、個人情報に該当する。そのため、現行法では、特定個人を識別する必要がない目的に利用する場合であっても、加工前の個人情報の利用目的達成に必要な範囲を超える目的で利用する場合には、本人同意が必要とされる。しかし、仮名化された個人情報の場合、他情報と照合することで特定個人を識別しないことが確保される限りは、本人と紐づけて利用されることはない。そのため、今回の改正では、目的外利用を認めることによる利益が不利益を上回るとして、仮名加工情報については、識別行為の禁止等の行為規制が課される一方で、利用目的による制限が緩和されることとなった。(出所:令和2年改正個人情報保護法の実務対応)
(4)開示・利用停止等の対象からの除外
また、仮名化された個人情報は、単体では特定個人を識別できないようになっているにも関わらず、現行法では、開示・利用停止などの請求に対応しなければならないとされている。しかし、こうした請求に対応する上では、まず加工前の個人情報を復元して特定個人を識別することが必要になってしまう。そうした背景から、仮名加工情報については、開示・利用停止等の対象から除外されることとなった。(出所:同上)
(5)仮名加工に際して講じるべき措置
前述のとおり、仮名加工情報とは、「他の情報と照合しない限り特定の個人を識別することができないように加工して得られる個人に関する情報」をいう。そのため、「他の情報との照合が可能であって、当該の他情報と照合すれば特定個人を識別できるもの」ということになる。これを踏まえ、加工に際して講じるべき措置としては、当該個人を識別できる記述等の一部を削除すること、個人識別符号(その情報だけでも特定個人を識別できる文字・番号・記号・符号。例:DNA情報や指紋情報、パスポート番号)の全部を削除すること、とされており、それぞれ削除にかえて、復元することのできる規則性を有しない方法により他の記述に置き換えることを含むとされる。匿名加工情報においては、特定個人が識別される可能性を排除するために、特異な値を削除したり丸めたりといった加工が求められるのと異なり、仮名加工情報では他の情報と照合することによって特定個人を識別されることが許容されていることから、特異な値の削除や丸めまでは求められないと考えられている。なお、個人情報を加工して作成された情報が仮名加工情報として扱われるためには、匿名加工情報と同様に、仮名加工情報作成の意図をもって加工されることが必要とされる。なお、統計情報は、現行法の下で、特定個人との対応関係が排斥されている限りにおいて「個人に関する情報」に該当しないと整理されており、仮名加工情報には該当しない。(出所:同上)
(6)「個人情報である仮名加工情報」と「個人情報ではない仮名加工情報」
なお、仮名加工情報の個人情報への該当性については、まず事業者が個人情報を加工して仮名加工情報を作成する場合は、元データを引き続き保有していたり、元データからどのような記述や個人識別符号を削除したか等を保有していることが考えられ、それらと容易に照合して特定個人を識別可能であるため、「個人情報である仮名加工情報」となることが多い。一方、仮名加工情報を作成した事業者以外の第三者が、元データ等を含まない仮名加工情報だけを委託などによって取得した場合には、他情報と容易に照合して特定個人を識別できないため、「個人情報ではない仮名加工情報」となる。(出所:同上)
(7)仮名加工情報を作成するための加工基準
仮名加工情報の作成においては、それ単体では特定個人を識別できないようにする必要がある(下図①(住所・氏名など)②(パスポート番号・マイナンバー・生体認証情報など))。また、それ単体では特定個人を識別できない情報であっても、クレジットカード番号・ネットバンキングのID・パスワードなどは不正利用により個人の財産的被害が生じる恐れがあるため、削除する必要がある(下図③)。(出所:同上)
https://www.ppc.go.jp/files/pdf/201127_kameikakou.pdf
(8)想定される仮名加工情報の活用シーン
こうした仮名加工情報の活用場面としては、「利用目的が不十分または欠けている場合に利用目的を柔軟に変更する場合」や「利用目的が限定されている個人情報の利活用」が考えられるとされる。前者の例としては、事業者が過去に取得した個人情報をAIの学習データとして利用する場合に、当該個人情報を加工して仮名加工情報を作成することで、本人の同意を取得せずともその利用目的を変更して、AI学習データとして利用できるというものだ。後者の例としては、医療・治験などの分野で取得される個人情報の利用目的が医療行為提供や治験などに限定されている場合に、仮名加工情報に加工することによって、利用目的を柔軟に変更して利活用することが可能になるというものだ。(出所:同上)
(9)提供先において個人データとなることが想定される場合の本人同意
現行法では、個人データを第三者に提供する際には、提供元の事業者において他の情報と容易に照合でき、それにより特定個人を識別できる場合には、個人情報として取り扱う必要があるとされてきた(提供元基準)。これに対して、ユーザーデータを大量に集積し、それを瞬時に突合して個人データとする技術が発展・普及したことにより、提供先において個人データとなることを知りながら非個人情報として第三者に提供するという、個人情報保護法(第23条)の規定の趣旨を潜脱するスキームが横行しつつあり、こうした本人関与のない個人情報の収集方法が広まることが懸念されている。2019年には、いわゆるリクナビ事件も社会的問題となった。そこで、提供元では「個人データ(個人情報データベース等(名簿や連絡簿のように、特定の個人情報を検索できるように体系的に構成したもの)を構成する個人情報)」に該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける。
https://www.soumu.go.jp/main_content/000753738.pdf
5.ペナルティの在り方
法に違反する事案が増加する中で、報告徴収や立入検査を行う事案は増加しており、事業者の実態を把握する端緒となる報告徴収や立入検査の実効性を高める必要がある。また、法人に対して、行為者と同額の罰金を科したとしても、罰則として十分な抑止効果は期待できない。そこで、委員会による命令違反・委員会に対する虚偽報告等の法定刑を引き上げる。また、データベース等不正提供罪、委員会による命令違反の罰金について、法人と個人の資力格差等を勘案して、法人に対しては行為者よりも罰金刑の最高額を引き上げる(=いわゆる法人重科)。特に、個人情報保護委員会からの命令への違反と、個人情報データベース等の不正提供等については、法人等への罰金刑の最高額が1億円に引き上げられている。
6.法の域外適用・越境移転の在り方
現行法では、報告徴収及び立入検査ならびに命令の規定は、外国にある個人情報取扱事業者には適用されない。このため、外国の事業者が個人情報保護法に違反した場合、個人情報保護委員が域外適用の対象となる外国の事業者に行使できる権限は、指導及び助言並びに勧告のような強制力を伴わない権限にとどまっており、外国における漏えい等の事案に対して、個人情報保護委員会が適切に対処できない恐れがある。その場合、外国事業者が、国内にある者に対する役務提供に関する個人情報を漏洩した際に、個人情報保護委員会が照会を行っても、守秘義務を理由に回答を拒否されるケースがあったという。仮に外国事業者から個人情報が大量に漏洩するなど、個人情報保護委員会による迅速な対応が必要な場合に、これでは、個人の権利保護を十分に図ることができない。そのため、日本国内にある者に係る個人情報等を取り扱う外国事業者を、罰則によって担保された報告徴収・命令の対象とするなど、法の域外適用の範囲が拡大される(出所:同上)。
近年、一部の国において国家管理的規制がみられるようになっており、個人情報の越境移転の機会が広がる中で、国や地域における制度の相違は、個人やデータを取り扱う事業者の予見可能性を不安定なものとし、個人の権利利益の保護の観点からの懸念も生じている。具体的には、個人データを提供する本人は一般的に諸外国の規制まで知らないことが想定されるため、外国にある第三者への個人データを提供することについて本人の事前同意を取得する際に、当該外国の法令によって本人の権利利益が害されるおそれを理解しないまま同意する可能性がある。また、外国にある第三者に個人データを提供できる要件を当該提供を行った時点では適合していた者であっても、当該外国の法令変更などによって、相当措置の継続がなされない恐れがあり、事業者もこれら事情変更を関知しないまま、当該第三者への個人データ提供を継続する可能性がある。
そこで、外国にある第三者への個人データの提供時に、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等を求める。まず一つが、本人の同意に基づき提供する場合に、移転先国の名称や個人情報保護に関する制度に関する情報を提供する義務があるというものだ。また、外国にある第三者が個人情報保護委員会規則で定める基準に適合する体制を整備していることを根拠として外国にある第三者に個人データを提供した場合に、当該第三者による相当措置の継続的実施を確保するために必要な措置をとることや、本人の求めに応じて必要措置に関する情報を提供する義務がある、としている。(出所:同上)
その他、本改正に伴い、「行政手続における特定の個人を識別するための番号の利用等に関する法律」及び「医療分野の研究開発に資するための匿名加工医療情報に関する法律」においても、一括法として所要の措置(漏えい等報告、法定刑の引上げ等)を講ずる、としている。
個人情報の取扱いに対する社会の関心も高まっている他、改正法の全面施行日まで残すところ3ヶ月を切った。プライバシーポリシーの見直しをはじめ、多くの企業で対応が必要と考えられることから、今後の動向に注視したい。(文責・畑島)
●データ利活用最前線:最近のデータ利活用に関係するニュースの紹介
Joint Statement by Vice-President Jourová and Commissioner Reynders ahead of Data Protection Day(1/28)
本日1月28日はプライバシーに関する唯一の国際条約である欧州評議会の『108号条約』から41年目にあたる、Data Protection Dayである。
Data Protection Dayとは、 プライバシーとデータ保護のベストプラクティスに対する認識を高め、促進することを目的に、欧州評議会が2006年に定めた国際行事である。
本声明では2021年は施行が活発化し、いくつかの注目すべき事例が多額の罰金を科す結果となり、さらに今後数カ月、数年にわたり、このアプローチを追求し、増幅させることが重要であると発表している。
“交通事故のない世界”実現への取り組み「SafeDriveWith」プロジェクト 渋谷区への&e運転データ連携を開始
イーデザイン損害保険株式会社は、交通安全に関するデータを活用した事故削減の取り組み「SafeDriveWith」プロジェクトとして、渋谷区へのデータ提供を開始。
IoTセンサーとスマートフォンを連携した安全運転支援サービスを含む自動車保険「&e」で収集した運転時の急加速、急ブレーキ、急ハンドルなどさまざまな運転データを、個人情報を含まない形で加工・統計化したうえで、渋谷区が構築を進める「シティダッシュボード」に連携することで、渋谷区内の危険個所を見える化し、交通事故の予防を目指すという。
患者と医師、両方からデータを得てがん治療をよりパーソナライズする仏Resilience、約51.6億円調達
がん患者向けに自分の病気に関するコンテンツや情報を収集できるアプリを提供し、病院向けにはがん治療をよりパーソナライズするためのSaaSソリューションを提供するフランスのスタートアップであるResilienceが4000万ユーロ(約51億6000万円)を調達した。
病院側は、患者がアプリを使って集めたデータを活用できるようになり、患者をよりよく理解し、迅速にケアを適応させることができる。
中国国家発展改革委員会(発改委)は26日に公表した文書で、深セン市がクロスボーダーのデータ取引などで改革を進めることを承認した。
新たなガイドラインでは、深セン市を含む「広東・香港・マカオグレーターベイエリア」間のデータ転送を視野に入れた越境データ取引の基準策定を同市に求めている。
NEXCO中日本、高速道路の各種データを活用したアイデアコンテストを開催
NEXCO中日本は、スタートアップ企業などから同社が保有する各種データを活用した独自性のあるアイデアを募集すべく、新たに高速道路DXアイデアコンテストを開催する。
募集するのは4つの特定テーマ「スマートSA/PA」「災害対策と復旧」「変状への位置情報自動付与」「お客様対応の迅速化と料金所トラブル回避」および自由テーマであり、企業・大学などを対象に2月1日から5月27日までさまざまなアイデアを募集。
アプリケーション部門最優秀賞には100万円、同優秀賞には20万円、アイデア部門最優秀賞には20万円、同優秀賞には5万円が副賞として贈られる。
シャープは「IoT家電」のデータ活用により食事内容などウェブサイトでは捕捉が難しかった家の中の消費の把握に取り組む。
家電データを使ったネット広告では効果が3割高かったという。
ネット通販と連携して買い物もできるようにし、家電の売り切りから生活サービス企業に転換する。
データ利活用型スマートシティの実現を支える都市OS「アナスタシア」の挑戦
スマートシティの実現に向けたデータ流通を手掛けるエクスポリスは、国内におけるさまざまなライフスタイルを支えることを目的にしたデータ連携基盤「Anastasia(アナスタシア)」を提供。
より具体的には地域課題抽出のためのツール、また課題解決のためのアプリケーションの開発や導入を支援するデータ流通のインターフェースの提供、 そのアプリケーションの共有のためのマーケットプレイスの提供を行う。
出典:https://www.expolis.net/anastasia
損害保険ジャパンはウェザーニューズと気象データを使った商品開発で包括提携する。
損保事業で培った事故データと組み合わせて人工知能(AI)で解析し、運送業者や再生可能エネルギー事業者向けの事故予防につなげ、導入企業の事故を減らすことで、保険料の割引につなげる。
Fortanix Announces Industry-First 100th Production Customer for Confidential Computing
Fortanixが業界初となる100社目のコンフィデンシャル・コンピューティングの顧客を発表。
IoTプラットフォームのリーディングカンパニーであるParticle社が、記念すべきFortanixのConfidential Computingサービスの100社目の顧客となった。
欧州議会、米ビッグテックのターゲティング広告を規制する法案「DSA」を承認
欧州連合の立法議会である欧州議会は、欧州委員会が2020年に発表したGoogle、Amazon.com、Meta(旧Facebook)などのプラットフォーム企業が個人の機密情報をターゲティング広告に使うことを規制する法案「Digital Services Act」を承認。違反企業には年間売上高の最大6%の罰金が課される。
2020年の法案発表後、様々な条項が追加されており、当初から含まれている性的指向、人種、宗教に加え未成年者のデータ収集も禁じ、ダークパターン(ページのデザインや機能でユーザーが無意識に企業に有利な選択をするよう誘導すること)も禁じることが追加された。
DSAの成立にはこの後、EU加盟国や欧州委員会との調整が必要だ。
電子カルテデータを分析し製薬企業や研究期間に提供するフラットアイアンヘルスが日本市場に参入する。
国立がん研究センター東病院(千葉県柏市)と組み、がん患者の治療データを集積・加工し、新薬開発時に臨床試験(治験)の代替データとして活用したい製薬会社などに提供するという。
電力使用量から在宅状況把握、企業・行政サービスに生かす…東電など新会社
東京電力パワーグリッドやNTTデータなど4社が、一般家庭の電力使用量のデータを活用したサービス提供の新会社を4月にも設立する。
スマートメーターのデータを使用し、契約者が生活する地域の在宅時間を分析し、企業や自治体に販売することを想定しているという。
ユースケースとしては、使用量から地域の在宅時間の傾向を把握することで、宅配会社が留守の多い時間帯の配達を避け、効率化が図ったり、スーパーが帰宅時間のデータを基に、生鮮食品や総菜の値引き開始を決めることで食品ロスを削減するといったケースが想定されている。
また、データから電気をほとんど使っていない住宅がわかるので、自治体は空き家の実態を把握しやすくなり、防犯体制の強化や都市計画に生かすことが可能となる。
データは個人情報を削って、本人が特定されないように加工されている。
LayerX Labsでは、次世代プライバシー保護・セキュリティ技術Anonifyの正式提供に向けトライアルパートナーの募集を開始、合わせて公式ウェブサイトを公開しました。
「Anonify」の公式ウェブサイトはこちら
Section2: ListUp
1. プライバシー・セキュリティ
●退会後も個人情報持つ企業 迫る法改正で見直し必至
https://www.nikkei.com/article/DGXZQOUC146XQ0U2A110C2000000/
●改正個人情報保護法とは 漏洩防ぐ対策の開示必要: 日本経済新聞
https://www.nikkei.com/article/DGXZQOUC222CT0S2A120C2000000/
●郵便局長104人が顧客情報1318人分を政治活動に流用
https://news.tv-asahi.co.jp/news_economy/articles/000242449.html
●「調査終了は論外」総務省会議で批判噴出 郵便局長の顧客データ流用
https://www.asahi.com/articles/ASQ1T5WYSQ1TULFA009.html
●日本郵便|業務外活動におけるお客さま情報の利用に係る調査結果等
https://www.soumu.go.jp/main_content/000789490.pdf
●子どもデータ連携実証事業へ、「究極の個人情報、国民の意識に沿った検討が必要」
https://xtech.nikkei.com/atcl/nxt/news/18/12064/
●総務省|プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ(第9回)
電気通信事業における個人情報保護に関するガイドライン改正案の概要
https://www.soumu.go.jp/menu_news/s-news/02kiban18_02000183.html
●総務省|郵便局データの活用とプライバシー保護の在り方に関する検討会(第2回)配付資料
(1)データの取扱いWGからの進捗報告
(2)データ活用推進WGからの進捗報告
(3)改正個人情報保護法を受けた郵便事業分野における個人情報保護に関するガイドライン及び解説の改正(案)
https://www.soumu.go.jp/main_sosiki/kenkyu/postaldata_privacy/ryutsu14_02.html
●個人情報委員会|外国における個人情報の保護に関する制度等の調査
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaikoku
https://www.ppc.go.jp/files/pdf/offshore_DPA_report_R3_12.pdf
●個人情報保護ルール精緻化 大学などにも影響
https://www.nikkei.com/article/DGXZQOCD170LL0X10C22A1000000/
●第197回 個人情報保護委員会 |個人情報保護委員会
https://www.ppc.go.jp/aboutus/minutes/2021/220126/
●郵便局長データ流用、個人情報保護委は「状況注視」 有識者と温度差
https://www.asahi.com/articles/ASQ1V5GKPQ1VULFA003.html
●【2022年4月施行】改正個人情報保護法 システム部門が担うべき役割とは」
https://enterprisezine.jp/article/corner/556
2. 今週のLayerX
●note株式会社様よりサービスと会社の急拡大に耐えうる経理体制の構築の為、バクラク請求書とバクラク申請を導入頂きました
https://bakuraku.jp/case/invoice/note
●LayerXのPodcastのまとめ&文字起こしが一気に読めるページです
https://jobs.layerx.co.jp/01e5ebc5845e4c15ba4d04679dd98786
●デット性金融商品第一号販売完了のお知らせ|三井物産デジタル・アセットマネジメント株式会社のプレスリリース
2022年1月25日付で、当社デット性商品の取扱第一号となるリース料債権を裏付とする信託受益権の販売を完了致しました。
https://prtimes.jp/main/html/rd/p/000000014.000056997.html
●新ファンド運用受託開始のお知らせ
170億円超の大型レジデンシャルファンドを組成|三井物産デジタル・アセットマネジメント株式会社
2022年1月25日付で、都心に位置する16物件の賃貸住宅を投資対象とする不動産ファンドのアセットマネジメント業務を開始致します
https://prtimes.jp/main/html/rd/p/000000013.000056997.html
●LayerXのクラウド稟議システム「バクラク申請」がクラウドサインとAPI連携、稟議と契約締結プロセスをシームレスに統合 | TechCrunch Japan
https://jp.techcrunch.com/2022/01/25/layerx-bakuraku-workflow-cloudsign/
●社内申請と契約つなぐ LayerXが電子契約で連携: 日本経済新聞
https://www.nikkei.com/article/DGXZQOUC245I80U2A120C2000000/
●バクラク申請、クラウドサインとAPI連携 〜稟議から契約締結をシームレスに実現〜 - バクラクシリーズ
https://bakuraku.jp/news/updates/220125_cloudsign
●LayerX、ネプチューンが経理担当を熱演する「バクラク請求書」のテレビCMを1/22(土)から放送開始
https://bakuraku.jp/news/release/tv-cm_202201
●ネプチューンの3人が経理担当を熱演!煩雑な請求書処理業務が解決して笑顔になる「バクラク請求書」新CMが放送開始
https://music-book.jp/video/news/news/783278
製品紹介・デモのご依頼に向けたお問い合わせは、こちらの「お問い合わせフォーム」よりお願いします
Disclaimers
This newsletter is not financial advice. So do your own research and due diligence.