政府のIT総合戦略本部「パーソナルデータに関する検討会」(座長=堀部政男・一橋大学名誉教授)の第5回会合(2013年12月10日)で、制度見直し方針の事務局案を了承しました。
以下、ご紹介(抜粋)します。
パーソナルデータの利活用に関する制度見直し方針(抜粋)
1.背景及び趣旨
個人情報保護法の制定から10 年を迎えたが、個人情報保護法制定当時には想定されていなかった利活用が行われるようになってきており、個人情報及びプライバシーに関する社会的な状況は大きく変化している。また、企業活動がグローバル化する中、海外における情報の利用・流通とプライバシー保護の双方を確保するための取組に配慮し、制度の国際的な調和を図る必要がある。このような状況の変化を踏まえ、個人情報及びプライバシーの保護を前提としつつ、パーソナルデータの利活用により民間の力を最大限引き出し、新ビジネスや新サービスの創出、既存産業の活性化を促進するとともに公益利用にも資する環境を整備する。さらに、事業者の負担に配慮しつつ、国際的に見て遜色のないパーソナルデータの利活用ルールの明確化と制度の見直しを早急に進めることが必要である。
2.パーソナルデータの利活用に関する制度見直し事項
- 第三者機関(プライバシー・コミッショナー)の設置
独立した第三者機関(いわゆる三条委員会)を設置し、パーソナルデータの保護と利活用をバランスよく推進する観点から、分野横断的な統一見解の提示、事前相談、苦情処理、立入検査、行政処分の実施等の対応を迅速かつ適切にできる体制を整備する。
- 個人が特定される可能性を低減した個人データの個人情報及びプライバシー保護への影響に留意した取扱い
個人情報及びプライバシーの保護に配慮したパーソナルデータの利用・流通を促進するため、個人が特定される可能性を低減した個人データについて、個人情報及びプライバシーの保護への影響に留意しつつ、第三者提供における本人同意原則の例外として、新たな類型を創設し、新たな類型に属するデータを取り扱う事業者(提供者及び受領者)が負うべき義務等を法定する。(注)
- 国際的な調和を図るために必要な事項
諸外国の制度との調和、他国への越境移転の制限、開示、削除等の在り方、パーソナルデータ利活用のルール遵守の仕組みの構築、取り扱う個人情報の規模が小さい事業者の取扱い、行政機関、独立行政法人等及び地方公共団体が保有する個人情報の取扱いなどについて、検討する。
- プライバシー保護等に配慮した情報の利用・流通のために実現すべき事項
パーソナルデータの保護の目的の明確化、保護されるパーソナルデータの範囲の明確化、プライバシーに配慮したパーソナルデータの適正利用・流通のための手続き等の在り方などについて、検討する。
3.今後の予定
詳しくは、「パーソナルデータの利活用に関する制度見直し方針案(事務局提出資料)」をご覧ください。
(注)「新たな類型に属するデータを取り扱う事業者(提供者及び受領者)が負うべき義務等」は、米国FTC(連邦取引委員会)報告書「急速に変化する時代における消費者プライバシーの保護」(2012.03)に記載されている「FTC3要件」(以下参照)に基づいて法定されると考えられます。
「特定の本人、コンピュータや他のデバイスに合理的に連結可能(reasonably linkable)でないデータ」として取り扱うようにするためには、以下の3要件を満たすこと。
- 当該企業は、データを合理的に非識別化(de-identify)するための措置をとること。
- 当該企業は、そのデータを再識別化(re-identify)しないことを公に約束すること。
- 委託先・第三者にかかわらず、そのデータの移転を受ける者が再識別化することを当該企業は契約で禁止すること。
因みに、「FTC3要件」で注意を要するのは、識別の対象が本人だけではなく、コンピュータやデバイスも含まれ、コンピュータやデバイスを通じて本人に連結可能(reasonably linkable)な場合は前述の要件を満たしていないことになります。
例えば、特定の人に広告を見せるなど、住所や氏名を持っていなくても、コンピュータの画面やスマートフォンの画面にメッセージを出そうとした時点で、再識別化(re-identify)をしていることになります。