1. HOME
  2. 刊行物
  3. 金融ITフォーカス
  4. カテゴリから探す
  5. 金融インフラ
  6. パーソナルデータに関する制度改正の金融機関への影響

パーソナルデータに関する制度改正の金融機関への影響

2014年12月号

ICT・メディア産業コンサルティング部 上級コンサルタント 小林慎太郎

プライバシー保護を図りながらパーソナルデータ活用を促進するために、個人情報保護法が10年余ぶりに改正されようとしている。規制強化の一方、本人の同意なしでデータの利活用が可能になるなど、金融機関への影響も大きいと考えられる。

 2014年6月24日に、「パーソナルデータの利活用に関する制度改正大綱」(以下、「大綱」)が、政府のIT総合戦略本部(※1)において決定された。大綱は、2013年6月に閣議決定された「世界最先端IT国家創造宣言」に掲げられた施策「ビッグデータ利活用による新事業・新サービス創出の促進」を受けたもので、安倍内閣が進める成長戦略の一環として、パーソナルデータを、プライバシー保護に配慮しながらも、いかに利用しやすくして新事業・新サービスを創出するかを主眼としている。

 一方、大綱決定の翌月に明らかとなった、いわゆる「名簿屋」を介した大規模な個人情報の流出事件は、このパーソナルデータ利活用に向けた動きを大きく引き戻すことになった。パーソナルデータの利活用を促進するための制度改正であったのだが、皮肉にも社会の関心は規制強化に移っている。

 本稿では、制度改正による金融機関への影響について、規制強化と事業機会の両面から考察する。

何が規制強化されるのか

 大綱では、これまで個人情報に該当するかどうかグレーゾーンにあったパーソナルデータのうち、保護すべき対象を明確化するとしている。もともと個人情報の対象を広めに取っていた企業には影響しないが、保護対象となるパーソナルデータを非個人情報として活用している企業にとっては、規制強化につながる内容である。

 この保護義務が新たに課されるパーソナルデータは、指紋や顔認識データなどの「個人の身体的特性に関するもの」が確実視されており、運転免許証番号のような公的な識別番号や携帯電話のシリアルナンバーなど、情報通信端末IDなども候補に挙げられている。最終的にどのデータが対象となり、どのような保護義務が課されることになるのかは、法案成立まで引き続き注視していく必要がある。

 大綱上では継続検討事項という扱いだった「名簿屋」の取扱いは、大綱公表の直後に判明した大規模な個人情報流出事件を受けて、厳しく規制される見込みである。既に経済産業省では、第三者から個人情報を取得する場合には、そのデータが適切に収集されたものであるか確認する等の留意点を盛り込んだガイドライン改正案(※2)を公表している。制度改正では、罰則の導入など、さらに踏み込んだ対応がなされる見込みであり、外部の事業者から個人情報を購入する際は、極めて慎重な対応が求められることになる。

本人同意無しでのデータ利活用を可能とする枠組み

 制度改正の最大の目玉で、大綱のトップに掲げられているのが、本人の同意なしでデータの利活用を可能とする枠組みである。これは文字通り、本人の同意がなくても、パーソナルデータを様々な目的に利用したり、第三者に提供したりすることができる制度を新設するというものである。ただし、前提条件として、個人の特定性を低減した匿名性の高いデータへの加工、すなわち匿名化処理が必要で、さらに取扱いに関する規律も求められる。

 現行法では、個人情報を第三者へ提供するには、利用目的を特定して、同意を取得することが原則である。しかし、ビッグデータビジネスのようなデータの二次利用までを利用目的に含めて同意を得ることはできない。このため、特定の個人を識別できないようにデータを加工処理し、さらにデータの提供先企業との間で、個人を再識別する行為を禁止するなどの取扱いに関する規律を法定することによって、本人から同意を得なくてもデータを利用・提供できるとする制度が設けられることとなった(図表)。

 これは、匿名化処理をしても残存する特定個人の再識別リスクを解消するために考案された枠組みであり、パーソナルデータ活用を躊躇していた事業者にとっては、新たな道が開けることになる。特に、前述した名簿屋規制によって、外部の個人情報へのアクセスが厳しくなることが予想されるため、法制度として外部データを利活用できるこの枠組みは重要な意味を持つことになろう。一方、これまで、独自に匿名化処理をして既にビジネスを展開している事業者にとっては新たな規制であり、今後当局が判断する匿名化の水準によっては、事業に支障を来す可能性もある。

民間主導の自主ルールの枠組み

 大綱では、基本的な制度の枠組みを補完するために、民間の自主的な取り組みを活用することが大きな方針の一つとして示された。米国では、民間の自主規制を中心にしたプライバシー保護制度が運用されており、わが国よりも自由度高くパーソナルデータを利用できる環境が、同国におけるビッグデータビジネスの興隆に寄与している。パーソナルデータ活用によるイノベーションを経済成長につなげるには、実効性を確保したうえで、自主規制のメリットを生かす制度にすることが重要である。

 情報通信技術は日進月歩で進化しており、制定に時間のかかる法律による規制では間に合わないという問題がある。また、プライバシーは状況・経緯(コンテキスト)に依存するため、ケースバイケースでの判断が求められ、一律の規制を課すことが難しいという面もある。

 このため、法律では原則や大きな方針だけを示すことにし、詳細は政省令やガイドライン、そして民間の自主規制ルールにより対応することとされたのである。これは「原則主義(プリンシプルベース)」と呼ばれる制度運用に準ずる考え方で、金融分野で採用されている。事業者は自ら会計基準の妥当性を判断できる代わりに、監査人による専門的なチェックを受けるなど、アカウンタビリティ(説明責任)を果たすことが要求される。こうした対応が期待される具体例としては、個人の特定性を低減したデータへの加工方法等がある。

 個人情報保護法の改正法は早ければ2015年通常国会で採択され、一部は即時施行となる。大きな影響を受ける金融機関には、迅速な対処が望まれる。

1) 正式名は、高度情報通信ネットワーク社会推進戦略本部。
2) 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正案が、2014年9月26日~10月28日までパブリックコメントにかけられた。

※組織名、職名は掲載当時のものです。

印刷用PDF

Writer’s Profile

小林慎太郎

小林慎太郎Shintaro Kobayashi

ICT・メディア産業コンサルティング部
上級コンサルタント
専門:ICT 公共政策・経営

この執筆者の他の記事

小林慎太郎の他の記事一覧

このページを見た人はこんなページも見ています