「セキュリティーへの対応は社員も派遣社員も同じ。倫理観や責任感の必要性は再発防止の命題だ[1]。」
これは、2014年に進研ゼミなどを運営する通信教育の大手企業ベネッセコーポレーション(ベネッセ)から保有する大量の個人情報が流出した際に、会見で当時のベネッセ社長が述べた言葉です。
この事件は、不正アクセスではなく、アクセス権限を与えられていた業務委託先従業員の犯行でした。この従業員は、不正競争防止法の疑いで警察庁に逮捕されています。この事件による漏えい件数は約3500万件に達し、過去最大の個人情報流出事件になりました。
この事件を受けて、被害者達はベネッセと業務委託先に損害賠償を求めて裁判所に提訴しました。しかし、裁判所がさまざま状況を考慮した結果、ベネッセへの損害賠償請求は退けられました。
具体的には、漏えいした情報が基本情報で秘密性が高くないこと、ダイレクトメールが増えたことなど以外に被害者に実質的な財産的な損害がなかったことが挙げられます。また、ベネッセ側が漏えい後は速やかに被害拡大を防ぐ手段を講じていたこと、謝罪のために顧客に500円の金券の提供を申し出ていたことなども考慮されました。
前述の通り、情報漏えいの原因は、業務委託先の社員による故意の不正取得でした。しかし、漏えい件数が多かったことと名簿屋に情報が提供されたこともあり、ベネッセは経営的に大きなダメージを受けました。
事件後、ベネッセでは大規模な顧客離れが起こり、上場以来初の赤字に転落しました。また、責任部署の取締役2名が引責辞任し、プライバシーマークが取り消されました。
この事件は、個人情報の管理は、自社のみならず業務委託先に対しても厳格に実施させる責任があることを認識させるものでした。全ての従業員に対して十分な管理を求められていないと、このような大事件に発展する可能性があるのです。
一方、個人情報は、適法に管理し活用すれば事業活動に有益なデータでもあります。IoTやAIによるデジタル革命により、健康情報など重要な個人情報は厳格に管理されるようになる一方、個人を特定できないように加工された情報などは、積極的に有効活用できるようになっているからです。
個人情報保護法の歴史を知ることで、個人情報保護の意義をご理解いただけるだけでなく、今後の個人情報の有効活用のためのヒントも得ることができます。
今回は、個人情報保護法の歴史について、コンプライアンスのプロがその発端から最新トレンドまで、歴史を変えたエピソードを交えてご紹介します。
本稿が、貴社の最適なコンプライアンス実現の参考になれば幸いです。
尚、企業の個人情報保護研修の具体的なプログラムなどについては以下の記事で解説しています。
無料eBook
コンプライアンスが楽しくなる!
ゲーミフィケーションで実践する教育の仕組みづくり
大手電機メーカーで実際に行われたコンプライアンス施策をもとに教育手法にフォーカスし、131ページにわたり解説しています。
[1] 「【ベネッセ情報漏洩】「退会依頼3000件きている」原田会長一問一答」,『SankeiBiz』,2014年7月17日,https://www.sankeibiz.jp/compliance/news/140717/cpb1407172126005-n1.htm (閲覧日:2021年11月30日)
1. 個人情報保護法の歴史 各国での個別対応から国際協調へ
個人情報は、いつ、どこで、どのような背景で保護されるようになったのでしょうか。本章では、個人情報の保護が各国共通の基準で行われるようになった経緯と、各国の個人情報保護の内容について紹介します。
1-1. プライバシー保護の国際的な共通化の始まり
個人情報の保護は、個人のプライバシーを保護することから始まりました。
「個人のプライバシーを尊重し、法律で保護すべきである」という考え方は、19世紀に米国で提唱されたものです。これは、1890年に弁護士のサミュエル・D.ウォーレンとルイス・D・ブランダイスが執筆した論文「プライバシーの権利(The Right to Privacy)」がきっかけになったと言われています。
その後、米国では「プライバシー侵害は不法行為」であるとして裁判で争われてきました。
このように、プライバシーの保護は各国で個別に対応されていましたが、個人情報は国境を越えてやり取りされるため、国際協調により国際的な基準を共通化しようとする動きが現れました。
それは、1980年にOECD(経済協力開発機構)が採択した「OECD8原則」です。ここでは、以下の8つの原則が提示されました。
①目的明確化の原則
②利用制限の原則
③収集制限の原則
④データ内容の原則
⑤安全保護の原則
⑥公開の原則
⑦個人参加の原則
⑧責任の原則
その後、これらは世界的な個人情報保護の基本原則となりました。
1-2. 欧州の個人情報保護法 EU指令からGDPRへ
ここからは、各国の個人情報保護法について説明します。まずは、欧州各国についてです。
1995年、EU委員会がEU指令である「個人データ保護指令(指令95/46/EC)」を出しました。このEU指令に基づき、EU加盟国は個人情報を保護する法律の制定が求められることになりました。EU指令には、加盟国による域外の第三国への個人情報の移転を制限する旨の条項が含まれていました。
EU指令が出された背景には、個人情報は重要な情報資産であるため、個人情報データ保護指令の基準を満たしていない第三国の企業への提供を制限したいという考え方がありました。
2016年、EU委員会はEU指令に代わり、保護条件をさらに強化したGDPR(General Data Protection Regulation、一般データ保護規則)を出しました。
GDPRは、2018年に施行されました。その前身であるEU指令はEU加盟国に法制化を促すものでしたが、GDPRはEU加盟国に対し直接効力を持つものです。
また、EU加盟国の個人情報の第三国への提供を制限する基準はさらに厳しくなりました。例えば、IPアドレスやCookieのようなオンライン上の識別情報も個人情報とみなす条件が規定されています。また、大量の個人情報を扱う企業は、データ保護オフィサーの任命が義務付けられるなど、企業による厳しい情報管理が求められています。
なお、GDPRの対象地域は、EU加盟国とEEA(欧州経済領域)の一部の国となっています。これらの国々は、規定に基づき、個人情報を保護する行政機関を設立しています。
また、対象地域については「域外適用」の条項があり、一部の日本企業もこれに含まれます。対象国に子会社や支店がある企業はもちろん、日本から対象国に商品やサービスを提供している企業、対象国から個人情報を処理する委託を受けている企業は、GDPRの対象となります。
ただし、GDPRには、EUと同等の個人情報保護をしている国に対して行う「十分性認定」という制度があります。
この認定を受けた国は、域外適用の条件が緩和されます。例えば、EU域内から個人情報を持ち出す場合には、事業者間の域外移転の契約等が必要な「越境移転規制」が適用されません。例えば、日本は2019年に十分性認定を受けています。
2019年、EUデータ保護当局は、米Amazonに対して「個人情報の取り扱いがGDPRの基準を満たしていない」として、7億4600万EURO(約970億円)の制裁金を科しました。Amazonはこれを不当として争いましたが、2021年7月に決定されました。
これほど高額の制裁金になるのは、違反企業に対して、グロ―バル売上高の4%以下、または2000万EURO以下の高い方を上限に制裁金が科されるためです。
GDPRは、EUで事業展開する国が多いアジア諸国に影響しています。例えば、タイでは2019年に、シンガポールでは2020年に、GDPRに準拠した個人情報保護法が施行されています。
このように、GDPRの施行は、個人情報の厳格な管理をEU加盟国等に促すと共に、対象国で事業をしている国の法制度や企業の個人情報の管理に、大きな影響を与えています。
1-3. 米国の個人情報保護法
次に、米国について説明します。前述した通り、プライバシーの保護が最初に提唱されたのは米国ですが、プライバシー侵害については個別に裁判で争われており、その後も個人情報を保護する連邦法は制定されていません。
しかし、多くのIT企業が本社を置くカリフォルニア州で、2018年に「California Consumer Privacy Act of 2018(カリフォルニア州消費者プライバシー法:CCPA)」が制定されました。
CCPAは、従来の州法よりも個人情報の厳格な保護を決めた法律でした。州法による規制ではありますが、Amazonやマイクロソフトの本社があるワシントン州などに追随の動きが出ていることに加え、連邦法が制定される可能性もあります。
カリフォルニア州は、2020年に個人情報を保護する行政機関として、「カリフォルニア州プライバシー庁(California Protection Agency)」を設立しました。同年、CCPAをさらに強化した「California Privacy Rights Act(カリフォルニアプライバシー権法:CPRA)」が制定されています。CPRAは2023年から施行されます。
このように、米国ではカリフォルニア州を起点として、少しずつ個人情報保護のための法整備が進んでいます。
1-4. 中国の個人情報保護法
2021年11月、中国で個人情報保護法が施行されました。これは、個人情報の海外持ち出しを厳しく制限する法律であり、中国で収集した個人情報の中国内での保存義務や海外持ち出しに対する当局による審査などが定められています。
違反すれば、最大で5000万元(約8億9千万円)または、前年度の売上高の5%以下の罰金を科されることになります。
同法は、中国に進出しているITサービス事業者に影響を与えています。例えば、大量の個人情報を扱ってサービスを展開していた米国のLinkedIn、Yahooは、企業が収集できる情報量の制限や保存方法の基準などへの対応コストの問題から、相次ぎ中国市場からの撤退を発表しています。
1-5. 日本の個人情報保護法
日本で個人情報保護法が制定されたのは2003年です。その後、10余年を経て2015年に大幅な改正がありました。その背景には、IT技術の発展により、制定時には想定されていなかった個人情報の電子データなどの活用が可能になり、規制が急務となったことがありました。
この時の改正では、健康情報などの「要配慮情報」に対する厳格な管理が要求される一方、個人を特定できない加工をされた情報は「匿名加工情報」として活用を促す内容が規定されています。さらに、今後の国際動向やIT技術の進展を考慮し、3年ごとの見直し規定が盛り込まれました。
見直し規定に基づき行われた2017年の法改正では、6ヶ月以内に消去される短期データが個人情報の対象に追加され、法令違反に対する罰則が強化されるなど、管理条件が厳しくなりました。その一方で、AIによるデジタル革命に対応して「仮名加工情報」が新設されています。
仮名加工情報とは、個人情報を他の情報と照合しない限り個人を特定できないようにしたものを指し、匿名加工情報よりも活用のハードルが低いものです。
「個人を特定できない加工」を条件として第三者に提供できる匿名加工情報と異なり、社内利用に限定されますが、委託と共同利用は認められています。これによって、AIやシステムの開発委託や共同開発に利用できるようになりました。
ここまで見てきたように、プライバシー情報の保護から始まった個人情報保護法は、OECD8原則をきっかけに、各国独自の対応から国際協調の時代に入りました。そして、基本的な原則を基に各国で法整備が進んでいます。
2. 個人情報は活用の時代へ 情報銀行の登場
個人情報保護法は、プライバシーの保護を目的とした情報管理から始まりました。しかし、IoTやAIによるデジタル革命において、個人情報は重要な情報資産として有効活用することが求められています。また、2015年や2017年の個人情報保護法の改正でも、個人情報の有効活用が促されています。
このような流れを受けて、個人情報を預かって管理するとともに、第三者に提供することにより収益を本人に還元する新しいサービスが登場しました。それが情報銀行です。
情報銀行の発想は、2010年頃に米国で複数のベンチャー企業が「パーソナルデジタルロッカー」と呼ばれるサービスを立ち上げたのが起源だと言われています。これは、個人情報を本人から許可を得て取得し、さまざまなサービスに活用する事業です。
日本の情報銀行(Personal Data Trust Bank)は、内閣官房IT総合戦略室のワーキンググループの中で、個人情報の保護と安全な利活用の両立を目指す議論から始まりました。
情報銀行の仕組みは、情報活用とデータ取引市場の創出を目指したものです。以下は、その概要図です。
引用元)総務省「情報信託機能の認定スキームの在り方に関する検討会 とりまとめ(案)」,資料12ー1,p8,https://www.soumu.go.jp/main_content/000619070.pdf (閲覧日:2021年12月8日)
まず、情報銀行と個人が契約を締結します。そして、個人が持つ個人情報のうち、第三者に提供可能な情報を指定し、情報銀行にその情報の取り扱いを委任します。
情報銀行は、個人から委任された範囲で、情報提供先に個人情報を提供します。情報提供先は、受領した個人情報を情報の分析やサービス事業に利用します。そして、個人は情報提供先から直接、または情報銀行を経由して、情報提供の便益を受け取ります。
例えば、個人がある企業に情報銀行を通して行動履歴や購買履歴を提供するとします。すると、その便益として、個人は企業が提供するポイントやクーポン券を受け取ることができる、という取引です。
日本で初めてサービス提供を開始した情報銀行は、電通グループのマイデータ・インテリジェンスです。同社は、2019年にスマホのアプリを用いて個人から購買履歴などのデータを預かり、企業に提供するビジネスを始めました。
金融機関で初めて情報銀行を開始したのは、2021年に業務を開始した三菱UFJ信託銀行です。同行は、スマホのアプリを用いて、企業からの体験やギフトのオファーに対して、利用者が直接個人情報を提供する企業を選べるサービスを始めました。このサービスは、個人の位置情報や資産情報を、名前や住所を匿名にしたまま活用できるのが特徴です。
政府は、情報銀行の認定について「情報信託機能の認定に係る指針」を出していますが、第三者の認定を受ける義務はありません。そのため、公的な認定機関は存在しません。
情報銀行が第三者の認定を受ける場合は、情報銀行の任意の判断により、民間による認定を受けることになります。そのため、情報銀行の管理体制により情報漏えいなどの問題が起きないかが危惧されています。
2018年には、日本IT団体連盟が、民間の「情報銀行認定制度」を始めました。2021年10月現在、サービス実施中企業2社とサービス企画中企業5社が認定されています。今後、同様の第三者認定が増えるのではないかと思われます。
また、個人情報を提供した本人には、ポイント還元などによる収益還元が行われますが、情報の提供に対して十分か否かも課題の一つです。
情報銀行は新しいビジネスモデルであるため、課題もあります。しかし、個人情報を厳格に管理する前提においては、これを有効に活用して新たな価値を創出する新規事業として、今後の発展が期待されています。
日本は、米国、英国、シンガポールなど個人情報の活用に積極的な国々に比べると、この分野の開拓が遅れています。しかし、個人情報保護法の3年ごとの見直しルールや、情報銀行のようなサービスの登場をきっかけとして、ビジネスにおける個人情報の利活用は今後ますます盛んになっていくものと思われます。
3.まとめ
プライバシーの保護から始まった個人情報保護法は、各国で個別に対応されていましたが、OECD(経済協力機構)のOECD8原則をきっかけに、国際的に統一した基準を作るようになりました。
EUは、EU指令である個人データ保護指令とその代替としてのGDPR(一般データ統一保護規則)により、EU加盟国等の基準を統一するとともに、対象国と取引のある国の企業にもGDPRの遵守を求めるようになりました。
米国は、全米に統一した基準を求める連邦法による個人情報の保護が行われていません。ただし、主要なIT企業が本社を持つカリフォルニア州が個人情報法を制定し、行政機関を設立したことが、今後、各州法や連邦法の制定に影響があると言われています。
中国は、中国で収集した個人情報の海外持ち出しを厳しく制限する個人情報保護法を施行しました。この法律は、中国に進出しているITサービス事業者に大きく影響し、米国LinkedInとYahooは中国市場からの撤退を発表しています。
日本は、個人情報保護法制定後10年を経て、IoTやAIによるデジタル革命に合わせて大幅な法改正を行いました。そこでは、個人情報の定義を明確にし、健康情報などを厳しく管理する「要配慮情報」と、個人を特定できないように加工し、活用を促す「匿名加工情報」が規定されました。
さらに、その後の法改正では、企業の管理条件の強化や違反への罰則の厳格化とともに、活用のハードルが低い「仮名加工情報」が新設されています。
さらに、米国発の「情報銀行」において、個人から許可を得て情報を預かり、第三者に提供するサービスが始まりました。情報銀行は、個人情報保護法の改正議論の中から、日本でも導入のための指針が出されました。それにより、マーケティング会社や銀行などが、情報銀行のサービスを初めています。
情報銀行については、認定基準や個人への還元などの課題はありますが、今後の発展が期待されています。
このように、プライバシー保護から始まった個人情報保護法は、厳格な情報管理と有効活用の両面から行われるマネジメントのための法律に進化しています。
今回ご紹介した個人情報保護法の歴史と歴史を変えたエピソードから、個人情報管理を実践する意義をご理解の上、自社の最適なコンプライアンスの実現に取り組んでください。
「個人情報保護法」をeラーニングで社員教育
eラーニング教材コース:個人情報を適切に守り有効活用する!「個人情報保護法」対策コース plus+
「知らなかった」では済まされない個人情報の取り扱い
個人情報保護法の目的は、個人の権利や利益を守りながら、個人情報を様々な産業で適切に利活用できるようにすることです。
一色正彦先生監修の本コースでは、個人情報を取り扱う上で注意すべき点や関連用語等をクイズを交えながらわかりやすく学習することができます。また、ケーススタディでは、個人情報保護の観点にける業務上の注意点や望ましい行動について学び、自身の行動に落とし込めるようになります。
本教材をeラーニングとして配信することで、効率的に「個人情報保護法」の社員教育をすることが可能です。
- 井上泉「ベネッセ個人情報漏えい問題」,日本経営倫理学会,https://www.jabes1993.org/researchnote_2020.1_inoue.pdf (閲覧日:2021年12月2日)
- アーチ株式会社「OECD8原則とは」,『個人情報保護・プライバシーマーク・ISMS取得データベース』,http://privacymark.co.jp/privacymark_system/ (閲覧日:2021年12月8日)
- 個人情報保護士会「個人情報保護法とは」,http://www.joho-hogo.jp/rule/kojin-history.html(閲覧日:2021年12月2日)
- 個人情報保護委員会「個人情報保護法の基本」,https://www.ppc.go.jp/files/pdf/28_setsumeikai_siryou.pdf(閲覧日:2021年12月2日)
- 個人情報保護委員会「個人情報保護法 令和2年改正及び令和3年改正案について」,https://www.meti.go.jp/shingikai/sankoshin/shomu_ryutsu/bio/kojin_iden/life_science/pdf/001_03_02.pdf(閲覧日:2021年12月2日)
- 内閣官房「個人情報保護法改正の概要」,平成27年11月,https://www.mhlw.go.jp/file/05-Shingikai-10601000-Daijinkanboukouseikagakuka-Kouseikagakuka/151117_tf1_s4.pdf(閲覧日:2021年12月2日)
- 個人情報保護委員会「GDPR」,https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/(閲覧日:2021年12月2日)
- PLAN-B「今さら人に聞けない”GDPR”とは|日本への影響と対応も合わせて解説」,https://service.plan-b.co.jp/blog/marketing/11567/(閲覧日:2021年12月2日)
- 首相官邸「ドイツ/イギリス/フランス/アメリカの個人情報保護法及び制度の概要」,https://www.kantei.go.jp/jp/it/privacy/houseika/dai2/siryou1-7.html(閲覧日:2021年12月2日)
- 「個人情報にまつわる法律と動向を解説!海外・日本の違いとは?」,『Priv Lab』,2020年6月29日,https://privtech.co.jp/blog/law/personal/personal-information.html(閲覧日:2021年12月2日)
- 「個人情報保護法改正で変わる!仮名加工情報と匿名加工情報の利活用を弁護士が解説」,『Web Lawyers』,https://web-lawyers.net/anonymously_processed_information/(閲覧日:2021年12月2日)
- ニッセイ基礎研究所「「データの時代」と「プライバシーの時代」の両立-欧州、米国カリフォルニア州、日本におけるクッキー規制 」,https://www.nli-research.co.jp/report/detail/id=65052?pno=2&site=nli(閲覧日:2021年12月2日)
- 牧田潤一朗「アメリカのプライバシー保護法制の日本への示唆」,『Law &Pactice』,No.04,2010.https://sd6ed8aaa66162521.jimcontent.com/download/version/1539252883/module/8820442876/name/4_7.pdf(閲覧日:2021年12月2日)
- JETRO「カリフォルニア州消費者プライバシー法(CCPA)最終規則が承認(米国)」,2020年8月21日,https://www.jetro.go.jp/biznews/2020/08/44f672373bf943f7.html(閲覧日:2021年12月2日)
- DataSign「カリフォルニア プライバシー権法(CPRA)とCCPAの相違点」,2021年1月15日,https://datasign.jp/blog/difference-between-cpra-and-ccpa/(閲覧日:2021年12月2日)
- 日本情報経済社会推進協会「【EU】世界的に個人情報保護法を整備させたEUデータ保護指令」,https://privacymark.jp/wakaru/kouza/theme5_03.html(閲覧日:2021年12月2日)
- KDDI「個人情報を管理する『情報銀行』とは? その仕組みや利用するメリットを解説」,『TIME&SPACE』,2020年2月18日,https://time-space.kddi.com/ict-keywords/20200218/2845(閲覧日:2021年12月2日)
- 「個人情報で利益出す「情報銀行」とは 普及進むか専門家が解説」,『日経クロストレンド』,2018年10月23日,https://xtrend.nikkei.com/atcl/contents/18/00068/00002/(閲覧日:2021年12月2日)
- 内閣官房「政府のIT戦略及びデータ流通・利活用の取組について」,令和元年12月16日,https://www.kantei.go.jp/jp/singi/titeki2/tyousakai/kousou/2020/dai2/siryou2.pdf(閲覧日:2021年12月2日)
- 「国内初の情報銀行、サービス開始 購買履歴など提供」,『サンケイビズ』,2019年7月3日,https://www.sankeibiz.jp/business/news/190703/bsj1907031749005-n1.htm(閲覧日:2021年12月2日)
- 日本経済新聞「三菱UFJ信託、情報銀行サービス始動 国内金融機関初」,2021年7月1日,https://www.nikkei.com/article/DGXZQOGD30DZH0Q1A630C2000000/(閲覧日:2021年12月2日)
- 一般社団法人日本IT団体連盟 情報銀行推進委員会「認定事業者一覧」,https://www.tpdms.jp/certified/ (閲覧日:2021年12月8日)
- 「アマゾンに制裁金約970億円–EUのGDPR違反で」,『CNET Japan』,2021年8月2日,https://japan.cnet.com/article/35174640/(閲覧日:2021年12月8日)
- 「GDPRの十分性認定とは?日本企業への影響と求められる対応」,『Priv Lab』,2021年1月26日,https://privtech.co.jp/blog/law/gdpr_adequate_protection.html(閲覧日:2021年12月8日)
- JETRO「ASEAN主要国における個人情報保護規程」,2021年7月27日,https://www.jetro.go.jp/biz/areareports/2021/e178293b9f08889a.html(閲覧日:2021年12月8日)
- 「中国が個人情報保護法施行 データ統制強める習政権」,『ITmedia NEWS』,2021年11月2日,https://www.itmedia.co.jp/news/articles/2111/02/news061.html(閲覧日:2021年12月8日)
- 「米ヤフーも中国撤退、事業・法規環境困難に-リンクトインに続き」,『Bloomberg』,2021年11月4日,https://www.bloomberg.co.jp/news/articles/2021-11-04/R1Z3XPDWLU6A01(閲覧日:2021年12月8日)
- 明倫国際法律事務所「2021年11月1日施行、中国個人情報保護法~日本企業及び日系中国企業が留意すべきポイント~(11月2日情報追加)」,2021年9月13日,https://www.meilin-law.jp/【中国】中国個人情報保護法が日本企業及び日系/(閲覧日:2021年12月8日)
