コンプライアンスを 学ぶ

個人情報保護法の歴史 デジタル革命でリスクが価値に変貌、その軌跡

2022.1.5 更新

「セキュリティーへの対応は社員も派遣社員も同じ。倫理観や責任感の必要性は再発防止の命題だ[1]。」

これは、2014年に進研ゼミなどを運営する通信教育の大手企業ベネッセコーポレーション(ベネッセ)から保有する大量の個人情報が流出した際に、会見で当時のベネッセ社長が述べた言葉です。

この事件は、不正アクセスではなく、アクセス権限を与えられていた業務委託先従業員の犯行でした。この従業員は、不正競争防止法の疑いで警察庁に逮捕されています。この事件による漏えい件数は約3500万件に達し、過去最大個人情報流出事件になりました。

この事件を受けて、被害者達はベネッセと業務委託先に損害賠償を求めて裁判所に提訴しました。しかし、裁判所がさまざま状況を考慮した結果、ベネッセへの損害賠償請求は退けられました。

具体的には、漏えいした情報が基本情報で秘密性が高くないこと、ダイレクトメールが増えたことなど以外に被害者に実質的な財産的な損害がなかったことが挙げられます。また、ベネッセ側が漏えい後は速やかに被害拡大を防ぐ手段を講じていたこと、謝罪のために顧客に500円の金券の提供を申し出ていたことなども考慮されました。

前述の通り、情報漏えいの原因は、業務委託先の社員による故意の不正取得でした。しかし、漏えい件数が多かったことと名簿屋に情報が提供されたこともあり、ベネッセは経営的に大きなダメージを受けました。

事件後、ベネッセでは大規模な顧客離れが起こり、上場以来初の赤字に転落しました。また、責任部署の取締役2名が引責辞任し、プライバシーマークが取り消されました。

この事件は、個人情報の管理は、自社のみならず業務委託先に対しても厳格に実施させる責任があることを認識させるものでした。全ての従業員に対して十分な管理を求められていないと、このような大事件に発展する可能性があるのです。

一方、個人情報は、適法に管理し活用すれば事業活動に有益なデータでもあります。IoTやAIによるデジタル革命により、健康情報など重要な個人情報は厳格に管理されるようになる一方、個人を特定できないように加工された情報などは、積極的に有効活用できるようになっているからです。

個人情報保護法の歴史を知ることで、個人情報保護の意義をご理解いただけるだけでなく、今後の個人情報の有効活用のためのヒントも得ることができます。

今回は、個人情報保護法の歴史について、コンプライアンスのプロがその発端から最新トレンドまで、歴史を変えたエピソードを交えてご紹介します。

本稿が、貴社の最適なコンプライアンス実現の参考になれば幸いです。

無料eBook

コンプライアンスが楽しくなる!

ゲーミフィケーションで実践する教育の仕組みづくり

大手電機メーカーで実際に行われたコンプライアンス施策をもとに教育手法にフォーカスし、131ページにわたり解説しています。

[1] 「【ベネッセ情報漏洩】「退会依頼3000件きている」原田会長一問一答」,『SankeiBiz』,2014年7月17日,https://www.sankeibiz.jp/compliance/news/140717/cpb1407172126005-n1.htm (閲覧日:2021年11月30日)

1. 個人情報保護法の歴史 各国での個別対応から国際協調へ

個人情報は、いつ、どこで、どのような背景で保護されるようになったのでしょうか。本章では、個人情報の保護が各国共通の基準で行われるようになった経緯と、各国個人情報保護の内容について紹介します。

1-1. プライバシー保護の国際的な共通化の始まり

個人情報の保護は、個人のプライバシーを保護することから始まりました。

「個人のプライバシーを尊重し、法律で保護すべきである」という考え方は、19世紀米国で提唱されたものです。これは、1890年に弁護士のサミュエル・D.ウォーレンとルイス・D・ブランダイスが執筆した論文「プライバシーの権利(The Right to Privacy)」がきっかけになったと言われています。

その後、米国では「プライバシー侵害は不法行為」であるとして裁判で争われてきました。

このように、プライバシーの保護は各国で個別に対応されていましたが、個人情報は国境を越えてやり取りされるため、国際協調により国際的な基準を共通化しようとする動きが現れました。

それは、1980年OECD(経済協力開発機構)が採択した「OECD8原則」です。ここでは、以下の8つの原則が提示されました。

①目的明確化の原則
②利用制限の原則
③収集制限の原則
④データ内容の原則
⑤安全保護の原則
⑥公開の原則
⑦個人参加の原則
⑧責任の原則

その後、これらは世界的な個人情報保護の基本原則となりました。

1-2. 欧州の個人情報保護法 EU指令からGDPRへ

ここからは、各国の個人情報保護法について説明します。まずは、欧州各国についてです。

1995年、EU委員会がEU指令である「個人データ保護指令(指令95/46/EC)」を出しました。このEU指令に基づき、EU加盟国は個人情報を保護する法律の制定が求められることになりました。EU指令には、加盟国による域外の第三国への個人情報の移転を制限する旨の条項が含まれていました。

EU指令が出された背景には、個人情報は重要な情報資産であるため、個人情報データ保護指令の基準を満たしていない第三国の企業への提供を制限したいという考え方がありました。

2016年、EU委員会はEU指令に代わり、保護条件をさらに強化したGDPR(General Data Protection Regulation、一般データ保護規則)を出しました。

GDPRは、2018年施行されました。その前身であるEU指令はEU加盟国に法制化を促すものでしたが、GDPRはEU加盟国に対し直接効力を持つものです。

また、EU加盟国の個人情報の第三国への提供を制限する基準はさらに厳しくなりました。例えば、IPアドレスCookieのようなオンライン上の識別情報も個人情報とみなす条件が規定されています。また、大量の個人情報を扱う企業は、データ保護オフィサーの任命が義務付けられるなど、企業による厳しい情報管理が求められています。

なお、GDPRの対象地域は、EU加盟国とEEA(欧州経済領域)の一部の国となっています。これらの国々は、規定に基づき、個人情報を保護する行政機関を設立しています。

また、対象地域については「域外適用」の条項があり、一部の日本企業もこれに含まれます。対象国に子会社や支店がある企業はもちろん、日本から対象国に商品やサービスを提供している企業、対象国から個人情報を処理する委託を受けている企業は、GDPRの対象となります。

ただし、GDPRには、EUと同等の個人情報保護をしている国に対して行う「十分性認定」という制度があります。

この認定を受けた国は、域外適用の条件が緩和されます。例えば、EU域内から個人情報を持ち出す場合には、事業者間の域外移転の契約等が必要な「越境移転規制」が適用されません。例えば、日本2019年に十分性認定を受けています。

2019年、EUデータ保護当局は、米Amazonに対して「個人情報の取り扱いがGDPRの基準を満たしていない」として、7億4600万EURO(約970億円)の制裁金を科しました。Amazonはこれを不当として争いましたが、2021年7月に決定されました。

これほど高額の制裁金になるのは、違反企業に対して、グロ―バル売上高の4%以下、または2000万EURO以下の高い方を上限に制裁金が科されるためです。

GDPRは、EUで事業展開する国が多いアジア諸国に影響しています。例えば、タイでは2019年に、シンガポールでは2020年に、GDPRに準拠した個人情報保護法が施行されています。

このように、GDPRの施行は、個人情報の厳格な管理をEU加盟国等に促すと共に、対象国で事業をしている国の法制度や企業の個人情報の管理に、大きな影響を与えています。

1-3. 米国の個人情報保護法

次に、米国について説明します。前述した通り、プライバシーの保護が最初に提唱されたのは米国ですが、プライバシー侵害については個別に裁判で争われており、その後も個人情報を保護する連邦法は制定されていません。

しかし、多くのIT企業が本社を置くカリフォルニア州で、2018年に「California Consumer Privacy Act of 2018(カリフォルニア州消費者プライバシー法:CCPA)」が制定されました。

CCPAは、従来の州法よりも個人情報の厳格な保護を決めた法律でした。州法による規制ではありますが、Amazonやマイクロソフトの本社があるワシントン州などに追随の動きが出ていることに加え、連邦法が制定される可能性もあります。

カリフォルニア州は、2020年に個人情報を保護する行政機関として、「カリフォルニア州プライバシー庁(California Protection Agency)」を設立しました。同年、CCPAをさらに強化した「California Privacy Rights Act(カリフォルニアプライバシー権法:CPRA)」が制定されています。CPRAは2023年から施行されます。

このように、米国ではカリフォルニア州を起点として、少しずつ個人情報保護のための法整備が進んでいます。

1-4 中国の個人情報保護法

2021年11月、中国で個人情報保護法が施行されました。これは、個人情報の海外持ち出しを厳しく制限する法律であり、中国で収集した個人情報の中国内での保存義務海外持ち出しに対する当局による審査などが定められています。

違反すれば、最大で5000万元(約8億9千万円)または、前年度の売上高の5%以下の罰金を科されることになります。

同法は、中国に進出しているITサービス事業者に影響を与えています。例えば、大量の個人情報を扱ってサービスを展開していた米国のLinkedIn、Yahooは、企業が収集できる情報量の制限や保存方法の基準などへの対応コストの問題から、相次ぎ中国市場からの撤退を発表しています。

1-5. 日本の個人情報保護法

日本で個人情報保護法が制定されたのは2003年です。その後、10余年を経て2015年大幅な改正がありました。その背景には、IT技術の発展により、制定時には想定されていなかった個人情報の電子データなどの活用が可能になり、規制が急務となったことがありました。

この時の改正では、健康情報などの「要配慮情報」に対する厳格な管理が要求される一方、個人を特定できない加工をされた情報は「匿名加工情報」として活用を促す内容が規定されています。さらに、今後の国際動向やIT技術の進展を考慮し、3年ごとの見直し規定が盛り込まれました。

見直し規定に基づき行われた2017年の法改正では、6ヶ月以内に消去される短期データが個人情報の対象に追加され、法令違反に対する罰則が強化されるなど、管理条件が厳しくなりました。その一方で、AIによるデジタル革命に対応して「仮名加工情報」が新設されています。

仮名加工情報とは、個人情報を他の情報と照合しない限り個人を特定できないようにしたものを指し、匿名加工情報よりも活用のハードルが低いものです。

「個人を特定できない加工」を条件として第三者に提供できる匿名加工情報と異なり、社内利用に限定されますが、委託と共同利用は認められています。これによって、AIやシステム開発委託共同開発に利用できるようになりました。

ここまで見てきたように、プライバシー情報の保護から始まった個人情報保護法は、OECD8原則をきっかけに、各国独自の対応から国際協調の時代に入りました。そして、基本的な原則を基に各国で法整備が進んでいます。

2. 個人情報は活用の時代へ 情報銀行の登場

個人情報保護法は、プライバシーの保護を目的とした情報管理から始まりました。しかし、IoTやAIによるデジタル革命において、個人情報は重要な情報資産として有効活用することが求められています。また、2015年や2017年の個人情報保護法の改正でも、個人情報の有効活用が促されています。

このような流れを受けて、個人情報を預かって管理するとともに、第三者に提供することにより収益を本人に還元する新しいサービスが登場しました。それが情報銀行です。

情報銀行の発想は、2010年頃に米国で複数のベンチャー企業が「パーソナルデジタルロッカー」と呼ばれるサービスを立ち上げたのが起源だと言われています。これは、個人情報を本人から許可を得て取得し、さまざまなサービスに活用する事業です。

日本の情報銀行(Personal Data Trust Bank)は、内閣官房IT総合戦略室のワーキンググループの中で、個人情報の保護と安全な利活用の両立を目指す議論から始まりました。

情報銀行の仕組みは、情報活用とデータ取引市場の創出を目指したものです。以下は、その概要図です。

図)情報銀行の概要図

引用元)総務省「情報信託機能の認定スキームの在り方に関する検討会 とりまとめ(案)」,資料12ー1,p8,https://www.soumu.go.jp/main_content/000619070.pdf (閲覧日:2021年12月8日)

まず、情報銀行と個人が契約を締結します。そして、個人が持つ個人情報のうち、第三者に提供可能な情報指定し、情報銀行にその情報の取り扱いを委任します。

情報銀行は、個人から委任された範囲で、情報提供先に個人情報を提供します。情報提供先は、受領した個人情報を情報の分析サービス事業に利用します。そして、個人は情報提供先から直接、または情報銀行を経由して、情報提供の便益を受け取ります。

例えば、個人がある企業に情報銀行を通して行動履歴や購買履歴を提供するとします。すると、その便益として、個人は企業が提供するポイントやクーポン券を受け取ることができる、という取引です。

日本で初めてサービス提供を開始した情報銀行は、電通グループのマイデータ・インテリジェンスです。同社は、2019年にスマホのアプリを用いて個人から購買履歴などのデータを預かり、企業に提供するビジネスを始めました。

金融機関で初めて情報銀行を開始したのは、2021年に業務を開始した三菱UFJ信託銀行です。同行は、スマホのアプリを用いて、企業からの体験やギフトのオファーに対して、利用者が直接個人情報を提供する企業を選べるサービスを始めました。このサービスは、個人の位置情報資産情報を、名前や住所を匿名にしたまま活用できるのが特徴です。

政府は、情報銀行の認定について「情報信託機能の認定に係る指針」を出していますが、第三者の認定を受ける義務はありません。そのため、公的な認定機関は存在しません。

情報銀行が第三者の認定を受ける場合は、情報銀行の任意の判断により、民間による認定を受けることになります。そのため、情報銀行の管理体制により情報漏えいなどの問題が起きないかが危惧されています。

2018年には、日本IT団体連盟が、民間の「情報銀行認定制度」を始めました。2021年10月現在、サービス実施中企業2社とサービス企画中企業5社が認定されています。今後、同様の第三者認定が増えるのではないかと思われます。

また、個人情報を提供した本人には、ポイント還元などによる収益還元が行われますが、情報の提供に対して十分か否かも課題の一つです。

情報銀行は新しいビジネスモデルであるため、課題もあります。しかし、個人情報を厳格に管理する前提においては、これを有効に活用して新たな価値を創出する新規事業として、今後の発展が期待されています。

日本は、米国、英国、シンガポールなど個人情報の活用に積極的な国々に比べると、この分野の開拓が遅れています。しかし、個人情報保護法の3年ごとの見直しルールや、情報銀行のようなサービスの登場をきっかけとして、ビジネスにおける個人情報の利活用は今後ますます盛んになっていくものと思われます。

「個人情報保護法」をeラーニングで社員教育

eラーニング教材:個人情報保護法のエッセンス(プライバシーマーク対応)

「個人情報保護法」と「プライバシーマーク制度」の知識を身につける

個人情報流出の事態を防ぐには、「個人情報保護法」と「JIS Q 15001」(プライバシーマーク制度)の両方を理解しておく必要があります。
本教材では、個人情報の取り扱い、管理、利用に関する基本的な知識を学習し、具体的な対策法とプライバシーマーク制度の知識を身に付けることができます。

本教材をeラーニングとして配信することで、効率的に「個人情報保護法」の社員教育をすることが可能です。

教材の詳細を見る

3.まとめ

プライバシーの保護から始まった個人情報保護法は、各国で個別に対応されていましたが、OECD(経済協力機構)のOECD8原則をきっかけに、国際的に統一した基準を作るようになりました。

EUは、EU指令である個人データ保護指令とその代替としてのGDPR(一般データ統一保護規則)により、EU加盟国等の基準を統一するとともに、対象国と取引のある国の企業にもGDPRの遵守を求めるようになりました。

米国は、全米に統一した基準を求める連邦法による個人情報の保護が行われていません。ただし、主要なIT企業が本社を持つカリフォルニア州が個人情報法を制定し、行政機関を設立したことが、今後、各州法や連邦法の制定に影響があると言われています。

中国は、中国で収集した個人情報の海外持ち出しを厳しく制限する個人情報保護法を施行しました。この法律は、中国に進出しているITサービス事業者に大きく影響し、米国LinkedInYahooは中国市場からの撤退を発表しています。

日本は、個人情報保護法制定後10年を経て、IoTやAIによるデジタル革命に合わせて大幅な法改正を行いました。そこでは、個人情報の定義を明確にし、健康情報などを厳しく管理する「要配慮情報」と、個人を特定できないように加工し、活用を促す「匿名加工情報」が規定されました。

さらに、その後の法改正では、企業の管理条件の強化や違反への罰則の厳格化とともに、活用のハードルが低い「仮名加工情報」が新設されています。

さらに、米国発の「情報銀行」において、個人から許可を得て情報を預かり、第三者に提供するサービスが始まりました。情報銀行は、個人情報保護法の改正議論の中から、日本でも導入のための指針が出されました。それにより、マーケティング会社や銀行などが、情報銀行のサービスを初めています。

情報銀行については、認定基準や個人への還元などの課題はありますが、今後の発展が期待されています。

このように、プライバシー保護から始まった個人情報保護法は、厳格な情報管理有効活用の両面から行われるマネジメントのための法律に進化しています。

今回ご紹介した個人情報保護法の歴史と歴史を変えたエピソードから、個人情報管理を実践する意義をご理解の上、自社の最適なコンプライアンスの実現に取り組んでください。

Written by

一色 正彦

金沢工業大学(KIT)大学院客員教授(イノベーションマネジメント研究科)
株式会社LeapOne取締役 (共同創設者)
合同会社IT教育研究所役員(共同創設者)

パナソニック株式会社海外事業部門(マーケティング主任)、法務部門(コンプライアンス担当参事)、教育事業部門(コンサルティング部長)を経て独立。部品・デバイス事業部門の国内外拠点のコンプライアンス体制と教育制度、全社コンプライアンス課題の分析と教育制度を設計。そのナレッジを活用したeラーニング教材の開発・運営と社内・社外への提供を企画し、実現。現在は、大学で教育・研究(交渉学、経営法学、知財戦略論)を行うと共に、企業へのアドバイス(コンプライアンス・リスクマネジメント体制、人材育成・教育制度、提携・知財・交渉戦略等)とベンチャー企業の育成・支援を行なっている 。
東京大学大学院非常勤講師(工学系研究科)、慶應義塾大学大学院非常勤講師(ビジネススクール )
主な著作に「法務・知財パーソンのための契約交渉のセオリー(改訂版民法改正対応)、「第2章 法務部門の役割と交渉 4.契約担当者の育成」において、ブレンディッド・ラーニングの事例を紹介」(共著、第一法規)、「リーガルテック・AIの実務」(共著、商事法務:第2章「 リーガルテック・AIの開発の現状 V.LMS(Learning Management System)を活用したコンプライアンス業務」において、㈱ライトワークスのLMSを紹介 )、「ビジュアル 解説交渉学入門」、「日経文庫 知財マネジメント入門」(共著、日本経済新聞出版社)、「MOTテキスト・シリーズ 知的財産と技術経営」(共著、丸善)、「新・特許戦略ハンドブック」(共著、商事法務)などがある 。

まるでゲームを攻略するように
コンプライアンス教育に
取り組めるよう、
無料のeBookを作りました。

コンプライアンスを学ぶ

コンプライアンス違反に起因する倒産は年間200社以上におよぶとされています。 コンプライアンス対策の前提として、まずは「なぜ違反が起こるのか」を理解しましょう。

コンプライアンスを教える

コンプライアンス対策は、教育をいかにするかがカギです。 ここでは、社員教育を効果的にするためのノウハウをご紹介します。

コンプライアンスを整える

コンプライアンスへの対応は、知識を持つだけではなく、具体的に対策や体制作りに活かしていくことが大切です。 実践に向けて、ぜひこちらの記事をご参考にしてください。

コンプライアンスが
楽しくなる!

ゲーミフィケーションで実践する
教育の仕組みづくり

カードを集めながらストーリーを進めるだけで身に付く、新感覚な解説書。社員教育にもおすすめな一冊。