民間事業者の個人情報の取り扱いについて規定した法律
個人情報保護法とは個人情報保護に関する基本理念を定め、個人情報を取り扱う民間事業者が順守するべき個人情報の取り扱いについて規定した法律のことである。正式名称は「個人情報の保護に関する法律」で、2005年4月に施行され、2017年5月に改正されている。
個人情報保護法が施行された背景として、デジタル化社会の進展による国民のプライバシーに対する意識の高まりが挙げられる。民間事業者による個人情報を活用した便利なサービスが提供される一方で、不必要に個人情報が利用されることに対して不安が広がった。OECDやEUなどを中心に国際的な個人情報保護の機運が高まったことも相まって、日本でも個人情報保護法が施行される運びとなった。
個人情報保護法の目的
個人情報保護法では、その目的を以下のように定めている。
“個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。”
個人情報保護法の目的は、決して個人情報の利活用を妨げることではない。デジタル化を前提とした社会においては、個人情報の有効活用は避けて通れない。だが一方で、なし崩し的に個人情報の利用・濫用を黙認するような社会となれば、国民は豊かで便利な生活を享受することはできない。個人情報保護法は、個人情報の利活用と制御という、時に相反しかねない問題の調整を期待されていると言える。
2017年に施行された個人情報保護法改正のポイント
デジタル化は法律制定当初の予想を超えて進化しており、新たな技術やサービスが提供されるようになってきている。また、国民の個人情報保護に対する考え方が制定当時と比較しても大きく変わってきている。そのような時代背景に合わせるため、2017年に改正されるに至った。その際に改正された個人情報保護法のポイントは以下となる。
個人情報取扱事業者
従来、個人情報の件数が5,000件以下の小規模取扱事業者は、個人情報取扱事業の対象ではなく、個人情報保護法が定める規定の対象外とされていた。2017年の法改正によってこの制限が撤廃され、個人情報を取り扱うすべての事業者が個人情報取扱事業者とみなされるようになった。
個人情報
それまでの個人情報保護法では、個人情報は本人を特定可能な氏名や生年月日、その他の記述と規定されていた。しかし、技術進展により個人識別のために利用可能なデータの種類が増えつつあった。そうした状況を受け、2017年の法改正では個人情報の中でも、個人番号や指紋データといった「個人識別番号」や、人種や病院履歴といった「要配慮個人情報」を新たに分類することを定めている。
2020年6月、新たな個人情報保護法改正案が可決
2017年施行された改定法では、急速に広がるAIやIoTなどの活用が想定に入っていない。そのため、現行の個人情報保護法では白黒はっきりさせることができず、サービスを提供するテクノロジー事業者、そして利用する国民の双方にとって不安な状況が放置されている側面があるのは否めない。
今回の個人情報保護法改正案では、特定の個人を特定できないよう加工した「仮名加工情報」という概念を加えるなど、ビッグデータ時代に沿った情報の取り扱いに変わることが予定されている。世界を見渡せば、GAFAに代表される巨大プラットフォーマーのデータ寡占が大きく問題となってきており、今後もより一層、この傾向が加速しかねないとの危惧もある。そこで、EUのGDPR(EU一般データ保護規則)制定などの枠組みを参考に、一部の個人情報取り扱いを厳格化、罰則規定の強化なども打ち出している。
新たな個人情報保護法の改正案は2020年6月に可決、成立したため、今後2年以内に施行される見込みとなっている。なお、個人情報保護法には変化の速いデジタル化社会を見据えて3年ごとに見直すことが明文化されている。個人情報保護法には、デジタル化社会における個人情報というデータの在り方が反映されているといえるだろう。