「コロナでテレワークが増えた!社内のIT化を推し進めなければ」
「IT化後の情報管理ってどうしたらいいの?」
コロナ禍の影響で、このような問題が社内で起きていませんか。
情報管理や個人情報システムの構築等の社内のIT化への対応を突如余儀なくされ、悩む企業が増えています。
また、法律面では、2020年に個人情報保護法が改正され、今年度中に順次施行される予定となっており、こちらへも対応しなければなりません。
そこで今回は、情報管理の中でも、漏洩等の問題が起こってしまった場合に特に取り返しのつかない個人情報の取扱いについてみていきましょう。
また、現在不具合が確認されている感染症対策アプリCOCOA(ココア)についても取り上げます。
アフターコロナ時代において、個人情報をどのように運用していくべきか、今のうちから一度考えておくようにしましょう。
この記事を読めば、アフターコロナの働き方やビジネス指針の再検討の契機になりますよ!
目次
1.個人情報とは?
個人情報とは、任意の一個人に関する情報であって、かつ、その情報に含まれる記述等によって特定の個人を識別できるものをいいます。
英語では、personally identifiable information (PII)又はsensitive personal information (SPI)といいます。
一般的には、personal dataということが多く、カタカナ語として「パーソナルデータ」が用いられることもあります。
この個人情報には、名前、年齢、性別、住所、電話番号だけではなく、メールアドレス、LINE情報、学校名、銀行口座、クレジットカード番号も含まれます。
ここで注意しなければならないのが、個人の特定が可能な情報が個人情報というのではなく、特定可能性情報を含む情報全体が個人情報であるということです。
つまり、たとえ一見して個人を識別できなくとも他の情報と合わせれば個人の識別が可能になる記述を含むものも個人情報にあたります。
たとえば、同姓同名が存在するため個人を識別することができない名前や性別、といった情報であっても、これらは学校名や会社名等の情報と組み合わせることにより個人の識別が可能となる情報であるため、名前、性別だけであっても個人情報であるといえるのです。
2.個人情報保護法とは?
個人情報保護法は、情報社会において個人情報の利用が拡大していることから、個人情報の保護と、その活用を目的として定められたものです。
以下からは、個人情報保護法の遷移について順を追って見ていきながら、現在どのような法律となっているか紹介します。
(1)近年の動向
従来の日本の個人情報保護法制は、個人情報保護法と行政機関個人情報保護法、その他の個人情報に関する多くの法令によって、それぞれ対象や要件が細かく異なる形式で規律されており、複雑になっていました。
そこで2015年に改正された個人情報保護法は、ビックデータとしてのパーソナルデータの利用促進と、個人情報の保護と活用のバランスをとることを主眼としていました。
この2015年の個人情報保護法改正に大きな影響を及ぼしたのは、EU一般データ保護規則(GDPR)です。
このEU一般データ保護規則では、インターネットが高速化し、クラウドコンピューティングによるEU域外へのアウトソーシングや、ソーシャルネットワーキングサービス(SNS)によるデータ保護の在り方、及び多国籍企業によるビジネスに過度の負担をかける非効率・非整合的な規則の改善が課題となっていました。
そこで、2012年1月に改正案が欧州委員会により発表され、その後2016年に規則として制定され、2018年により全面的に施行されたのです。
EU一般データ保護規則は、データ保護に関する制度がEUからみて十分な水準に達している国には、十分性認定をし、認定を受けた国については、データの移転を容易にする枠組みを採用しました。
そこで、日本はこの十分性認定を受けることを念頭に置き、2015年の個人情報保護に関する制度改正が行われることになったのです。
(2)2020年改正の指針
2020年改正は、個人の権利利益の保護、保護と活用のバランスをとること、国際的な制度調和や連携、域外適用や越境データ移転の増大によるリスクへの対応、AI・ビックデータ時代における個人情報の適正な利用を中心に議論がなされました。
そのなかでも、プロファイリングが意識されているAI・ビックデータについては、「事業者が個人情報を扱う際に、本人の権利利益との関係で説明責任を果たしつつ、本人の予測可能な範囲内で適正な利用がなされるよう、環境を整備していくことが重要である」との指摘がなされました。
(3)2020年改正個人情報保護法のポイント
そして、民間事業者が遵守すべきポイントとして、以下のルールが決められました。
①個人情報を取得・利用する時のルール
個人情報を取得した場合は、その利用目的を本人に通知、または公表すること
②個人情報を保管する時のルール
情報の漏えい等が生じないように安全に管理すること
③個人情報を他人に渡す時のルール
個人情報を本人以外の第三者に渡すときは、原則として、あらかじめ本人の同意を得ること
④個人情報を外国にいる第三者に渡す時のルール
⑤本人から個人情報の開示を求められた時のルール
本人からの請求に応じて、個人情報を開示、訂正、利用停止等すること
(4)ビックデータと関連する改正
そして、ビックデータとの関連で重要となるのが、新たに導入された仮名加工情報と第三者提供に関する規定です。
仮名加工情報とは、データ内の氏名等の特定個人を識別できる情報を削除し、又は、他の情報に置き換えることで加工後のデータ単体からは徳的個人を識別することができないようにした情報をいいます。
つまり、仮名加工情報とは、特定個人の情報を仮名化した情報であるといえます。
仮名加工情報が個人情報保護法で新設されたのは、事業者の中に、会社内でのパーソナルデータの取り扱いを安全管理措置の一環として、個人情報の仮名化を行うこと実務上なされ、その実務から法律へ影響を与えた背景があります。
仮名化したとしても、個人情報取り扱いの安全性を確保しつつ、データとしての有用性を加工前の個人情報と同程度保つことによって、匿名加工情報よりも詳細な分析を簡易な方法によって実施できるとして、すでに多くの企業で採用されています。
その実情に合わせて、仮名加工情報の利用について個人情報保護法で規定を設け、改正がなされたのです。
そして、仮名加工情報は、活用を内部分析に限定すること等を条件に、開⽰・利⽤停⽌請求への対応等の義務を緩和するものとして、改正個人情報保護法2条9項1号、2号において新たに定義されることになりました。
2条9項 この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
1号 第1項第1号に該当する個人情報
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
2号 第1項第2号に該当する個人情報
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)
3.個人情報漏洩事件「リクナビ問題」
近年話題になった大規模な個人情報漏洩事件として、いわゆるリクナビ問題があります。
リクナビ問題とは、リクルート系列会社であるリクナビを運営するリクルートキャリアが、ビックデータ化した個人情報のAI分析結果を利用し、学生の内定辞退率を学生に無断で取引先企業に販売した事件のことをいいます。
この事件では、「個人情報の保護に関する法律第42条第1項の規定に基づく勧告等について」として個人情報保護委員会から発表されたように、プロファイリングの結果、「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報」の提供が本人の同意なしに行われていた、と認定されました。
個人のデータ分析は、名前や住所といったものだけでなく、ビックデータとして集積され、AIにより分析された場合に、提供しようと思っていなかった情報までをも勝手に提出してしまうことがあります。
それが、プロファイリングに関する問題として、差別または排除につながるのではないか、と問題視され、社会的に大きな問題となりました。
4.感染書対策アプリCOCOAとは?
(1)感染症対策アプリとは?
感染症対策アプリとして現在日本で運用されているのが、新型コロナウイルス接触確認アプリ(COCOA、COVID-19 Contact-Confirming Application)です。
この接触確認アプリは、本人の同意を前提に、スマートフォンの近接通信機(Bluetooth)を利用して、互いが分からないようにプライバシーを確保して、新型コロナウイルス感染症の陽性者と接触した可能性について通知を受けることができるというものです。
利用者は、陽性者と接触した可能性がわかることで、検査の受診等の保健所のサポートを早く受けることができます。
そして、利用者が増えることで感染症拡大の防止につながるとされ、厚生労働省などからもインストールすることが推奨されています。
しかし、COCOAには不具合が確認されており、本来期待されていた十分な機能を発揮していなかったことがわかりました。
このように不具合があるアプリを使うことに不安に思う人も多くいると思います。
その不安は、不具合があるからといった理由だけでなく、個人情報を利用されるという不安も含まれているのではないでしょうか。
海外でも、感染症対策アプリによって、位置情報や病歴といった情報までをも収集し、感染症対策に有効なものとして、形式的同意によってのみで収集され始めようとする動きがあります。
もちろん、国民全員が感染症対策アプリをインストールし、個人情報を提供することで感染症拡大防止につながるでしょう。
しかし、自らの個人情報に対して自己決定が可能であるべきではないか、政府が情報を管理することは、必要最小限のものでなければなければならないのではないか、という不安がつきまといます。
また、情報がプロファイリングされ、悪用されることによって、感染者や医療従事者等に対する差別の温床となることや、他目的利用されるリスクが生じることも否定できません。
(2)感染症対策アプリの法律上の対応
では、感染症対策アプリによって収集される個人情報について、日本の法律ではどのような保護がなされているのでしょうか。
結論からいえば、法律上の保護は未だされていません。
COCOAは、他のスマートフォンとの近接した状態の情報を収集し、暗号化の上、本人のスマートフォン内部にのみ記録され、14日経過後自動的に無効となるシステムを採用しています。
また、GPS等のユーザー位置情報を利用することなく、記録することもないと説明がなされています。
そのため、COCOAは、医療で用いる個人情報について保護する個人情報保護法関連の法律である医療ビックデータ法とは関係がないものとして、法律による保護がなされないことになります。
医療ビックデータ法は、匿名加工情報の利用・活用という設定になっており、活用を行う認定機関も限られており、感染症対策に利用できるものではありません。
そのため、2020年6月19日に提供が開始された感染症対策アプリCOCOAは、医療ビックデータの制度とは別のものであって、GoogleやAppleが提供する枠組みを国が認証し、そして各自の判断の下で位置情報等を含めた接触確認を行っています。
したがって、現在、日本では、感染症対策アプリについて法的保護がなされていないこととなり、アプリによって収集されたデータが漏洩した場合にどのような問題が発生するかは未知数であるといえます。
まとめ
コロナ禍という未曽有の危機は、医療技術の発展した現代において想像もできないことでした。
突然の社会生活の変化は、私生活だけではなく、経済的なビジネスの場面にも多くな変化を生じさせました。
在宅勤務に始まり、テレワークやリモートワーク、従来では考えられなかった働き方が突如として一般的なものとして現れたのです。
しかし、同時に社外に持ち出すことが考えられなかった個人情報をインターネットを経由してやり取りする必要が生じたり、社員が自宅に持ち帰ることが必要となってしまう場面が生じてしまいました。
個人情報の流出は、企業として絶対に避けなければならない問題です。
しかし、同時に情報社会の活性化によって情報の優位性がある現代において、ビックデータ等を上手く活用することができれば、会社にとって新たなビジネスチャンスとなることも期待できます。
2020年の改正によって仮名加工情報としてさらに個人情報を有効活用できる法整備が進んだ今こそ改めて社内の情報システムの構築を考えてみてはどうでしょうか。
また、アフターコロナ時代として、情報管理をさらに強化し、ビックデータを活用することによってサブスクリプション事業に着手することも今後の社会では良いかもしれません。
スタートアップドライブでは、コロナ関連情報やインターネットに関連する記事も掲載していますので、そちらもあわせてチェックしてみてください!
スタートアップドライブでは、法務や契約書の相談に最適な専門家や法律事務所を無料で紹介します。
お電話で03-6206-1106(受付時間 9:00〜18:00(日・祝を除く))、
または24時間365日相談可能な以下のフォームよりお問い合わせください。