企業法務コラム

ビッグデータ時代におけるパーソナル・データの保護

総務省では、平成24年11月から「パーソナルデータの利用・流通に関する研究会」を開催し、プライバシー保護等に配慮したパーソナルデータ(個人に関する情報)のネットワーク上での利用・流通の促進に向けた方策について検討していたが、報告書が取りまとめられ、6月12日付で公表された。

※参考
総務省ホームページ 「パーソナルデータの利用・流通に関する研究会」報告書の公表
http://www.soumu.go.jp/menu_news/s-news/01ryutsu02_02000071.html

(評)
ビッグデータの活用が叫ばれている。しかし、ビッグデータが取り扱う個人情報は、本人が予想しない形で取得され、利用され、流通する可能性もある。このため、こうしたパーソナル・データの取り扱いについて、ルール作りが急務となっている。
個人情報保護法は、「個人情報」すなわち「特定の個人を識別することができる情報」のみを保護対象としている(このためそれより広い概念として「パーソナル・データ」という用語が使われている)。ビッグデータが対象とする端末ID、IPアドレス、クッキー等が個人識別性の要件をはたして満たしているのかが、はっきりしていない。また、個人識別性がない情報であっても、個々の情報自体は個人識別性がなくても、他の情報と合わせることにより個人識別が可能になることもありうる。そのため、単体では「個人情報」と評価しえない情報も保護対象とする必要性が出てくる。
同報告はパーソナル・データの範囲について、次のような考慮を行っている。

PC・やスマートフォン等の識別情報(端末ID等)
PCやスマートフォンといった特定の装置を識別するものであるが、実質的に特定の個人と継続的に結びついており、パーソナルデータとして保護されるべき。

IPアドレス、クッキー
必ずしも全ての場合に継続的に特定の装置を識別するものではなく、他の保護されるパーソナルデータと連結する形で取得・利用される場合に、実質的個人識別性の要件を満たし、パーソナルデータとして保護されるべきである。ただ、EUのeプライバシー指令が、全てのクッキーをその規律の対象としていることから、パーソナルデータとして保護すべきという意見も存在する。

継続的に収集される購買・貸出履歴、視聴履歴、位置情報等
仮に氏名等の他の実質的個人識別性の要件を満たす情報と連結しない形で取得・利用される場合であったとしても、特定の個人を識別することができるようになる蓋然性が高く、パーソナルデータとして保護されるべきである。
また、プライバシー性が比較的高いセンシティブ情報は、明示的かつ個別的な同意が必要だが、プライバシー性が比較的低いものについては、明示的かつ包括的な同意で足りるとの見解も示されている。
その他、本人から削除請求があった場合、それに応じる必要があるとも指摘されている。

法律事務所ホームワン 代表弁護士 山田冬樹

2013年06月18日
法律事務所ホームワン