SAAJ近畿支部第186回定例研究会報告 (報告者:荒牧裕一)

会員番号 0655 荒牧 裕一(近畿支部)

1.テーマ 令和2年改正個人情報保護法の概説~個人データのビジネス利用における法的留意点
2.講師    弁護士法人第一法律事務所 パートナー弁護士
        日本システム監査人協会 近畿支部 副支部長 福本 洋一 氏
3.開催日時  2020年12月19日(土) 15:00~17:00
4.開催場所  ドーンセンター(大阪府立男女共同参画・青少年センター)5階セミナー室2
5.講演概要

2020年6月に成立した改正個人情報保護法における新たな規制の背景とその概要について解説とともに、その背景にある2019年度の大手就職情報サイト(リクナビ)に対する個人情報保護委員会による勧告・指導事例に内在する個人情報保護法制上の論点を整理した上で、個人に対するプロファイリングを含めた、ビジネスにおける新たな個人データの利用方法に対する法規制の方向性について概説していただいた。
なお、今回はISACA大阪支部との合同開催であり、ISACA大阪支部12月度特別講演会を兼ねている。

(1)個人に関する情報のビジネス利用

個人情報のビジネス利用については、以前は会員登録・アンケート回答等による収集であったが、近年はスマートフォン・IoT機器等による収集がされるようになり、データ量が飛躍的に増え、その信頼性も高まっている。このようなデータは、AIでの画像認識機能や音声認識機能等を使った新たなビジネスに利活用されている。
このような利活用において元データに個人に関する情報が含まれる場合、その氏名等を削除して仮名化の加工をしただけでは匿名加工情報にならず依然として個人情報とされてしまう点に注意が必要である。そのため個人の特定が必要ないサービスにおいては、例えば端末情報等を活用するなど、取得時から個人情報とならないようにするスキームを構築しておくとその後の利活用を円滑に行える。

(2)個人情報保護法の改正法の内容

今回の個人情報保護法の改正は、①個人データの流通促進関連、②リクナビ問題対策、③本人のコントロール権強化、④データ漏洩事故対応、⑤名簿業者対策の強化、⑥罰則強化、⑦域外適用・移転規制、等多岐にわたっている。
①の個人データの流通促進関連では、開示のデジタル化の他、開示対象を6か月以内に消去する保有個人データにも拡大する一方、仮名加工情報(氏名等の特定の個人を直接識別できる記述を他に置き換えたり削除することで加工後のデータ単体からは特定の個人を識別できないようにしたもの)については開示等の請求の対象外としている。②のリクナビ問題対策では、「違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない」旨の規定が設けられた(16条の2)。これは個人情報の利用方法自体に対する初めての制限規定である。またDMP(Data Management Platform)との関係では、個人関連情報(提供先において個人データとなることが想定される情報)の概念を創設し、その第三者提供には本人の同意が得られていること等の確認義務が課されることとなった。③の本人のコントロール権強化では、個人の権利または正当な利益が害されるおそれがある場合にも利用停止・消去等の請求が可能となった。④のデータ漏洩事故対応では、漏洩等が派生し、個人の権利利益を害するおそれがある場合に、委員会への報告および本人への通知が義務付けられた。⑤の名簿業者対策の強化では、個人データの授受に関する第三者提供記録について本人が開示請求可能になる他、オプトアウト規定により第三者に提供できる個人データの範囲が限定されることとなった。

(3)ビジネス利用における新たな課題

リクナビ事件で問題となった「リクナビDMPフォロー」サービスでは、リクナビが保有する内定辞退の予測モデルに、応募学生のリクナビ上での行動ログを照合することで、「学生からの辞退」というかたちで選考離脱や内定辞退が起こる可能性をスコア値にし、契約企業に対して提示していた。リクナビは、契約企業にはリクナビから提供したスコアを選考における合否判断の根拠には使用しない旨の約束をしていたとされる。しかし単なる約束だけではだめであり、この事件では学生本人はサイト上でのアクセス履歴で自己の内心が評価されることを知らされておらず、また契約企業によって学生に対する選考段階での除外や内定の見送り・見直しに利用されるおそれがある点で問題があった。
このようにビジネス利用ではユーザへの透明性の確保等が問題となるが、それに配慮したガイドラインの例としては、日本インタラクティブ広告協会(JIAA)の自主規制が挙げられる。JIAAの「プライバシーポリシーガイドライン」では、クッキー等の識別子情報や位置情報、閲覧履歴、購買履歴といったログ情報等の個人に関する情報で、個人を特定することができないもののプライバシー上の懸念が生じうる情報から「統計情報」を除いたもの(インフォマティブデータ)についても取扱い基準を定めるている。さらに「行動ターゲッティング広告ガイドライン」においては、行動履歴情報を利用した行動ターゲッティング広告でのユーザーへの「透明性の確保」と「関与(オプトアウト)の機会の確保」の徹底を原則としている。
また、個人データの分析による不利益な取扱いについては、EU一般データ保護規則4条および22条にプロファイリングに関する規定が置かれている。これは、与信目的、採用目的、マーケティング等において、本人の選択や関与なく外形的な行動情報から自己の内心・内面の評価をされるリスクや、自動化された意思決定によって個人に対する評価の決定・固定化のリスクに対応するものである。

6.所感

個人情報保護法は、どの企業にとっても遵守する必要のある法律である。また多くの個人情報はシステムによって管理されていることが多いため、システム監査人にとって必要不可欠な知識である。特に近年はAI等による個人情報の利用や個人情報を使った新ビジネスが行われるなど、個人情報保護が問題になる事例はより広範にかつ複雑化している。
本講演では、法律とシステムの両方に精通し、実務経験も豊富な講師により、法改正の概要やビジネス利用上の留意点を事例を踏まえながら分かり易く解説していただいた。市販の解説書やネット情報では得られない踏み込んだ解釈も多く非常に参考になった。