全2196文字
PR

 一方、経団連は「個人情報保護委員会が民間部門のみならず、公的部門における個人情報の適正な取り扱いの確保を図るべきだ」として、委員会が公的部門の監督も担うよう求めている。新経連も「行政機関、独立行政法人、地方公共団体などを対象にした法律の統合を含めて検討すべきだ」という意見を公表している。

 企業が委員会に公的部門の監督を求めるのは、適用する法制度が異なるために企業が公的部門の個人データを扱えない場面が多いからだとみられる。また、EUは2019年1月に、日本に対して十分な個人データの保護水準があるとする「十分性」を決定した。日本企業はEU加盟国を含む欧州経済領域(EEA)の域外に個人データを送る際、個別の法的契約を結ぶ必要がなくなった。EUの十分性を維持するには、委員会が民間だけでなく公的部門も監督する法改正が必要とする専門家の意見も多い。

「プロファイリング」も検討課題に

 政府のIT総合戦略本部は2014年6月に現在の個人情報保護法となった改正内容を「パーソナルデータの利活用に関する制度改正大綱」としてまとめていた。大綱は次期改正に向けた検討課題を残していた。企業が大量の個人データを集積してアルゴリズムに基づいて個人に対して何らかの評価を自動的に処理する「プロファイリング」と呼ばれる手法はその1つだ。

 プロファイリングは個人の人生を左右しかねないといわれる。企業が顧客のサービス利用履歴などを広告宣伝に利用する行動ターゲティング広告の他、企業の採用活動や保険契約、さらには価格差別、犯罪予測にまで利用される懸念があるからだ。

 関係者によると、個人情報保護委員会は個人が企業に自分の個人データの利用停止を請求できる「利用停止権」の拡充を検討している。現在の利用停止権は企業が個人情報を不正に取得した場合や、本人の同意を得た利用目的の範囲を超えて個人データが使われた場合に限った規定になっている。

 利用停止権によって個人が自分のデータをプロファイリングに使われるのを拒否できるようになれば、EUのGDPRが定めた「自動的処理のみによる意思決定に服さない権利」に近い規定を設けられるとみられる。

 関係者は「プロファイリングに限った話ではないが、利用停止権は制度の作り方によってはオールマイティー」と指摘する。個人データを企業がどう利用するかについて個人がコントロールしやすくなり、プライバシーの保護に結び付けやすくなるからだ。

 一方、次期改正では個人を直接特定できないようにした「仮名情報」の枠組みを設けて、企業が社内データとして活用できるよう検討しているという。現行法でも可能だが、明確化してデータを活用しやすくするとみられる。

 個人情報保護法の改正は企業のデータ活用などに大きな影響を与えるだけに、今後どのような検討課題が盛り込まれるか注目を集めそうだ。