全1211文字
PR
4/1朝まで
どなたでも有料記事が読み放題「無料開放デー」開催中!

個人情報保護委員会が個人情報保護法の制度改正大綱を公表した。焦点となっている「リクナビ問題」の再発防止策を盛り込んだ。企業のデータ活用を促す目的で個人情報の新類型も示した。

 2020年の個人情報保護法改正に向け、企業などの個人情報の取り扱いを監督する個人情報保護委員会は2019年12月13日、制度改正大綱を公表した。法改正では「リクナビ問題」の教訓を踏まえどんな再発防止策を盛り込むかが焦点になっている(32ページ参照)。

写真 個人情報保護委員会の模様
写真 個人情報保護委員会の模様
(写真提供:個人情報保護委員会)
[画像のクリックで拡大表示]

 リクナビ問題とは、就職情報サイト「リクナビ」を運営するリクルートキャリアが就活生の知らぬ間にWeb閲覧履歴などを内定辞退率の算出に使って顧客企業に販売した問題を指す。

 再発防止策の1つは、個人が企業に対して個人データの利用停止や削除などを請求できる要件の緩和だ。現行法は企業が不正に取得したり目的外で使ったりした場合に限定している。改正案では「思いがけない形でデータが処理されるなど、個人がおよそ了解しなかった場合は利用停止の対象にすべきだとの考えで内容を詰めている」(同委員会事務局)。同委員会が実施中の意見募集(パブリックコメント)に向けて「不正確な個人データを分析されて不当に選別されないように、個人がデータ利用を拒否できるようにすべきだ」と指摘する専門家もいる。

 大綱にはクッキーなどの識別子で個人を特定できる個人データの扱いも盛り込まれた。リクルートキャリアは企業ごとの就活生IDやリクナビでの「業界ごとの閲覧履歴」をクッキーで関連付けたり、就活生の個人データをハッシュ化したりして、いずれも個人情報に該当しないと独自に判断していた。

 大綱は個人が訪問したWebサイトに関連した登録情報や行動履歴、デバイス情報などを、個人情報には該当しないものの個人に関する情報が含まれる「ユーザーデータ」と名付けている。クッキーはその1つだ。そのうえで同委員会は改正法案で、企業がユーザーデータを他社に提供する際、提供先企業が個人を特定できることが明らかな場合、提供を制限する規律を適用するとしている。基本的には本人の同意を得る必要があるとみられる。

企業内利用に限定した新類型も

 企業による個人データ活用を促進するため、大綱には個人情報の新しい類型「仮名化情報」が盛り込まれた。氏名など個人を直接特定できるデータ内の記述を他の記述に置き換えたり削除したりして、データ単体では特定の個人を識別できないようにしたものだ。

 現行法には元の個人情報を復元できないように加工した類型「匿名加工情報」がある。企業は本人の同意が無くても匿名加工情報を目的外利用したり他社に提供したりできる。

 仮名化情報は匿名加工情報より加工が比較的簡単だ。個人と関連付けて直接影響を与えるような使い方はできないが、それゆえに個人からの開示や利用停止などの請求に対応しなくてもよいと考えられる。ただ企業内での分析に用途が限定される。