今日の個人情報を巡る環境の変化に合わせて、今年5月、改正個人情報保護法が全面施行された。また、来年5月には、EU一般データ保護規則(GDPR)の施行が予定されている。こうした法規制に対し、日本企業はどう対応していく必要があるのだろうか。

GDPRはEUで施行される法規制ではあるが、EUでビジネスを行っている日本企業も事業の内容次第で、対策が必要と言われている。

今回、個人情報を巡る法規制の最新動向について、SAS Institute Japan プラットフォーム統括部の 山下克之氏に話を聞いた。

SAS Institute Japan プラットフォーム統括部の 山下克之氏

改正個人情報保護法の主な目的は「情報の利活用推進」

2005年に個人情報保護法が施行された時は、報道も過熱気味だったが、今年の改正個人情報保護法の施行についてはそれほど騒がれていない。今回、何が改正されたのだろうか。

山下氏は、「改正個人情報保護法のポイントは、技術の進化に合わせ、情報の利活用を促進するための改正が行われている点」と話す。ICカード、GPS、Wi-Fi、POSから取得した情報を用いて、さまざまなビジネスが加速している。その反面、現行の個人情報保護法の下では、データの運用がグレーの場合もあった。

こうした状況の下、適切な形で、個人情報の活用を推進すべく、個人情報保護法が改正された。

山下氏は、改正個人情報保護法のポイントとして、「個人情報の定義の明確化」「適切な規律の中で個人情報などの有用性確保(利活用)の整備」「名簿業者対策」「個人情報保護委員会の新設とその権限」「個人情報の取り扱いのグローバル化」などを挙げる。

EUでビジネスを行う日本企業はGDPRの適用対象の可能性も

一方、GDPRはEUの個人情報保護法とも言える法規制で、 個人データの「処理」と「移転」に関するルールを定めている。処理とは「自動手段であるかどうかにかかわらず、個人データに対して行われる操作」を指し、移転とは「EU以外の第三国の第三者への閲覧可能にすること」を指す。

日本企業として注目すべきは、EU域内に拠点を持たない企業でも、EU域内の個人に商品やサービスを提供している管理者・処理者はGDPRの適用範囲となることだ。

山下氏は、GDPR適用対象となる可能性がある企業として、EUで物品を販売しているECサイトを運営している企業、クレジットカード決済でサービスを提供しているゲーム会社、旅行会社、運輸会社などを挙げた。

さらに、罰則の厳しさも注目を集めている。GDPRに違反した場合、事業年度の企業の全世界年間売上高の4%以下または2000万ユーロのいずれか高いほうの金額が罰則として科されるのだ。

個人情報保護においてカギとなる技術「匿名化」

改正個人情報保護法、GDPRの双方において、個人情報を活用する上で「データの匿名化」を規定している。

改正個人情報保護法では、匿名加工情報の項目が新設され、加工方法や公表などについて定めている。GDPRでは、個人データ処理として「仮名化」「暗号化」を規定しているほか、匿名化されたデータは対象外となるが、厳しい基準になることが予想されるという。

データの匿名化というと、マスキングが真っ先に浮かぶのではないだろうか。しかし、「匿名化は、単純に名前を消すだけではありません。情報の利活用につなげるためのカギであり、さまざまな方法があります」と、山下氏は語る。

データの匿名加工の手法

同社は臨床系のデータ分析をサポートしていたことから、そこで培ったノウハウをデータの匿名化技術に組み込んでいるという。一口に匿名化といっても、膨大なデータを加工するので、アナリティクスの技術なども求められるというわけだ。

個人情報保護のプロセスは止めない

山下氏は、個人情報の保護、個人情報の利活用を進めるにあたり、まずは「データがどこにあるのか」「データがどのような状態にあるのか」「データがどう使われているか」を明らかにすることが重要であると指摘する。

そして、同社としては個人情報保護に必要なプロセスを「データアクセス」「データ特定」「統制」「保護」「監査」という5つのステップに分けている。この5つのプロセスを回していくことで、個人情報の保護にとどまることなく、利活用まで進めていけるという。

個人情報を保護するための5つのプロセス

ちなみに、同社のセミナーの来場者の傾向をうかがったところ、「何から始めてよいかわからない」という人が多いそうだ。

山下氏は、個人情報の保護と利活用を進める上でのアドバイスとして、「5つのプロセスを1度回して、終わってしまってはいけません。情報は常に増えているので、プロセスを回さないと、最新の状況を把握することができません」と話す。

また、データの入口から出口まで一貫して見ることが重要であり、同社のソリューションであれば、データを一元的に管理できるので、それが可能だという。

IoT、AI、ビッグデータと、膨大なデータを活用してビジネスを創造する技術はそろってきている。これらを活用しながら、安全にビジネスを進めていくためのガイドラインが、改正個人情報保護法となる。

日本企業は改正個人情報保護法を遵守しつつ活用することで、リスクをおそれることなく、個人情報を活用したビジネスに取り組んでいけるのではないだろうか。