個人情報保護の経緯と背景 | 企業の個人情報保護法への取組と事例:2018年版(1)

個人情報保護の経緯と背景 | 企業の個人情報保護法への取組と事例:2018年版(1)

【2019/9/5更新】



企業のセキュリティにおいて重要な要素の1つとして「個人情報」が挙げられます。
個人情報の保護は「個人情報保護法」という法律で義務付けられています。法令順守はもちろんですが、個人情報の取り扱いを誤ると社会的信用を失いビジネスに多大な影響を及ぼすことは、過去の個人情報流出事故等からも多くの方に知られるところになっています。

しかし実際の現場や、ITセキュリティを預かる情シスにとって、「個人情報保護」はどこまでやればいいのか、何をすればいいのかなかなか難しい領域です。「そもそも何で個人情報の保護が情シスの範疇なのか」という疑問を持っている方もいるかもしれません。

法律として守るべき内容はもちろんですが、そもそも何で個人情報保護が必要になってきたか、その経緯と背景を知ることで、何故個人情報を守らなければいけないのか、何を目的として個人情報を守るのかというベースの部分を固めていきましょう。

スポンサーリンク

個人情報保護の経緯と背景

ITとプライバシー


個人情報保護法(2005年4月1日施行)の背景について、堀部政男中央大学教授は以下7つを挙げています。(出展:『個人情報保護法制化の背景と課題』法律のひろば54 巻2 号
(2001 年2 月号))

・情報化社会の進展とプライバシー問題の認識
・個人情報保護法制定の世界的潮流
・OECD 理事会のプライバシー保護勧告
・地方公共団体の個人情報保護条例の増加
・EU一般データ保護規則(欧州連合指令)
・電子商取引におけるプライバシー保護の要請
・住民基本台帳法の改正による個人情報保護法制の要請

人権意識の高まりに伴い、「プライバシー」という概念が生まれました。1967年のアラン・ウェスティンの著書『プライバシーと自由』において、プライバシーの権利を「自己に関する情報に対するコントロールという権利」であると述べ、これがポピュラーなプライバシーの定義となっています。
他の人に知られたくないことというのは多かれ少なかれあると思います。ある人にとっては大したことの無いことでも、別の人にとっては重大に捉えることもあります。それゆえプライバシーは本来主観によるものと言えます。

それと同時にコンピューターなどの情報技術の発達によって、個人の情報はデータ化され、大量に流通することが可能になっていきました。本人の与り知らないところで個人の情報がどんどん広がっていってしまい、それを誰かの意思で止めることが難しくなる状況が考えられます。

初のプライバシーに関する国際規定であるOECDの「プライバシー保護と個人データの国際流通についてのガイドライン」が勧告されたのは1980年のことです。この頃コンピューターの普及は進み始めていましたが、現在のインターネットのような広範囲なネットワークはまだ存在していません。
それでもこれまで口伝や紙などの媒体でしか伝わらなかった情報が電子化されることで、複製したり活用することが容易になり、また情報がどこに存在するのか目に見えない状態になってきたこと自体がプライバシーにとって憂慮すべき状態になってきていたのです。
ちなみに日本では今回のメインテーマである「個人情報保護法」に先立って、1988年に「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が成立しています。民間レベルの個人情報保護に先立って、行政における個人情報の管理を取り決めた法律を定めたのです。

こうした流れは国際的にも高まっていき、1995年にはEUデータ保護指令(2018年施行のEU一般データ保護規則(通称GDPR)の前段階)、2014年にはAPECプライバシー原則など、国家の枠組みを超えた国際ルールとして個人情報保護の制度化が進んでいきました。

特にインターネットが一般にも急速に普及していった1995年以降は、情報の流通する範囲や速度が飛躍的に拡大したこともあり、ITとプライバシーの関係性はさらに密接になっていきます。

個人情報漏えい事件の発生

日本における最初の大規模な個人情報漏えい事件は1999年に京都府の宇治市役所で発生した住民基本台帳データ約22万人分が、システム開発業者の委託先のアルバイトによって抜き取られ外部の名簿業者へ販売された事件でしょう。
ネットワークを介した侵入などではなく、システムから抜き出したデータをMOにコピーして持ち出すという物理的な方法で情報が持ち去られました。OECDガイドラインで危惧していた自体がついに発生したのです。

行政機関に関しては先述の「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」がありますが、民間には適用する法律がありません。民間企業にも顧客情報などの多くの個人情報データが存在しており、これらも標的になることが考えられます。実際にこの事件を皮切りに、2000年以降から次々に個人情報漏えい事件が発生・発覚することになり、その規模も大きくなっていきました。

2002年:東京ビューティーセンターで約3万人分の顧客情報が流出。
2003年:ローソン、ファミリーマートでそれぞれ約56万人、約13万人分の顧客情報が流出。
2004年:Yahoo!!BB加入者情報約452万人分が流出。

これだけの件数の個人情報を民間が取り扱っているということになると、民間も対象とする法整備が急務となります。

スポンサーリンク

保護と活用

個人情報を保護する法整備と同時に、データ化された情報を有効に活用することも同時に検討されることになります。プライバシーは重要な権利ではありますが、適切な取り扱いをすることでIT化による恩恵をきちんと享受できるような仕組みにしようという動きです。

行政の話になりますが、上記と同時期の2002年から住基ネットが始動しています。政府としては電子政府の構築の動きと情報保護の両立は重要な課題となっていたのです。

また直近の個人情報保護法改正(2017年5月30施行)においては、ビッグデータを活用した新しいサービスや社会問題の解決と同時に、消費者を個人情報漏えいのリスクから守るために以下のような点が改正されています。

・「個人情報」の定義の変更
・5,000人以下の個人情報を扱う事業者も適用範囲
・個人情報の利用目的を変更する場合の要件の緩和
・「匿名加工情報」
・オプトアウト手続きの厳格化
・トレーサビリティ(追跡可能性)の確保
・個人情報データベース等不正提供罪

日本の個人情報保護の動きは「規制」と「活用」を旨としているのに対して、2018年施行のEU一般データ保護規則(通称GDPR)においては、より厳密なオプトアウト手続きを求めたり違反企業に対する厳重な制裁を定める等、「規制」に重きを置いている印象があります。
GDPRはブラウザのcookieの情報まで明確に個人情報と定義し、アドネットワークなどもその制度の適用範囲として取り込みました。日本でもGAFAによる個人データ利用について法整備の検討に入っており、今後こうした分野も規制の対象となる可能性があります。

そうした場合、既存のWebマーケティング手法において広く活用されているcookie情報を活用した提案最適化などがどのような取り扱いになるか等、さらなる対応が必要になってくる可能性があります。


個人情報保護関連の記事を纏めました。

セキュリティカテゴリの最新記事