個人情報保護法が施行されたのは2005年4月のこと。それから12年経って、個人情報に関わる状況は大きく変わった。スマホが普及し、通信環境が整ったことで便利なウェブサービスやアプリが増えた。データが多く集まり、サービス間でデータを利活用できれば、さらにユーザーにとって価値あるサービスを提供できるだろう。しかし一方で、ユーザーにとっては個人情報の漏洩や事業者が適切に個人情報を管理しているのか不安もある。
そうした課題を解決するため、2015年に「 個人情報の保護に関する法律」の改正法が成立し、2017年5月30日より全面施行となる。
今回の法改正により、取り扱う個人情報が5000件以下の小規模取扱事業者でも規制の適用対象となる。つまり、ユーザーの個人情報を扱うスタートアップはどこも個人情報保護法に準拠する必要があるということだ。会社の規模が小さいから個人情報保護対策はまだやらなくても大丈夫、ということはなくなるので、注意が必要だ。
個人情報保護法の改正点は、個人情報の利用目的の明確化や第三者への個人情報を提供する際に記録を取るなどの透明化を義務付け、データベース提供罪の新設などいくつかある。
2017年5月24日にデータのじかんが発表したインフォグラフィックスに重要項目がまとまっている。
その中でもスタートアップに影響することは2点あるだろう。
購買履歴も個人情報
氏名や住所、連絡先といった個人情報は慎重に扱わなければならないというのはわかりやすいが、これまでその他の個人にまつわる情報の線引きが曖昧だった。今回の法改正で、個人情報の定義が明確になっている。パスポート番号や運転免許証番号といった個人ごとに違う文字、番号、記号の他、個人の身体的な特徴をデータ化した指紋認識データや顔認識データも個人情報として扱う必要がある。また、他の情報と照合することで簡単に個人を特定できる購入履歴や移動履歴も個人情報に含まれる。
それに加え、個人情報の中でも人種、信条、社会的身分、病歴、犯罪被害情報、犯罪の経歴といった情報は「要配慮個人情報」となる。これらの情報の取得の際には、あらかじめ本人の同意を得る必要があり、第三者提供もできない。
匿名加工情報でビッグデータの利活用がすすむ
特定の個人を識別できないように個人情報を加工し、個人情報を復元できないようにした「匿名加工情報」は、一定の条件のもとで第三者に提供できるようになる。これにより、例えば交通系事業者は自社で持つ乗客の乗降データを個人が特定できないように加工したデータをデータ分析事業者などに提供できるようになる。
今回の法改正で、様々なビッグデータが安全な形で利活用が進めば、スタートアップがよりユーザーにとって便利なIoTやAIサービスを提供するのに役立つかもしれない。
