欧州連合（EU）で、個人情報保護を目的とした「EU一般データ保護規則（GDPR）」が施行されて1年がたちました。日本でも、2020年に個人情報保護法の改正が予定されており、先日、改正に向けた論点をまとめた中間整理^※1が公表されました。こうした流れに伴い、パーソナルデータの適切な管理と活用をビジネス上の重要課題だと考える企業は増えています。パーソナルデータ管理の動向に詳しい野村総合研究所（NRI）の小林慎太郎に、個人情報保護法改正が企業に与える影響と、パーソナルデータを利活用する上での可能性について聞きました。

データエコノミーの進展とグローバル化に対応するための法改正

――個人情報保護法は3年ごとに見直されるそうですね。

個人情報の取り扱いに関しては、1980年に経済協力開発機構（OECD）のプライバシー・ガイドラインの中で示された8原則が世界の共通言語となっています。その中には、「個人データの収集目的を明確にしましょう」とか「データを安全に管理しましょう」といった個人情報の取り扱いの基本的な原則が定められています。これは、プライバシーに対する認識は各国の文化に深く根差しており、また時代とともに変わりうるものであるため、具体的なルールはそれぞれの国の事情に応じて定めることになっています。そこで、日本ではOECD8原則を踏まえた上で、データエコノミー^※2の進展やグローバル化の流れを見ながら、法制度を3年ごとに見直していくことにしているのです。次の法改正は、2020年に予定されています。

――前回と比べて、今回の検討はどう変化していますか。

前回の法改正（2017年5月30日全面施行）では、個人情報保護委員会という独立の専門機関が設立され、省庁別に分散されていた知見や経験が集約されるようになりました。このため、次期改正は個人情報保護委員会が中心となって、データエコノミーやグローバル化を踏まえて、いかにプライバシーを保護しながらデータの有効活用を進めるか、また各国間でいかにデータを安全にやりとりするかについて検討しています。

一時的な負荷よりも、中長期的なメリットに注目

――データ利活用では何が議論されていますか。

前回の改正では、特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにする「匿名加工情報」の制度が導入されました。しかし、この制度は制約が大きいこともあって、活用はあまり進んでいません。そこで、完全に個人が識別できなくなる匿名加工とは別に、名前等を置き換える（照合表などで個人に戻せる）「仮名化」について一部の義務を軽減すれば、データ活用が進むのではないか、という議論が出ています。匿名加工と仮名化の違いがわかりにくいので、仮名化をきちんと定義することも検討されています。

企業のパーソナルデータの利活用を促進する場合、同時に個人がそれをコントロールできるようにバランスを図ることが大切です。そこで、個人への利用停止の権利の付与が論点となっています。GDPRでは、本人が同意を撤回したり、異議を申し立てたりすれば利用を止められますが、個人情報保護法では企業側に瑕疵があった場合に限られます。この制限をなくして、個人が任意に利用停止できる権利を認めた場合、企業は、個人ごとに、どのデータを、何の目的で利用することについて同意取得したのか管理できるようにするなどの対応が必要になります。

――海外との違いも意識しないといけないわけですね。

たとえばGDPRでは、個人が企業に収集蓄積されている自分のデータを他社のサービスに移転できる「データポータビリティ権」を認めています。データ移転の際には構造化された電磁的記録で提供する必要があるという規定も設けています。これには、データエコノミーの強者であるグーグル、アップル、フェイスブック、アマゾン（GAFA）に蓄積されたデータを、GAFA以外の企業が利用できるようにする競争政策上の意味合いもあります。

日本でも、個人の開示請求権に対し、企業に電磁的記録での提供を義務付けようという議論が出ています。これは個人情報を体系的に管理できていない企業にとっては負担がかかることですが、中長期的には情報銀行をはじめとするデータ活用ビジネスの促進につながります。

業界が自主ルールを整備して利活用を促進する

――データ保護については何が論点となっていますか。

個人情報が漏洩した場合、日本では企業が監督官庁に報告することは「努力義務」となっていますが、世界では「報告の義務化」が標準になりつつあります。この報告義務のあり方には様々な論点があるのですが、日本でも義務化の方向に進むことが予想されます。

ペナルティも大きな論点です。欧米では情報漏えいや法令違反に対する制裁金が数十億円になることがあります。一方、日本の罰金は最大でも50万円です。欧米のようにもっと厳しい制裁を科せるようにするべき、とする意見もありますが、これまで日本では罰金適用に至った事件がなく、データ活用を萎縮させかねないとして産業界は反対しています。

――企業はどう備えればいいでしょうか。

パーソナルデータの管理や活用は、どの企業も避けて通れない課題です。「プライバシー・バイ・デザイン」が謳われている通り、企業は事前にリスク評価して、プライバシー保護のための措置を業務やシステムに組み込んでおくことが大切です。

自動車を運転する場合、しっかりブレーキが利かないと、気持ちよくスピードは出せません。それと同じように、適切なルールがあって初めてデータの利活用は進むのではないでしょうか。ただし、個人情報保護法は一般法なので、業界の個別の事情をくみ取ることまではできません。業界やテーマごとに関係者が議論を重ね、個人情報の保護と活用を両立させるためのルールを自主的に整備していく必要があると思います。

• 1　中間整理：
  個人情報保護委員会「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」
  （2019年4月25日）
• 2　データエコノミー：
  社会活動の中で生み出される膨大なデータから価値を生み出す経済活動