個人情報保護法の改正による「匿名加工情報」とは(デロイト トーマツ リスクサービス) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.15(金)

個人情報保護法の改正による「匿名加工情報」とは(デロイト トーマツ リスクサービス)

製品・サービス・業界動向 業界動向

デロイト トーマツ リスクサービス株式会社は11月24日、同社サイバーセキュリティ研究所による記者勉強会を開催した。6回目となる今回は、「改正個人情報保護法 ~企業の実務に及ぶ影響~」と題して行われた。同社の代表取締役社長である丸山満彦氏は、「9月3日に個人情報保護法の改正案が成立し、2005年の全面施行以来、10年ぶりの改正となった。今回はそのポイントとなる匿名加工情報とグローバルの最新情報をお伝えする」と述べた。

同研究所の主任研究員である大場敏行氏は、「ビッグデータと匿名加工情報について」と題した発表を行った。大場氏は、個人情報保護法の改正によって、個人情報の定義が見直されたことを指摘。個人を特定できる情報として指紋データや顔認識データ、パスポート番号、免許証番号などが具体的に明記されたほか、他の情報と容易に照合することで個人を特定できる情報として、個人情報に紐付く移動履歴や購買履歴が加えられた。

この「個人情報に紐付く移動履歴や購買履歴」はかなり詳細で、移動履歴の位置情報は秒単位で記録されるため、たとえば東京では30メートル四方で位置の特定が可能になる。また購買情報は店舗名やサイト名、購入した商品名まで記録されるため、特別な商品名の場合は個人を特定できる可能性がある。これらの情報を匿名化するには、移動履歴では時間を時単位にし、位置情報の秒単位を削る。また購買履歴では店舗名を実店舗かECサイトかの判別にとどめ、商品名を商品カテゴリに変更するといったことが必要になる。

個人情報を利用するためには、取得した際の利用目的の範囲内で取り扱うことや、目的外利用や第三者へ提供する際には原則本人の同意が必要としている。しかし、移動履歴や購買履歴はビッグデータとして扱うことになるので、本人すべてから同意を得ることは困難である。ビッグデータの利活用のためには匿名加工情報に変換することになるが、その基準は政令等で定められる予定であるという。企業では、加工方法の策定や安全管理措置、苦情を受け付ける体制の整備などが必要になるとした。

また、同研究所の主任研究員である北野晴人氏は、「個人情報保護法改正・グローバルな法制度とシステム」と題する発表を行った。グローバルでも個人情報に関する法制度は刻々と変化しているという。最近ではロシアが新しい法律を施行し、データを国外に出さない方針を打ち出した。これに従わないとネット接続を遮断されてしまうため、eBayがロシアに設備を置くなど対応を行った。

北野氏は最近の事例として、欧州司法裁判所から米国の公的機関に対してセーフハーバー無効の判決が出されたことを取り上げ、EUデータ保護指令では個人情報の域外持出しは保護措置が十分なレベルである場合を除き原則禁止されており、米国は「十分なレベル」ではないとされていることを説明した。ほかにもデータの域外移転の方法はあるが、いずれも厳しい条件を満たす必要がある。

一方、日本では改正24条により、「日本と同等の水準で個人情報が保護されている、と認められた国にある」あるいは「日本の個人情報取扱事業者と同じような個人情報保護の体制を整備している」のいずれかを満たせば、海外の第三者への個人情報の提供が可能になる。これは人事制度のグローバル化に対応した形だが、日本の企業もグローバルな人事システムを構築する必要がある。それが可能な国については、来年発表されるという。また、要配慮個人情報が新設されたことについても触れ、ストレスチェックも含まれる可能性があるとした。

実際に情報を利活用する際には、企業が持つ保護するべき情報に複数の組織がアクセスしているケースが多いことから、アクセス権限の管理が重要であるとした。また、データベースを世界のどの地域に配置するかによって対応が変わるため、ビジネスの方向性とデータセンターの所在地の兼ね合いがポイントになるとした。
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  3. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

    シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. カスペルスキーに関する一連の報道に対し、代表取締役社長の川合氏が言及

  7. ダークウェブからAIで情報収集(DTRS、IISEC)

  8. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  9. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  10. 学校の自殺予防体制、情報セキュリティ技術活用

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×