スタートアップが知っておきたい法律知識⑦ 間もなく施行される個人情報保護法とデータの利活用の留意点

Posted on Posted in internet, startup

改正個人情報保護法の全面施行(2017/5/30)が迫ってきました。

オープン・イノベーションの流れが加速する中、スタートアップ企業が成長する過程で、第三者との事業提携等で社外にデータ共有する場面がますます増えていくことが予想されます。今回は、全面施行後、EC、SNS、メディアなどB to Cのインターネットサービスを提供する企業が、データの利活用を促進する上で、まず知っておきたい事項についてです(注1)。

 

1 匿名加工情報に関する新ルールの導入とその意味

改正法は、Suicaの乗降履歴の氏名等を仮のIDに付け替えて社外のデータ解析企業へ提供しようとして炎上した事例に代表されるグレーゾーンの解消のための施策の一つとして、「匿名加工情報」という新しい類型の情報の取扱いルールが整備しました。これは、事業者間でデータを共有をする際に、個人情報の保護を確保しつつ、パーソナルデータの利活用を促進することを図るためのものです。

これをデータを利活用しようとする企業の立場から見ると、利活用の手段・方法の選択肢が一つ増えることを意味します。オープン・クローズドのデータ戦略とあわせて、事業上の目的を達成するために法が用意しているメニューから最適なものを選択して使いこなしていくことがますます大切になります(注2)。

 

2 データの類型ごとに異なるルールが適用される

全面施行後、データの社外への提供に際し、取り扱うデータの類型(具体的には①「個人データ」②「匿名加工情報」③「統計情報」か)により、異なったルールが適用されることに留意しつつ、個人情報の保護とデータの利活用のバランスをとっていくことが求められます。B to Cのインターネットサービス企業が事業上の必要性からデータを第三者提供する場合を想定し、データの類型ごとに適用されるルールのポイントを表で簡単に整理、比較してみました(注3)。

 

表を見て頂くと分かるように情報の類型ごとに大きくルールが異なります。法的な観点からすると、第三者提供しようとするデータについて、個人データ、匿名加工情報、統計情報のうちどの類型の情報と位置付けていくかが重要な点といえます。

 

3 課題

課題の一つは各類型の情報の定義の明確化といえそうです。法令、ガイドライン、事務局レポート等で明確化に向けた工夫がされています(注4)。

もっとも、個々のケースで類型の外縁を十分に明確化しきれない場合も考えられます。例えば、統計情報については個人情報保護法が適用されないことから、統計情報に該当するかは大きな意味を持ちますが、統計情報については法令上定義はありません。ガイドラインによると「特定の個人との対応関係が排斥されている」点がポイントと考えられているように読めますが、家計消費動向の推計一つをとっても、地域区分、年齢区分、金額などをどの程度加工すれば、「個人との対応関係が排斥されている」といえるか、個々に判断していくことが求められそうです。この点含め、全面施行後、議論が深まり、明確化が進むことが期待されます。

以上、簡単ではありますが、検討の出発点として役立ていただければ。

 

 

(注1)個人情報保護委員会のウェブサイトから、個人情報保護法、政令、規則、ガイドライン、QA、事務局レポート、パブリックコメント等、改正法の情報全般について、アクセスできます。

 

(注2)個人情報保護法では、施行後3年ごとに見直しがされる旨が附則で規定されており、情報通信技術の進展や諸外国の法制の動向等に伴い、今後進化していくものと思われます。

改正個人情報保護法が主題ですので詳細は割愛しますが、データの利活用を促進するためには、個人情報保護法以外の不正競争防止法、著作権法などの知的財産法や、情報提供契約、秘密保持契約などの契約もあわせて考慮する必要があります。情報の利用は、原則自由(パブリックドメイン)と考えられますので、提供する情報を独占・コントロールする権利の根拠法令がない場合、提供元としては、契約で提供先による当該情報の利用を制限することも検討する必要があります。また法や契約による保護も限界があるため、物理的・技術的な方法で保護を図ったり、そもそも外部に情報の全部または一部を提供しない選択肢も検討する必要があります。

 

(注3)表中では触れていませんが、「個人データ」の第三者提供について、下記も留意点と考えられます。

オプトアウトの手段を本人に提供し、一定の事項を公表し、個人情報保護委員会に届出した場合は、本人の同意は不要です(法23条第2項)。本件で想定している場面では、必ずしも一般的ではないと考えられること等から、表からは除外しています。

「個人データ」の委託、共同利用に該当する場合でも、提供先が「外国にある第三者」である場合は原則本人の同意が必要です。ガイドライン(外国にある第三者への提供編)参照。

なお、「個人データ」の第三者提供時の確認・記録義務については、ガイドライン(第三者提供時の確認・記録義務編)参照。

 

(注4)「個人情報」の定義等について、ガイドライン(通則編)、「個人情報の保護に関する法律についてのガイドライン」及び 「個人データの漏えい等の事案が発生した場合等の対応について」 に関するQ&A参照。

「匿名加工情報」の定義等について、ガイドライン(匿名加工情報編)、「匿名加工情報 パーソナルデータの利活用促進と 消費者の信頼性確保の両立に向けて」(個人情報保護委員会事務局レポート)参照。

「統計情報」の定義は、法令上定めがなく、ガイドライン(匿名加工情報編)によります。同ガイドライン上 「統計情報は、特定の個人との対応関係が排斥されている限りにおいては、法における「個人に関する情報」 に該当するものではないため、改正前の法においても規制の対象外と整理されており、従来同様に規制の対象外とされている」旨が言及されています。個人情報保護委員会事務局レポート13頁も参照。

なお、上記はいずれも本日現在、個人情報保護委員会のウェブページ「改正法の施行準備について」からアクセスできます。