12年ぶりに個人情報保護法が改正された。個人情報を保護しながらも利活用を促進すべく、足かせとなるグレーゾーン解消を目的に改正されたのだが、今回の改正により多くの企業が対象となる新規制もあり対策は急務だ。

今回は、慶応義塾大学SFC研究所 上席所員 寺田眞治氏（以下 寺田氏）と、個人情報検出・管理ソリューション「P-Pointer File Security」を開発・提供するアララ株式会社 執行役員 井上陽子氏(以下 井上氏)をお迎えし、法改正の背景や対策のポイントなどをうかがった。

▲左から寺田氏　井上氏　弊社営業部長 池田

改正法で個人情報保護をしながら利活用を促進

寺田氏は今回の個人情報保護法改正に際し、業界団体代表として国会の参考人招致に応じるなど法改正に尽力されたキーマンだ。12年ぶりとなった今回の法改正だが実際、認知している企業は非常に少ないという。「弊社が行った独自調査では、改正法に関する認知度は34％。半分以上が知らないという結果で、企業の経営陣においても認知している割合が20％となっており、認知度が低い事がわかります。（井上氏）」

改正法の元となる個人情報保護法はなぜできたのか。その背景は古く1980年代にさかのぼる。「個人情報保護法の概念はヨーロッパです。1980年にOECD※１で個人情報保護が唱えられ、各国に対して法制度化の勧告がありました。日本での法整備は諸外国に遅れ、2005年に個人情報保護法を施行。中身はグローバルに合わせた考え方というレベルでした。（寺田氏）」

以降インターネットの普及に伴い取り扱われる情報量が増えビックデータやIoT活用が進む中で、個人情報保護の高まりと、米国における個人情報の利活用促進の背景もあり、「個人情報」の利活用と個人情報保護を目的に改正されることになった。
 

個人情報取り扱いは「権利」か「契約」か・・・日本が目指すべき保護と利活用の方向性

「個人情報取り扱いに関しては、ヨーロッパはデータ主体の『権利』という考え方です。また、米国は『契約』。透明性があれば大丈夫という考えです。しかし、現在の日本には個人情報の取り扱いポリシーがありません。（寺田氏）」

すでにヨーロッパでは、かなり厳しい対策がとられていることを踏まえると、ポリシーのない今の日本にとって重要なのは方向性を定めることだと寺田氏はいう。「日本はヨーロッパのように権利型でいくのか、アジア全体として統一性を考え、ヨーロッパと対等に話をする方向性にするのか。それにより事業者の個人情報保護の対応も変わります。ただ、ヨーロッパでビジネスをする際、同じレベルで個人情報を利活用・保護する仕組みがないとビジネスが行えない現状があり、対策は急務です。国同士の話となると5、6年はかかるため、各企業が個別に対応せざるを得ないというのが現状ですね。（寺田氏）」

そんな個人情報保護の先進国であるヨーロッパでは、データの利活用・保護が進んでいる。日本でも最近注目されつつある「忘れられる権利」や、携帯電話のキャリア間で一部行われている「データポータビリティ」の仕組み、「プロファイリング」に関する考え方など、範囲は多岐にわたる。

米国でも個人情報の利活用・保護の動きは広がってきており、例えばFacebookでは自分の記録データを取り出すことができ、データポータビリティが確立されつつある。さらに個人情報保護の規約に反した場合、何十億という賠償を求める集団訴訟を起こすことができ、FTC※2が制裁金を科す事もできる。今後、日本でもこのような制度が整備されるかもしれない。

曖昧だった個人情報の定義を明確化し利活用促進へ！改正法で押さえておくべき5つのポイントとは

ようやく動きだした改正法だが、「保護」の面が強いことは否めない。その背景にはSuica問題や、日本年金機構のウイルス感染問題などが影響している。今回の法改正は、曖昧だった個人情報の定義を明確化し、加工した情報が使えるようにすることも目的のひとつだ。「これまでは特定の個人を識別できないようすればOKだったが、定義があやふやでした。そこで使えるようにして加工したものには「匿名加工情報」と命名し、さらに一定の基準とそれを安全管理するような義務をつければ自由に使って良いよということを明確化しました。（寺田氏）」

では今回の法改正で、企業が知っておくべきポイントはどこなのか。寺田氏によれば押さえておくべきポイントは５つだという。
1:個人情報の件数に関係なく全ての事業者が対象
2:個人情報の定義の明確化
3:匿名加工情報の新設
4:個人情報の海外移転の管理
5:第三者に個人情報を提供する際の記録確認義務

中でも新たに制定される5点目の「記録確認義務」に注目していただきたい。上記4点は浸透しつつあるが、記録確認義務を意識している事業者は少ないと寺田氏は警鐘を鳴らす。実はこの部分、個人情報を企業間でやり取りする場合、どの企業でも対策しなければならない内容なのである。

具体的な例としては、企業の採用活動がそれにあたり、登録者の情報を渡す側も、受け取る側も記録確認義務が必要とされる。「どの企業にどのデータを渡したか」を記録しておく必要があり、提供を受けた側は、その情報が「本人の同意が得られた上」であるかを確認する必要がある。「これは某教育業さんの事故の影響ですよね。名簿屋対策というか。使う側も入手する際、その情報が不正な方法で入手されたものでないか把握してから活用するということを求められています（井上氏）」

具体的なフォーマットなどは規定されていないが、寺田氏によれば重要なのはトラブル時のトレーサビリティであるという。注意すべきは「どういう流れで、いつ、どうなったか」追えるかどうかで、それが分かっていれば基本的には問題はない。ただし使う側も、受け取る側もこの記録を3年間保持する事が求められる点は気を付けておきたいところである。

さらに個人情報が第三者提供になるのかどうかも要注意だ。業務委託であれば記録義務はなくなる。また、グループ企業間での共同利用も同様だ。その場合は別の注意が必要になってくる。「グループ企業で個人情報を共同利用する場合、共同利用としての規則でどの企業と何のデータを共有しているのか公表を求められます。ユーザー側としても、この企業に渡したつもりがないのに違うところで使われているとか…気になりますよね。（寺田氏）」
 

個人情報保護は企業だけの規制ではない！ユーザーが自身の情報に興味をもち守ることが重要

これまで企業側における取扱規制に迫ってきたが、実際ユーザー側でも気を付けるべきところがある。寺田氏によれば、日本人は自分の情報の扱われ方を注視する意識が低いという。よくある「利用規約を読んで同意にチェック」という指示も機械的にチェックしてしまいがちではないだろうか。後からそんなつもりじゃなかった・・・規約に書いてありますが。という事になりかねない。

「日本は自分の情報の扱われ方に関し非常にリテラシーが低く、気にしない方が多い。そのため将来的には、企業側の信頼「この企業は安全かどうか」というトラストフレームワークの構築というのが必要になるだろうと思います。（寺田氏）」企業任せの個人情報保護だけではなくユーザー側でも意識を持つ必要があるだろう。

では、改正法を意識している企業ではどうなのか。井上氏によれば今回の法改正を好機とみている企業のシステム担当者は多いという。「これまでは対策したくとも企業自体の意識の高まりが追い付かず難しかった。この改正のタイミングで対策の必要性を提言しやすくなったと聞きますね。規制対象が広がった点に関してはこれからだと思いますが認知されるうちに浸透していくと思っています。（井上氏）」

システム導入の際に対策すべきポイントは「透明性」！見える化と正しい運用ができる体制構築がキー

では具体的にはどのような対策が必要だろうか。個人情報を守るための義務に「安全管理措置」と言われるものがある。4つの項目から構成されており（図1）システムを導入する事で対策が可能だ。寺田氏によれば成功する安全管理措置のためのシステム構築には「透明性」が重要だという。

「データがどのように動いているかを把握できる仕組みの構築が最初のポイントです。それは点ではなく、システム全体で繋がっている事が重要です。（寺田氏）」データを入手してから廃棄するまでを可視化した仕組みが必要で、全体を俯瞰できる管理が理想的だという。「たとえば営業部がセミナーで獲得したアンケート情報とか、情シスが把握できてない部分で個人情報の塊が散在していますよね。そういったものをシステム部門やリスク管理部門が把握しておくべきですね。（池田）」

データの動きを可視化するには同時に組織体制の構築が不可欠だ。GDPR※3の規則ではデータ・プロテクション・オフィサーというデータ専門の管理者の設置が義務づけられている。設置は必ず第三者セキュリティとして設置し、ビジネスサイドと情報管理サイドは分ける事で、現場の意見に振り回されないリスク対応が実現できると寺田氏は語る。

このように予めリスクヘッジするプライバシーバイデザインと言われる考え方も、今回の法改正において元になった考え方だという。実際、海外展開をしているような大手企業は強く意識しており、第三者提供・オプトアウト※4の手続きなどかなりしっかり行っているという。しかしそんな大手でさえ、自社内の個人情報の管理が万全かといわれれば厳しいのではないだろうか。

情報は正しい場所に正しい形式で保管し見える化された環境で運用する

会社の中に個人情報が散在していないか把握できていない…そんな時に活躍するのがアララ社のP-Pointer File Securityである。「改正法で新たに個人情報だと明確に定義されたものが複数あります。それは個人識別符号と言われ、政府が指定した免許証番号、年金番号などで単体でも個人情報となります。これまでは管理しなくても問題はなかったため、もしかしたら番号だけのEXCELのシートが営業部にあるというケースもあるかもしれません…。しかし、このタイミングで安全管理措置を行うために洗い出す必要があります。

その散らばった個人情報の洗い出し作業をP-Pointer File Securityで行っていただけます。独自の技術で判定し検出、自動で移動・削除・暗号化※5することができます。また、「使用済の個人情報は消去するように努める」という法改正もなされましたので、定期点検の中で個人情報が含まれるデータで不要なものがあれば削除するという運用も行っていただけます。（井上氏）」

もちろん改正法にのみ適用されるものではない。不要な個人情報が社内に散らばっていると、それ自体が漏えいした際にリスクになりうる。井上氏によれば、「あってはならない場所＝安全でない場所」にあることが問題であるという。ルールに違反している場所にある個人情報を見つけ、正しい場所で管理する事をPDCAサイクル化するという情報管理の原則がP-Pointer File Securityの製品コンセプトである。

「最近急増しているBYODで個人情報を持ち出すパターンも多いです。うっかりもありますし、個人の端末も定期的に調査する必要がありますね。（寺田氏）」実際、ファイルサーバーのデータを何気なくデスクトップにコピーして使うケースは少なくない。「企業によっては手作業でチェックする場合もありますが、そうなると人によりレベルが異なり、精度のばらつきが発生します。忙しい時などは手を抜いてしまったりと…そこは無理せずツールでやってもらえればと思います。（井上氏）」

今回、個人情報の定義が明確化することで、よりツールで管理しやすくなる。「弊社としては会社で管理している端末を明確にする事も重要な管理の一つと考えます。例えばP-Pointer File Securityが全端末に入っているかどうかは、全端末を管理下に置かねばわかりません。LanScope Catでは、管理下に置かれていない端末は社内ネットワークに繋がせないことができます。

さらに、管理端末はP-Pointer File Securityで抽出した個人情報と機密データがどこにコピーされて名前変更されてメール添付、Webにアップロードされたという情報の取り扱い状況を可視化します。これにより情報の持ち出し経路を追跡できるので、漏えいに対し、重要データの所在確認から利用状況の把握まで両社で実現できると思います。まずツールで社内の状況を「見える化」し、社内の体制を整えていくことが重要です。（池田）」

社内の「見える化」ができても、結局そのポリシーは誰が作り、監視しているのかが曖昧な組織が多いという。システム導入だけではなく、その運用を行うためのソリューション提供は必要だと寺田氏は語った。

個人情報を保護するという形式的管理から離れ改めて企業のリスク管理体制を見直すタイミングとして

個人情報保護法は難しいものと捉えられがちだが、基本的に一般人基準で制定されているといわれている。一般人が見て、特定の個人を識別できるかどうかという考え方で、セキュリティの考え方も一般的なレベルでの考えのもとでつくられるべきであり、専門家が高いレベルで監視していくというものではないと寺田氏。暗号化を行っていれば、漏えいの申告がいらないという新規定に関しても詳細なガイドラインを調整中だという。

「高度な暗号化を行っていれば漏えいの届出がいらないルールなのですが、誰が高度と判定しOK出すのか、どういうケースなのかが不明瞭です。そこでガイドラインと同時にここまで満たせばOKという暗号化のレベルや運用方法を出そうとしています。本件に関しては今、タブレットやスマホの紛失が非常に多い傾向にありますので、これが整えば多くの企業の安全性の確保と工数が削減できると思います。（寺田氏）」

最後に日本企業が改正法対策を行う際、どのような事に気を付けるべきなのか寺田氏に聞いてみた。「個人情報を守らなければならないという形式的な考えではなく、まずリスクをどう考えるのか。改正法対策ではなく『リスク管理』として見直ししていただきたいです。その中で個人情報やセキュリティを整理し、全体を俯瞰できるような運用を構築してください。個々に行えば、コストもかかるし統一的な管理運用はできません。今回の法改正では、システム面の改修は必要となると思います。このタイミングで「リスク管理」の視点から前提を見直してほしいです。（寺田氏）」

どんなに優れた法律もシステムも、結局は人が運用していくものである。改正法は個人情報を守りながら活用していくための法規制だが、リスクヘッジのための体制とはいったい何なのか、何をすべきかを話し合うよい機会となるだろう。

●前回好評だった改正法対策対策をセミナーの追加日程が決定！

対談の3社が登壇する『企業における改正個人情報保護法対策の勘所！』セミナーを受付中です
https://www.lanscope.jp/endpoint-manager/on-premises/seminar/personal_info/
 

▲明るく活気にあふれるアララ社

※1：経済協力開発機構。ヨーロッパ、北米等の先進国によって、国際経済全般について協議することを目的とした国際機関。本部事務所はパリ。

※2：連邦取引委員会。消費者保護と公正な取引を監督・監視するアメリカ合衆国政府の独立機関。

※3：EU一般データ保護規則。EU内の個人データを保護する統一的な法律。

※4：企業が個人に行う活動に対し、ユーザーが拒否し、(登録などの)解除・脱退、(情報などの)消去などの申し出を受けること。

※5：暗号化するためには専用のソフトウェアが別途必要になります。