ビッグデータは、国内では認知度は上がっているものの、実際に利用している企業はまだ限られているのが現状だ。この状況に一石を投じる可能性があるのが、2015年9月に成立した「改正個人情報保護法」だという。デロイト トーマツが、2015年11月24日に開催したサイバーセキュリティ先端研究所の記者向け発表会で、その理由が明らかにされた。
2003年に衆議院本会議で成立し、2005年から全面施行された「個人情報保護法」は、企業が抱える「個人情報」に係わる電子データの情報漏洩を厳しく取り締まるものだった。法の施行後、情報漏洩事故、事件を起こして謝罪会見を開く企業が相次いだ。それを受けて当時のIT業界では「情報漏洩対策」が一大トレンドとなった。
それから約10年、その個人情報保護法が改正することになった。2015年9月3日の衆議院本会議で可決された改正法は、情報漏洩に対してより厳しい罰則を設ける一方で、ビッグデータの活用を推進する内容となっている。
デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員の大場敏行氏によると、現行法の成立当時にはなかったIT技術の普及などにより、「現在では、グレーゾーンの個人情報が存在するようになってしまった」という。このグレーゾーンの存在が、企業のビッグデータ利用や提供を躊躇させる一因になっていると考えられている。グレーゾンのデータを下手にビッグデータに利用すると、個人情報保護法に抵触する恐れがあるからだ。
現行法での個人情報の定義は、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)をいう」となっている。
この定義からは、2003年には取り扱いが難しく普及していなかった指紋や顔認識などの生体データや遺伝子データ、来店者の移動履歴、購買履歴などが個人情報に該当するのかどうかかが判断できない。そのため、これら判断不能なデータが「グレーゾーン」の個人情報となった。いずれもビッグデータで使うには魅力的なデータだが、企業にとっては、使いたいけど使えないデータとなってしまった。
改正法では、個人情報の定義を拡充することでグレーゾーンを解消する。まずは定義のうち「特定の個人を識別することができるもの」の拡充。(1)特定の個人の身体の一部の特徴を電子計算機のための変換した符号、(2)対象者ごとに異なるものとなるように役務の利用、商品の購入又は書類に付される符号。このいずれかに該当する文字、番号、記号その他の符号のうち政令で定めるものが含まれるものを、新たに個人情報であるとした。(1)には指紋データや顔認識データ、(2)には旅券番号や免許証番号、携帯電話番号などが該当する。
また、「他の情報を容易に照合」することができるものとして、改正法では「個人情報と紐づく移動履歴」「個人情報と紐づく購買履歴」を上げている。「移動履歴」と「購買履歴」という2つの情報は、いずれもビッグデータでの活用が見込まれるデータだが、これも個人情報の扱いとなる。
結果、改正法ではグレーゾーンの多くが個人情報と判定される可能性が高くなる。個人情報の取扱いについては、①取得したときの「利用目的」の範囲内で取り扱うことが必要、②目的外の利用や、第三者への提供にあたっては、原則本人の同意が必要という取り決めがある。一般的にビッグデータでの利用は②の「目的外の利用」や「第三者への提供」に当たる。
現実問題として、移動履歴や購買履歴といったデータについて、本人から同意を得ることは難しい。ということは、これらのデータが個人情報になると、ビッグデータでの利用が実質不可能となってしまう。これでは、政府が掲げるビッグデータ利活用の推進とは逆の方向に進んでしまうことになる。
会員登録(無料)が必要です
- 1
- 2
- 次へ >