2019.08.27
変わりゆく個人情報保護の考え方
EU域内の個人データ保護を規定する目的で2016年4月に制定された「EU 一般データ保護規則(GDPR:General Data Protection Regulation)」が、2018年5月25日より施行されました。
GDPRは、罰金の上限も高く、日本の個人情報保護法では、特定の個人を識別できない情報は個人情報とみなされないことに対し、EUでは、個人に関するあらゆる情報、たとえばIPアドレスや、Cookieのようなオンライン識別子も個人情報とみなされます。
GDPRの目的の一つに、市民と居住者が自分の個人データをコントロールする権利を取り戻すということがあり、個人情報を保護するのは人権を守るためのという考え方が強いです。これにより、インターネットでデータが閲覧できてしまう時代において、「消去権」つまり忘れられる権利として、個人に関するデータを消去要求する権利も定めています。
また、「データ侵害」の報告は、データ管理者はいかなる僅少基準も適用されず、侵害から72時間以内に監督機関へ報告しなければならないという厳格なものです。
個人データを処理した結果のデータが、追加情報の利用なしに特定のデータ主体と結びつけることができないようにする処理である「仮名化」についても認識が必要で、たとえば暗号化の場合、復号鍵が無ければ元データが分からないようにするため、GDPRでは、復号鍵は仮名化データと別に保管されることを求めています。
最近、ある企業が就活学生の応募動向予測を企業に提供するサービスについて、個人情報保護委員会から勧告・指導を受けましたが、プライバシーデータの利用をどこまで学生に求めるべきかの思考の違いが浮かび上がりました。
AI時代のデータの取扱いは、慎重にならざるを得ません。プライバシーの考え方も、時代や地域、環境によって大きく変化していきます。企業や組織は、常に新しい情報を入手し、常にリスクを考えながらセキュリティへの対応が必要です。
[タグ]
[関連]