2020年における個人情報保護法の動き

2020/3/10に個人情報保護法の改正案を閣議決定された。罰金の上限額を１億円に引き上げ、セッションクッキーも個人情報として扱うなど、世界標準に向かっている。この動きは、JR東日本「Suica」の行動履歴を日立製作所に販売する事例や、リクナビキャリアの内定辞退率予測サービスが教訓となっている。

日本国内の個人情報の保護に関する法律のおさらい

• 個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする
• 個人情報とはすなわち、氏名、生年月日その他の記述等により特定の個人を識別することができるもの
• ビッグデータ処理によるプロファイリングに配慮し、人種、病歴、犯罪歴などは要配慮個人情報と定義され、より厳密な扱いを義務付けられる
• 個人情報を復元できないように加工さえすれば、一定の条件を満たすことで第三者に提供することも可能

参考情報

• 個人情報の保護に関する法律
• 個人情報保護委員会　個人情報の保護に関する基本方針
• 『リクナビDMPフォロー』に関するお詫びとご説明

GDPR（EU一般データ保護規則）は日本の個人情報保護法より厳しい

• IPアドレスやIDFA、ADIDといったトラッキング情報も個人情報として取り扱われる
• プラポリだけでなく、本人の明確な同意が必須
  • メールマガジンの登録チェックボックスなど、デフォルトでチェックが入っている状態になっている場合はGDPRに違反しているとみなされる可能性が高い
• 管理体制もデータ保護担当者（DPO）を配置するなどが必要
  • データが安全に保たれていることを確認することが責務。あくまで個人データの責任者はCEO。
• DPOは管理者および処理者、監督当局との連絡係の役割を果たす
• 違反したときの罰則が高額（数十億）

ケンブリッジアナリティカ事件（情報操作目的で個人データが利用され、英国のブレグジット、ターゲティング広告でトランプ陣営が有利になるように働きかけられていた）など、個人情報が悪用されたことがキッカケで整備が進む。そもそもEU諸国は市民革命を経て近代国家を築いた＝自己主権の考え方が根強い、という見方もあるかもしれない。

参考情報

• GDPRガイドブック（書籍）
• 最新GDPRの仕組みと対策がよ～くわかる本（書籍）
• グレート・ハック: SNS史上最悪のスキャンダル（Netflix）

CCPA（カリフォルニア州消費者保護法）が2020年1月に正式発効

カリフォルニア州民の個人情報を保護するための法案。GDPRと重なる部分も多く、「GDPRの米国版」と誤った認識をしやすいので注意。GDPRとの大きな違いは、個人データの定義と個人データを利用することにおいて事前に許諾を得る必要が無い点。

参考情報

• 【カリフォルニア州新プライバシー法(CCPA)】すぐわかるIT対応のポイント
• GDPRとCCPAとの違いとは？

思うところ

• 個人や国家の安全保障上の理由であれば、情報開示されるべき
• 行き過ぎた自己主権的な世界では、犯罪を手助けしてしまう懸念がある
• 対価が得られれば個人情報を喜んで提供する人もいる。サービス利用者の倫理観とかも大事。
• 世界的にオンライン上の人権保護が進んで、いい方向に向かっている。一方で、中国が色んな意味で脅威になっている。
• 認証基盤にSSI/DIDが普及すると良いなぁ・・・

DIDについてはW3Cワーキングドラフトを読みつつ、Hyperledger IndyとかuPort、Microsoft IONで遊んでみると理解が進む。