変わりゆく個人情報保護の考え方

EU域内の個人データ保護を規定する目的で2016年4月に制定された「EU 一般データ保護規則（GDPR：General Data Protection Regulation）」が、2018年5月25日より施行されました。

GDPRでは、EU域内に住んでいる人は日本人でも対象となります。また、EU域外へのパーソナルデータの持ち出しを制限しており、日本の個人情報保護委員会がEU当局と交渉し、ガイドラインに準拠すれば、EUから日本へ個人情報を移転できるようになるようですが、EU の人達をビジネスのために日本へ移住させる場合など、個人情報を国外に移転することにも規制があることも覚えておく必要があります。
GDPRは、罰金の上限も高く、日本の個人情報保護法では、特定の個人を識別できない情報は個人情報とみなされないことに対し、EUでは、個人に関するあらゆる情報、たとえばIPアドレスや、Cookieのようなオンライン識別子も個人情報とみなされます。

GDPRの目的の一つに、市民と居住者が自分の個人データをコントロールする権利を取り戻すということがあり、個人情報を保護するのは人権を守るためのという考え方が強いです。これにより、インターネットでデータが閲覧できてしまう時代において、「消去権」つまり忘れられる権利として、個人に関するデータを消去要求する権利も定めています。
また、「データ侵害」の報告は、データ管理者はいかなる僅少基準も適用されず、侵害から72時間以内に監督機関へ報告しなければならないという厳格なものです。
個人データを処理した結果のデータが、追加情報の利用なしに特定のデータ主体と結びつけることができないようにする処理である「仮名化」についても認識が必要で、たとえば暗号化の場合、復号鍵が無ければ元データが分からないようにするため、GDPRでは、復号鍵は仮名化データと別に保管されることを求めています。

最近、ある企業が就活学生の応募動向予測を企業に提供するサービスについて、個人情報保護委員会から勧告・指導を受けましたが、プライバシーデータの利用をどこまで学生に求めるべきかの思考の違いが浮かび上がりました。
AI時代のデータの取扱いは、慎重にならざるを得ません。プライバシーの考え方も、時代や地域、環境によって大きく変化していきます。企業や組織は、常に新しい情報を入手し、常にリスクを考えながらセキュリティへの対応が必要です。

---

[タグ]　データ保護 トレンド 用語

[関連]