「改正個人情報保護法」の施行が迫る! 機密データを効果的に守るためのポイントは?──「オラクル・セキュリティ・フォーラム 2017」レポート:情報セキュリティは企業の“イノベーションを守る楯”(2/4 ページ)
「改正個人情報保護法」の施行が迫る中、企業が自社の情報セキュリティ対策を見直す動きが活発化している。日本オラクルと富士通が2017年2月に開催した「オラクル・セキュリティ・フォーラム 2017」では、両社のエキスパートが参集し、個人情報を効果的に守るためのポイントを解説した。[セキュリティ対策][Database Security]
エキスパートが語る“改正個人情報保護法のポイント”
佳山氏に続いては、富士通総研 金融・地域事業部のエキスパートコンサルタントと富士通 マーケティング戦略室 番号制度推進室員を兼務する上茂之氏が登壇し、2017年5月30日に施行される改正個人情報保護法(*2)のポイントを解説した。
*2:個人情報保護委員会「個人情報の保護に関する法律(平成15年法律第57号)」
改正個人情報保護法では、個人情報の定義が変更され、従来の個人情報に加えて個人識別符号の定義(免許証番号、マイナンバー、生体情報など)が追加された。また、人種や病歴、犯罪歴といった要配慮個人情報が新設されるなど、さまざまな観点から従来の個人情報保護法の見直しが図られている。
この改正個人情報保護法にどう対応すべきかを解説したガイドライン(*3)は2016年11月30日に公開されており、そこでは安全管理措置についても記載されている。その中で上氏がポイントとして挙げるのが、「組織的安全管理措置」に記載された「取扱状況の把握及び安全管理措置の見直し」である。
*3:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」
「これは監査できちんとチェックし、経営者に報告して改善を図っているかを問うものであり、最も重要な部分だと考えられます。もし現状の安全管理措置が十分でない場合でも、きちんと監査が行われていれば対応レベルは向上していくはずであり、それを求めているのがこの項目なのです。
今後は、個人情報に関して何かインシデントが起きた際には、報告命令や業務改善命令、緊急命令などの大きな権限を持つ個人情報保護委員会から何らかの指導を受けるといった事態も起こり得るため、ガイドラインで示された安全管理措置を適切に実施していくことが重要になります」(上氏)
匿名加工情報でデータの利活用が容易に
匿名加工を施して本人を再識別できないようにした情報ならば、本人の同意なしで他社に提供できるようになることも改正個人情報保護法の大きなポイントだ。その具体的な活用例として上氏が挙げるのが「POSデータの分析」である。
例えば、小売業者などが販売履歴データなどを使って売上分析を行う際、自社のデータだけでなくライバル店のデータも活用できれば、より多くの気付きが得られるだろう。しかし、それを実際にやろうとすれば、一人一人の買い物客に対してデータの利用目的を明示し、同意を得なければならない。また、事後に利用目的を追加する場合は、それに対しても同意を得る必要があるなど、これまではデータの利活用が行いづらい状況にあった。
しかし、改正個人情報保護法では匿名加工情報ならば同意なしで外部に提供することが可能となり、データ提供会社などからライバル店の匿名化済みデータを入手して分析できるようになる。個人情報を含むデータのさらなる利活用を考える企業にとって、この匿名加工情報は大きなメリットをもたらすはずだ。
クレジットカード番号など民間付与の番号も個人情報に 海外移転にも規制
改正個人情報保護では、個人情報の定義が明確化され、氏名、住所、電話番号などの一般的な個人情報に加えて、マスターと突合して個人が特定できる情報も個人情報として取り扱われることとなった。例えば、⺠間企業が扱うクレジットカード番号、口座番号、企業固有の顧客番号、社員番号、会社のメールアドレスなども対象となる。
また、個人識別符号が新たに定義され、パスポート番号、運転免許証番号、健康保険者番号、マイナンバーなどの公文書に振られた番号、さらにはDNA配列、指紋、静脈、虹彩といった身体の一部および歩⾏時の姿勢や動作など人の動きを表したものも対象となり、これらに対して格別の安全管理措置が求められる。
技術的安全管理対策の観点では、暗号化について新たな指針が提示された。2017年2月16日に個人情報保護委員会が告示「個人データの漏えい等の事案が発生した場合等の対応について(*4)」を公表。この中では、個⼈情報を⾼度に暗号化した場合は秘匿性が高まるため、万一漏えいした際にも、国(および本人)への報告義務は許容されるなどの指針が示されている。
*4:個人情報保護委員会「個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)」
個人情報の海外への移転に規制が設けられていることも大きなポイントである。これについて上氏は、「我が国に限らず、他国の個人情報保護においても同様の動きが見られ、企業が気を付けるべき点」だとアドバイスした。
提供:日本オラクル株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年5月23日
Copyright © ITmedia, Inc. All Rights Reserved.