デジタル化の進展で一層高まる、個人情報保護の重要性
企業に対する個人情報保護の要求は、デジタル化の急速な進展とデータ利用が進むなかで高まる一方です。
特にここ数年は、GAFA(Google、Amazon、Facebook、Apple)に代表されるプラットフォーマーによる個人情報をベースにしたビジネスの急速な伸展とSNSの普及のなかで、個人情報保護の動きが加速しています。プラットフォーマーが日々収集しているパーソナルデータがどう使われているのか、社会全体で不安と不信が高まっているのです。
実際プラットフォーマーの下には、誰が何に興味をもち、何を検索し、どんなものを購入し、いつ誰とどんなチャットをしているかという情報が収集され、それが分析され、ビジネスに使われています。
サービス利用者の画面に突然求めてもいない商品の広告が現れたりするのもそのためです。それに対しても世界で「プライバシー権」を掲げた個人情報保護の声が上がっているのです。
EUを皮切りに、個人情報保護関連の法整備が始動
個人情報保護の動きは、インターネット網が世界に解放されウィンドウズ95が登場し、世界の情報通信環境が一変した20世紀の終盤に始まりました。
保護を強めることで、改めてインターネットデータベース利用とのバランスを確保しようという動きがEUから始まったのです。1995年10月、EUは個人情報を企業が利用することに規制をかけるべきだとして「個人データの取扱いに係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」(通称「EUデータ保護指令」)を採択しました。
そして3年後の1998年10月までに、EU加盟15カ国(当時)にこの指令を国内の法制度に反映させることを求めたのです。これがEU域内だけでなく、世界の個人情報保護の流れの発端になりました。EUは、個人データの保護に関する措置がEUデータ保護指令の水準に達していない第三国やその国の企業には個人データを移転してはならない、と定めたからです。
これに危機感を覚えた日本をはじめとするEU域外の各国は、個人情報保護制度の確立へと腰を上げました。
日本では、1997年に当時の通商産業省(現・経済産業省)が「個人情報保護に関するガイドライン」を制定しました。プライバシーマークの原点となるものです。翌1998年、このガイドラインに適合した企業には、個人情報の取り扱いができることを第三者の視点で評価し認証する「プライバシーマーク制度」が誕生しました。
さらに2003年5月には、「個人情報保護法」が制定されました。
またアメリカでは2001年に、「Safe Harbor原則」が定められ、この原則に従う企業は、個人情報に関して適切なデータ保護を行っていると認められることになりました。
2003年に制定された個人情報保護法は、その後も世界的な流れを受けて保護強化を図るための改正が重ねられています。最初の改正は2015年でした。大きく変わったのは「5000件要件」の削除です。
従来、法律の対象となる「個人情報取扱事業者」は「体系的に整理された個人情報(個人データ)を5000件以上保有する企業」とされていたのですが、この要件が撤廃され、1件でも個人情報を扱っていれば個人情報取扱事業者とみなし、法律の適用の対象とされました。事実上、国内で活動するほぼすべての事業者が対象になったといえます。
この改正は、個人情報保護法の制定のあとに設けられた「マイナンバー法」との整合性を取るために行われたものです。
「マイナンバー法」は全国民と外国人住民に割り振られた個人番号(マイナンバー)の活用のために設けられた法律で、税・社会保障・災害対策の手続きなどの目的以外でマイナンバーを収集することを禁じるとともに、収集したマイナンバーについては、利用・提供を制限しています。
この法律の対象はマイナンバーを取り扱うすべての事業者で、「5000件以上」といった取り扱い数による区別をしていません。そこで、個人情報保護法の「5000件要件」が廃止されることになったのです。
杉原 杏璃 氏登壇!
「THE GOLD ONLINE フェス 2025 @東京国際フォーラム」
(入場無料)今すぐ申し込む>>