スマートフォンで地図を使えば位置情報が記録され、ECサイトで買い物をすれば購買履歴が蓄積される。現代の生活は、あらゆる場所で個人に関するデータを生み出しています。このデータをどう守り、どこまで使ってよいかを定めるのが「個人情報保護法」です。便利さと引き換えに何を差し出しているのかを知っておくことは、いまや基本的なリテラシーと言えます。
個人情報保護法の骨格を整理すると
| 項目 | 内容 |
|---|---|
| 正式名称 | 個人情報の保護に関する法律(2003年制定、2005年全面施行) |
| 目的 | 個人の権利・利益を守りつつ、個人情報の有用性にも配慮する |
| 義務を負う者 | 個人情報取扱事業者(企業・団体・個人事業主など) |
| 主な義務 | 利用目的の明示・第三者提供の制限・安全管理・開示・訂正・削除への対応 |
| 監督機関 | 個人情報保護委員会(2016年設置) |
この法律は制定以来2回の大改正を経て、デジタル社会の変化に対応してきました。「個人情報を集めてはいけない」という法律ではなく、「集め方・使い方のルールを守れ」という内容です。
「個人情報」の定義と広がる対象範囲
何が「個人情報」に当たるか
法律上の「個人情報」とは、氏名・生年月日・住所など、特定の個人を識別できる情報のことです。単体では個人を特定できないデータでも、他の情報と組み合わせることで識別できる場合は「個人情報」になります。
2015年の改正では「個人識別符号」という概念が追加されました。DNAの塩基配列・指紋・顔認証データ・マイナンバーなどが該当します。また「要配慮個人情報」として、病歴・障害・犯罪歴・信条(宗教・政治的見解)などの取得には原則として本人の同意が必要とされたのです。
2022年改正で強化されたこと
2022年施行の改正では、「Cookie(クッキー)」などのウェブ上の行動履歴データを第三者に提供する際の規制が強化されました。また、個人が自分の情報の利用停止や消去を請求できる権利の範囲も広がっています。
「仮名加工情報」「匿名加工情報」という概念も整備され、氏名を削除するなどの加工を施したデータについては、一定の条件のもとで活用しやすくする仕組みも導入されました。利用と保護の両立を図る方向性が、改正のたびに鮮明になってきたのです。
利便性とプライバシーのせめぎあい
情報を渡すことで得られるもの
私たちがスマートフォンに位置情報を渡すことで、最適なルート案内が受けられます。購買履歴を提供することで、自分好みの商品をレコメンドしてもらえます。個人データは、現代のサービスを動かすエンジンとも言えるのです。
ソーシャルメディアの多くは「無料」で使えますが、その代わりに私たちの行動データが広告ターゲティングに利用されています。「データを売ることで成立するビジネスモデル」の中に私たちは暮らしており、その取引条件を意識している人は多くありません。
活用と監視の境界線はどこにあるか
新型コロナウイルスの流行期には、接触確認アプリや位置情報データを活用した感染追跡が各国で実施されました。公衆衛生の観点からは有効な手段ですが、「政府が市民の行動をどこまで把握してよいか」という問いは、個人の自由と公共の利益の境界線上にあります。
顔認証カメラの普及も同様の問いを生んでいます。犯罪抑止・本人認証に役立つ一方、不特定多数の人物を継続的に追跡することが可能になるためです。技術の進歩が法整備のスピードを上回る局面では、ルールの空白が生まれやすいのです。
豆知識:ヨーロッパのGDPRと日本の違い
ヨーロッパ連合(EU)は2018年に「一般データ保護規則(GDPR)」を施行しました。違反した企業には全世界の年間売上高の最大4%または2000万ユーロのどちらか高い方の制裁金が科され、GoogleやMetaが数百億円規模の制裁を受けた例も出ています。
日本の個人情報保護委員会が行政指導・勧告を基本とするのに対し、GDPRは制裁金を中心とした強力な執行体制を持っているのです。日本とEUは互いに「同等水準」の保護を認め合う「十分性認定」を取得しており、データの越境移転が円滑になっています。
個人情報保護法が守ろうとしているのは「自分に関する情報を自分でコントロールする権利」です。サービスに同意する場面でも、「何に同意しているのか」を大まかに意識するだけで、データとの向き合い方は変わってきます。
