第1回 改訂版個人情報保護ガイドライン (2007-08-08)
テーマ:ビジネスコラム(本記事はNetoneSystemsの社内サイトで掲載されていたものです。)
暗号化されていても「個人情報」は「個人情報」
旧版の個人情報保護ガイドラインの中で最も物議をかもした点は、個人情報の定義そのものにありました。
個人情報保護法は、第2条第1項で「個人情報」の定義を行っています。同条文では、「この法律において『個人情報』とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものをいう。」とのみ定義しているのですが、経済産業省は、ガイドラインの中でさらに詳細に「『個人に関する情報』は、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表すすべての情報であり、評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ、暗号化されているかどうかを問わない。」と再定義しました。
産業界の批判は、「暗号化されているかどうかを問わない」という表現に集中しました。暗号化されていても個人情報は個人情報だとされてしまうと、せっかくパソコン上に記録された個人情報を含むファイル全てを暗号化していたとしてもパソコンを紛失したり、盗難された場合は個人情報の漏洩事件・事故として扱わざるを得ないため、主務大臣への届け出や世間への公表、漏洩した情報の当事者への通知などが必要になるためです。暗号化を認めてしまうと今度は暗号化するために使用した暗号の強度(解読容易性)が問題にされるため「暗号化されているかどうかを問わない。」と記述せざるを得なかったという事情がありました。
公表する必要がなくなった個人情報漏洩事件・事故
しかし、産業界からの批判が想像以上に強かったために今回のガイドラインの改正では、前出の「暗号化されているかどうかを問わない。」という記述を「暗号化等によって秘匿化されているかどうかを問わない(ただし、「2-2-3-2.安全管理措置(法第20条関連)」の対策の一つとして、高度な暗号化等による秘匿化を講じることは望ましい。)。」としています。
その上で、「個人情報保護ガイドライン等に関するQ&A」の中で「個人データが漏えい等したが、本人の権利利益が侵害されておらず、今後も権利利益の侵害の可能性がない又は極めて少ないと考えられるため、『影響を受ける可能性のある本人への連絡』や、『事実関係、再発防止策等の公表』を省略しても差し支えないと考えられる場合の例」として「高度な暗号化等の秘匿化が施されている場合」と定義しています。
高度な暗号化とは、「例えば、電子政府推奨暗号リスト又はISO/IEC18033に掲げられている暗号アルゴリズムによって個人データを適切に暗号化し、かつ、復号(平文化)のためのかぎ(鍵)が適切に管理されていると認められる場合など、十分な秘匿性が確保されている場合は、「高度な暗号化等の秘匿化が施されている場合」に該当する」と解説しています。こうしたガイドラインの改正を受けてパソコン丸ごと暗号化ツールなどの商品があらためて注目される可能性があります。
PCI DSSを意識しはじめた経済産業省
今回の改正でもう一つ注目すべきは、クレジットカードデータについて新たなガイドラインが盛り込まれた点です。第20条安全管理措置の解説の中で「なお、クレジットカード情報については、別添の『クレジットカード情報を含む個人情報の取扱いについて』に掲げられた措置を講じることが望ましい。」と追記した上で、2ページに渡る「クレジットカード情報を含む個人情報の取扱いについて」が添付されています。内容的にはクレジットカードデータの無制限な保存を禁じたり、カード番号を表示する際に一部非表示にすることを求めたりと、PCI DSS(Payment Card Industry Data Security Standard)で規定されている要求事項とほぼ同じ要求が推奨事項として挙げられています。PCI DSSの要求事項全てが盛り込まれた訳ではありませんが、PCI DSSが事実上の世界標準となる中、わが国のガイドラインも必然的に世界標準を意識したものにならざるを得ないことは自明です。そういう意味でPCI DSSは、わが国では、個人情報保護法に裏付けられた要求規格ということができます。
関連リンク
● 経済産業省
