改正法では「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」を個人情報として扱うべきだと規定している。具体的には、氏名、性別などに始まり、住所、年収、家族構成、またショッピングにおける購入履歴、指紋、マイナンバー、歩行動作、位置情報、ウェブの閲覧履歴などが含まる。一方、人種、病歴、犯罪歴などは要配慮個人情報と定義され、より厳密な扱いを義務付けられることになった。
改正法におけるポイント2つ目は、取り扱う個人情報の数が5000件以下の「小規模取扱事業者」も法律適用の対象となるという点だ。つまり、「件数要件」が撤廃となった。今後、個人情報を扱う企業は、小規模といえども法律に準拠する必要がある。
その他にも、改正法では「利用目的の明示」、「第三者提供の際の本人同意」など、個人情報を活用するにあたっての義務が細かく定められた。
一方で「匿名加工情報」、つまり個人情報を復元できないように加工さえすれば、一定の条件を満たすことで第三者に提供することも可能になるとされた。例えば、個人情報を加工したデータを保有する企業が外部に分析を依頼するなどが、そのケースにあたる。
個人情報の「匿名化」とビックデータの利活用
厳密に言えば、日本ではこれまで個人情報や匿名化したデータの販売は法律的に禁止されていなかった。ただ、「個人情報が勝手に使われてしまう」「プライバシー侵害につながる」など国民の拒否感から、利活用が進んでこなかった実情がある。
象徴的なのは、JR東日本が「Suica」の乗降履歴データを日立製作所に販売しようとした事例だろう。2013年当時、JR東日本は市場調査の目的でデータを販売したが、それに対して利用者の苦情が相次いだ。JR東日本側は、個人を特定できないように「匿名化」していると説明を続けたものの、最終的に契約解除に追い込まれる騒動に発展してしまった。
なお、今回の法改正後も「匿名化」はひとつの焦点になっている。というのも、どの程度まで加工すれば「匿名化」が達成されたことになるのか、定められた基準がないことを不安視する声があがりはめているのだ。企業が「匿名化」したと思っても、不十分という指摘が出てくれば、またJR東日本のような騒動に発展しかねない。ここは「法律」よりも「民意」の問題。企業としては利活用したくとも、「曖昧な基準」のせいで二の足を踏みざるを得ない状況があるという。