DXと個人情報保護法の関係をシニアコンサルタントがわかりやすく解説

2022.05.11

DXブログ

ワンストップDXソリューションパートナー、アルサーガパートナーズ株式会社のDXコンサルティングチームによるコラム連載。現場で得た知見やお客様から頂く質問をもとに、DXにまつわるさまざまな用語・事象をコンサルタントの目線でやさしく解説します。

前回の「DXの成功事例とポイントを業界別に解説」では、DXを進める際に適法性を確認する必要があることをお伝えしました。

ウーバー・テクノロジーズは、日本にも2013年9月に「Uber Japan株式会社」を設立しました。日本でも当初は本国と同様のビジネスモデル展開をしようとしましたが、日本では「白タク行為」にあたるとして国土交通省から指導が入り、進出後間もなくサービスが終了することとなってしまいました。

（DXの成功事例とポイントを業界別に解説）

今回は、DXと関連する法律として、多くの企業が直面する「個人情報保護法」についてお伝えします。

個人情報保護法とは？

個人情報保護法とは、利用者や消費者が安心できるように、企業や団体に個人情報をきちんと大切に扱ってもらった上で、有効に活用できるように、共通のルールを定めた法律を言います。正式名称は「個人情報の保護に関する法律」です。

個人情報の定義は以下のように定められています。

第二条この法律において「個人情報」とは、生存する個人に関する情報であって、
次の各号のいずれかに該当するものをいう。
一当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電
磁的記録（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。）で作られる記録をいう。第十八条第二項において同じ。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により特定の個人を識別することができるもの
（他の情報と容易に照合することができ、それにより特定の個人を識別することができる
こととなるものを含む。）
二個人識別符号が含まれるもの

（引用元：個人情報の保護に関する法律 | e-Gov法令検索）

Point！
・氏名、生年月日など、個人を識別できる属性情報（学歴、職歴、購入履歴等）が含まれるものは、すべて個人情報となります。
・個人識別符号とは、公的サービスで付与された符号（免許証番号、パスポート番号、マイナンバーなど）と、身体の特徴を変換した符号（顔認証データ、歩行特徴データ、指紋・声紋データなど）をいいます。

個人情報を保護するのは当たり前だと思いますか？　実は20世紀頃はそうではありませんでした。
・書籍の奥付に著者の住所・電話番号が書いてあって、直接ファンレターが送れる
・雑誌で文通をするためにお互いの住所を紙面に掲載する
といったことは当たり前でした。

しかし、諸外国の法制定に背中を押されて2005年4月に「個人情報の保護に関する法律」（以下「個人情報保護法」）が施行されました。

その後、技術の発達を踏まえて2017年4月に改正個人情報保護法が施行されました。この時、大きな変化がありました。

2017年3月までは、5,000件以上の個人情報を持つ事業者を「個人情報取扱事業者」と定義していました。逆に言うと、所有している個人情報が4,999件以下であれば、同法律に関する義務を負わないのです。

しかし、2017年4月以降は5,000件条項が撤廃され、事実上あらゆる事業者が義務を負うようになりました。

Point！
「個人情報取扱事業者」には、非営利団体も含まれます。

個人情報保護法とDXの関連性

DXを促進するためには、企業のネットワークの拡大が欠かせません。「データは21世紀の石油」と言われるように、データを利活用することでさまざまな技術やサービスが開発・普及しています。

一方で、個人情報漏えい・紛失事故の件数が増加しています。東京商工リサーチによると、2021年に上場企業とその子会社で発生した個人情報漏えい・紛失事故件数は前年比34件増の137件となり、漏えいした個人情報は574万9773人分に達し、調査を開始した2012年以来最多となりました。
【出典元：上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分（2021年） | 東京商工リサーチ】

100万件以上の個人情報が漏えいした大きな事故としては、婚活マッチングアプリ「Omiai」を運営するネットマーケティング社（171万1756件）の事故と、航空大手のANAホールディングス（100万件）の事故の2件でした。ネットマーケティングでは、事故発生後に株価が急落するなど企業経営にも大きな影響が見られました。

事故の137件の原因としては、「ウイルス感染・不正アクセス」が68件（49.6％）で最多で約5割を占め、次いで「誤表示・誤送信」が43件（同31.3％）、「紛失・誤廃棄」が16件（同11.6％）と続きます。

DXを展開する際は、外部からの攻撃と、人為的なミスの両方を防ぐような仕組み作りが必要です。

「匿名加工情報」の活用

DX時代には、大量のデータが欠かせません。自社所有のデータでは足りず、他の事業者からのデータ提供が必要なケースが多いです。

しかし、その都度利用許諾を得ていてはキリがありません。そこで「匿名加工情報」をご紹介します。匿名加工情報とは、個人情報に対して個人識別ができないよう加工した情報のことを指します。加工した結果、個人情報として復元できないことが条件です。

匿名加工情報にすることで、第三者提供・目的外利用に際して、本人同意が不要になり、データの流通を容易にするという狙いがあります。

匿名加工情報を活用することで、以下のような可能性が期待できます。

・ポイントカードの購買履歴や交通系ICカードの乗降履歴等を複数の事業者間で分野横断的に利活用することにより、新たなサービスやイノベーションを生み出す可能性
・医療機関が保有する医療情報を活用した創薬・臨床分野の発展や、カーナビ等から収集される走行位置履歴等のプローブ情報を活用したより精緻な渋滞予測や天候情報の提供等により、国民生活全体の質の向上に寄与する可能性

（出典元：匿名加工情報｜個人情報保護委員会）

この法律は更に改訂され、2022年4月に施行されました。技術の進歩や時代の変化に伴い内容が変化していく個人情報保護法の理解は、DX時代を生き抜くのに必須と言えるでしょう。

■事例
2013年6月に、JR東日本がSuica利用データを株式会社日立製作所に提供したというニュースが報じられました。JR東日本は
・氏名、電話番号、物販情報等を除外
・生年月日から日にちを削除
・SuicaID 番号を不可逆の番号に変換
などの処理をしていました。が、配慮不足・周知不足と批判を集めました。この事例は、政府が本格的にビッグデータの利活用についての議論をするきっかけとなったといわれています。
[参考] https://www.jreast.co.jp/information/aas/20151126_torimatome.pdf
アルサーガパートナーズでは、サービスやシステムの開発・運用だけでなく、DXを活用した戦略コンサルティングとして、「DX新規事業コンサルティング」、「DXコンサルティング」、「業務コンサルティング」を提供しています。ご相談・お問い合わせはメールフォーム https://www.arsaga.jp/contact/ からお気軽にどうぞ。

（文＝山川、松村）