個人情報の取り扱いには要注意。国内では個人情報保護法、欧州ではGDPRと個人情報を取り巻く情勢は大きく変わりつつあります。個人情報保護法やGDPRの基礎となった「OECD8原則」をご存知でしょうか。個人情報管理がますます厳しくなる今、この原則を理解し、自社の個人情報対策を考えましょう。

個人情報、あなたはちゃんと守れていますか

例えば、ネットショッピングをしたときには氏名や住所を入力、お店に行けばお得なポイントカードを作るために個人情報提供の質問に答える――。実に様々なところで私たちは個人情報を提供しています。そして企業側はマーケティングやサービス向上に活かすために、効果的な個人情報を集めようとしています。
今やさまざまな企業が個人情報を所有している状況です。しかしその内実、数多くのルールに従うため個人情報の安全保護や運用管理に追われているというのも現実ではないでしょうか。

2018年5月、GDPR（EU一般データ保護規則）の施行が開始されました。これはEUの個人情報保護に関する法律で、日本の企業でさえもEU加盟国に所在する人の個人情報を扱う場合はその影響下にあり、また最大で2,000万ユーロという制裁金の額もあり大きく話題になりました。（参考記事：「【情シス基礎知識】おさえておくべきGDPR対応」）
今回は、このGDPRの礎ともなっている基本的な個人情報保護のルール「OECD8原則」について理解していくことで、個人情報保護に対する意識を今一度深めてみましょう。

そもそも個人情報とは

ここで、そもそも個人情報とは何であるかをざっくりおさらいしておきましょう。
個人情報とは、実在する個人に関する情報であり、氏名・生年月日や生体情報、その他、特定の個人を識別することができる情報のことです。あるデータがあってそれだけでは個人が特定できなくても、他の情報と容易に照合することができて個人の特定につながるのであれば、そのデータは個人情報となります。

アメリカのNISTやEUのGDPR、日本の個人情報保護法など、それぞれの定義で細かい差分はありますが、おおむねこのように『それだけで個人を特定できる、または他の情報と組み合わせて個人の特定のために使える情報』のことを指します。
例えば、氏名や住所、メールアドレス、職歴にマイナンバーや顔写真なども含まれます。この他、氏名と紐づけられた購買履歴なども個人情報としてみなされます。

「OECD8原則」とは

では、今回のテーマである「OECD8原則」とは、一体どのようなものなのでしょう。
「OECD8原則」とは、経済協力開発機構（OECD）理事会で採択された「プライバシー保護と個人データの国際流通についての勧告」の中で挙げられている8つの原則のことを言います。1980年9月に発表され、日本を含む各国の個人情報保護の考え方の基礎となっています。
OECDは1961年に欧州・北米を中心とした国々で発足された、経済発展のために協力することを目的とする国際機関です。1964年に日本も参加しました。

OECD8原則を以下に示します。

１．目的明確化の原則
個人情報収集の目的を明確にし、データ利用はその目的と合致した利用に限ること。

２．利用制限の原則
個人情報の本人の同意がある場合と法律の規定による場合以外は、目的以外にその情報を使ってはいけない。

３．収集制限の原則
情報収集は適法で公正な手段によること。また個人情報の本人に通知するか同意を得たうえで収集すること。

４．データ内容の原則
収集するデータは、利用目的に沿ったもので尚且つ正確､完全､最新であるべき。

５．安全保護の原則
データに対して合理的な安全保護措置をとることが必要。情報の紛失・破壊・修正・他者への開示等から保護すること。

６．公開の原則
データ収集の実施方針等は公開することとし、データの存在、利用目的、管理者等を明示すること。

７．個人参加の原則
個人情報の本人は、自身に関するデータの所在・内容が確認できるようにすること。または意義の申し立てができることを保証するべき。

８．責任の原則
個人情報の管理者は、諸原則を実施する責任を持つとする。“

OECD8原則は日本の個人情報保護法の基礎となっている

こうして見てみると、OECD8原則はどこかで見たことがあるようなルールばかりです。それもそのはず、2003年から施行されている日本の個人情報保護法も、この原則にのっとったものとなっています。
個人情報保護法では、個人情報取扱事業者の義務としてこれらの8つの原則を基にした規定が定められています。これは法律であり、違反をすると罰則があります。とはいえ罰則以前の問題で、違反をした企業は消費者からそっぽを向かれてしまうでしょう。
また、日本では個人情報保護法以外にも、具体的な保護規格を「JIS Q 15001」で定めており、これを遵守している組織に対してプライバシーマーク認定制度があります。管理体制の整備などのコストをかけてでもプライバシーマークを取った企業は多いでしょう。個人情報保護は、消費者に、また社会全体にそれだけ注目されているといえます。

世界の個人情報保護法

では、諸外国での個人情報に関する法律はどうなっているのでしょうか。

EU

EUでは、前述のように2018年5月にGDPRが施行され、EU加盟国に加えEEA（欧州経済領域）加盟３ヶ国に所属するすべての個人の情報が保護対象となっています。
個人情報に対して取得を通知する義務や、個人情報の本人が自分の情報にアクセスできること、本人が修正・削除を要請できること、理由なく第三者への提供することの禁止など、個人情報はその本人が持ち主であり本人が管理できることを保証するための内容が含まれています。
対象の個人情報を扱う組織はEU加盟国外であってもGDPRが適用され、違反者には高額な制裁金が課せられるなど厳しい罰則を設けています。
日本国内においても、GDPR施行前には経済産業省からGDPR対応支援情報が公開されるなど各組織での対応が呼びかけられました。

アメリカ

アメリカでは、個人情報を包括する法律はなく、代わりにIT分野・金融分野・児童保護・医療分野などの領域ごとに個別の法律の中で規定がなされています。
そして、個人情報を扱う企業側が自主的に定めた個人情報取扱規則を公開することとなっており、各組織での個人情報運用を連邦政府の機関の一つであるFTC（連邦取引委員会）が監視監督するという仕組みとなっています。
個人情報保護を含む法律は州ごとに異なっており、中でも現在注目されているのがカリフォルニア州で制定された「カリフォルニア州プライバシー保護法」です。この法律では、対象の個人情報の本人が情報の開示請求を行うことや削除請求を行う権利、その権利を行使することによって差別されないことなどについて定められています。その内容から米国版GDPRともいわれています。

中国

中国では、アメリカと同じく個人情報保護を包括する法律はないものの、個別の法律によって保護規定を定めています。特に2017年６月に「インターネット安全法」が施行されています。これはインターネットを安全に使うための規定となり、個人情報保護に特化したものではありません。しかしながら個人情報取得時の同意の義務や、目的外利用の制限などが定められ、実質OECD８原則に即した内容となっています。これは中国国内でインターネットを使った商業取引を行っている場合は、外国企業でも対象となります。
さらに、国家標準規格となる「個人情報安全規範」が2018年5月から開始されました。これにより、個人情報の利用後の削除や情報管理の透明性・安全性の確保、個人情報の本人が情報を管理するための権利、インシデント発生時の対応内容などの規定がされています。

個人情報保護の重要性が増す社会

ビッグデータ利用が進むにつれ、社会の中で個人に関する情報を取り扱う機会が増えているとともに、より重要性も増しています。そして、先進国の間では個人情報保護に関する法律もだんだんと整備されつつあります。
個人情報を取り扱う組織側の人間として、個人の権利やセキュリティ管理に配慮した運用を行うことは引き続き最重要事項となるでしょう。

 

【執筆：編集Gp　星野 美緒】