IoTビジネスと匿名加工情報

IoT /

IoTが、近い将来、人々の生活をよりよいものに変え、社会や経済の発展に寄与するであろうことが大きく期待されている。様々なIoT関連技術、産業に関する報道は毎日のように紙面を賑わせているが、ちょっと視点を変えて、IoTビジネスを取り巻く法制度の一つである、「匿名加工情報」について紹介する。

匿名加工情報とは「特定の個人を識別できることができないように加工した個人に関する情報であって、当該個人情報を復元することができないようにしたもの」を言う(個人情報の保護に関する法律2条9項)。これは2016年の法改正で定められ、2017年5月から施行されているが、主旨は、「情報提供者の承諾なしに、一定の条件のもと、個人情報(から得られた2次的情報)を第三者へ提供することを明示的に認めた」ことにある。

例えば、健康食品メーカーA社が有する「ID」「お客様名」「住所」「年齢」「種別年間購買額」というデータがあったとして、これを第三者に提供するには、当然にお客様個々の同意が必要だ。ただ、「ID」「お客様名」を削除、他の情報を集約して、「都道府県」「年齢層」「種別年間購買額のレンジ」に加工した情報はどうだろうか。これだと、一定の傾向はわかっても、個人は特定されないため、例えば医療機器メーカーB社にリストを渡すに際し、個々のお客様の同意を得る必要はないと考えられる(あくまで法的に。それを知って不快に思う顧客はいるかもしれないので、ビジネスとして「あり」かどうかは慎重に検討する必要がある)。

ただ、何らかの情報から、B社が他のデータとマッチングさせることで、個人を特定することができる場合は、結果的に個人の個別情報を渡したことと同じになってしまうので、A社としても、仮にB社が行おうとしていることが、人々の健康増進に役立つことだとわかっていても、加工情報を渡すことに足踏みしてしまうことになる。

こういった事情により、IoTビジネスの広がりが抑制されてしまうことは、社会全体にとってマイナスであると捉え、法令により、
(1)適切な加工(マスキング)方法;削除しなければならない項目
(2)安全衛生管理の方法;加工方法自体の漏えい防止
(3)公表義務;加工情報を作成し、また第三者へ渡した際の公表義務
(4)識別行為禁止;他の情報との照合による個人情報を特定する行為の禁止
など、適正に加工情報の受け渡しができるような枠組みが定められている。

これによって、IoTの広がりよって得られた有用な「加工された」個人情報の流通が促進され、その解析による新たなサービスが生まれ、また社会経済活動に役立つサービスが展開しやすくなることが期待されている。

IoTビジネスは、これから成長・発展する分野であるため、「起きたこと」が少なく、また「起こりうること」も想定が難しい世界だ。従って、関係する法制度も、起案・整備しつつある段階と思われる。事業者は新たな法制度等に常にアンテナをはり、うまく活用することに心がけたい。

【本内容は執筆時点(2018年8月)の法令等に従って記載しています。また、法令等の解釈、適用等については顧問弁護士等法律の専門家にご相談されることをお勧めします。】