現在地

IoTと改正個人情報保護法への対応 ~第1回 IoTおよび改正個人情報保護法の概要

はじめに

近年、パソコンやスマートフォンだけではなく、さまざまなモノがインターネットに接続する、「IoT:Internet of Things(モノのインターネット)」の時代が到来しつつあります。
「IoT」という用語は1999年に初めて登場し、当初はRFIDによる商品管理システムが対象だったようです。現在IoTを使ったビジネスは、例えば、自動車、家電製品、ヘルスケア製品、工場設備など、すでに私たちの周りにあらゆる形で登場し始めており、IDC Japan株式会社の調査によると2016年の国内IoT市場支出額は5兆270億円(見込値)となっています。
http://www.idcjapan.co.jp/Press/Current/20170220Apr.html

表1 さまざまなIoT

モノ内容
自動車前後の車両や物体との距離、位置関係を把握し、自動運転を行う。
エアコン電気製品の使用状況を把握し、自動制御で消費電力を最適化する。
衣服心拍数や加速度などを計測し、ストレスや歩行状態を推定する。
体温計体温を計測し、体温の推移や健康上の助言や警告を表示する。
メガネランニングフォームなどを計測し、トレーニングメニューを構成する。
工場生産設備ごとの消費電力を収集し、累積稼働時間や同機種の故障発生状況などを組み合わせて、設備の予防交換の通知を行う。

一方、個人情報保護法が2003年の制定以来、2015年に初めて大幅に改正されました。(改正法の全面施行日は、2017年5月30日です)
今回の改正では、身体的特徴などを個人情報として明確化した「個人識別符号」や、特定の個人を識別できないようにするよう個人情報を加工した「匿名加工情報」などの規定が新たに設けられました。
さらなる広がりを見せつつあるIoTビジネスにおいて個人情報を取り扱う場合、事業者はどのような対応が必要になるのでしょうか?本コラムでは、個人情報保護法の改正ポイントと、IoTで個人情報を取り扱う事業者の対応について解説します。

IoTとその全体像

2012年6月公表のITU(国際電気通信連合)の勧告「Overview of the Internet of things」(ITU-T Y.2060)によると、IoTとは
「情報社会のために、既存もしくは開発中の相互運用可能な情報通信技術により、(物理的もしくは仮想的な)モノを接続し、高度なサービスを実現するグローバルインフラ」
(A global infrastructure for the information society, enabling advanced services by interconnecting (physical and virtual) things based on existing and evolving interoperable information and communication technologies.)
と定義されています。

ITUの定義に基づくと、IoTとはサービスを提供するためのインフラということになります。一般的にIoTと聞くと、接続される「モノ」そのものをイメージしがちですが、それはIoT全体からみると一部分に過ぎません。ここでは説明をシンプルにするため、IoTの構成要素を以下の3つに分類してみます。

  • IoTデバイス:インターネットに接続する対象となるいわゆる「モノ」、「プロダクト」。(例えば、自動車、情報家電、ヘルスケア製品、工場設備など)
  • IoTゲートウェイ:IoTデバイスをインターネットに接続する中継機器。(ルータ、スマートフォンなど)IoTゲートウェイを経由せず直接通信する場合もある。
  • IoTサーバー・クラウド:IoTサービスを提供するサーバーやクラウドサービス。(IoTプラットフォーム)

IoTデバイスで収集した情報は、インターネットなどを経由してIoTサーバー・クラウドに蓄積されます。蓄積されたデータは何らかの処理が行われ、その結果をIoTデバイスに返すことでIoTサービスが提供されます。

図1 IoTの構成要素

図1 IoTの構成要素

それでは、インターネットに接続する「モノ」であるIoTデバイス自体は、どのような仕組みなのでしょうか?IoTの対象物や目的によって異なりますが、大まかにIoTデバイスは以下のような構造になっています。(必ずしもすべての図の機能が具備されているわけではありません。)

図2 IoTデバイスの構造

  • センサー:IoTデバイス自身が感知して情報を入力する(温度、光、加速度、音など)
  • 入力I/F(入力インターフェース):利用者が自ら情報を入力・操作する
  • マイコンなど:情報を処理する小型のコンピュータ
  • 通信I/F(通信インターフェース):インターネットなど外部との情報の送受信を行う
  • 出力I/F(出力インターフェース):利用者向けに情報を表示・出力する
  • アクチュエーター:制御信号を元にモノとして何らかの物理的な動作や制御を行う

ここではIoTデバイスが「スマート体温計」の場合のIoTサービスを例としましょう。
スマート体温計は、人間の体温をはじめとする個人情報を取り扱う代表的なIoTデバイスです。
スマート体温計では、以下の利用方法が考えられます。

図3 スマート体温計の利用例

  1. 利用者本人が、入力I/F(この場合はスマート体温計をスマートフォンに接続して入力)から自分の個人情報を先に登録しておく。(例:氏名、性別、年齢、病歴、メールアドレス、その他備考)
  2. スマート体温計で検温すると、センサーが体温を感知し、検温情報が生成される(例:検温日時、体温)。
  3. 検温情報は、通信I/Fを介してIoTゲートウェイ(この場合、スマートフォン)を経由してIoTサーバー・クラウドへアップロードされる。
  4. IoTサーバー・クラウド側で利用者の個人情報や体温の推移などから症状を分析し、必要な健康上のアドバイスや警告をメッセージとして生成。
  5. メッセージが送信され、スマート体温計の出力I/Fに表示される。(設定によっては利用者のスマートフォンへのメール配信やWeb表示が行われる。なお、診療行為は行わない)
  6. 検温の完了やアドバイスの通知、次の検温タイミングに気付かず一定時間経過した場合、アクチュエーターに信号を送り、振動や音、光などで利用者に通知する。

改正個人情報保護法の概要

次に改正個人情報保護法についてご説明します。今回、個人情報保護法はどのような意図があって改正がなされたのでしょうか?
これは、第1条(目的)の変更箇所の文言に表されています。

(目的)

第1条 この法律は、~(中略)~、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。
(下線太字が変更箇所)

基本的には「本人に不利益を与えないよう適切な措置を講じたうえで、積極的に個人情報を活用しましょう。」という方向性を読み取ることができます。

代表的な改正内容

個人情報の定義の明確化(第2条第1項、第2項)
「個人識別符号」が新たに定義され、個人情報に含まれることになりました。
個人識別符号とは、例えば、以下のものです。
  • 身体的特徴:DNA、顔、虹彩、手指の静脈、指紋など
  • 公的な番号:旅券番号、基礎年金番号、免許証番号、マイナンバー、各種保険証の被保険者番号など
(背景:ITの発展などにより個人情報かどうか判断が困難なケースが出てきたため)
要配慮個人情報の取得制限(第2条第3項)
要配慮個人情報(信条、社会的身分、病歴、犯罪歴、信教など)が新たに定義され、これらは事前に本人の同意を得ないで取得するのは禁止されました。そのため、要配慮個人情報は、オプトアウト*1はできません。
(背景:慎重な取り扱いを要する個人情報の明確化や国際ルールとの整合のため)
匿名加工情報(第2条第9項、第10項、第36条~39条)
個人データを特定の個人を識別することができないよう加工して「匿名加工情報」を作成した場合、個人データにはあたらないため、ある条件のもと本人の同意なしで当該情報を第三者に提供することが可能となりました。
(背景:個人情報を匿名加工して事業者間で提供・活用しやすくするため)
第三者提供における確認や記録作成の義務(第25条、第26条)
第三者から個人データの提供を受ける場合、提供者の氏名や経緯を確認・記録し、一定期間保管しなくてはなりません。また、逆に提供する場合も、提供先の氏名、提供年月日を記録し、一定期間保管しなくてはならなくなりました。
※ 記録の保管期間は、いずれの場合も記録の作成方法などにより1年もしくは3年)
(背景:不適切な個人情報の提供・売買の防止や、提供経路の追跡のため)
個人情報データベース等不正提供罪(第83条)
不正な利益を図る目的による個人情報の提供または盗用は、個人情報データベース等不正提供罪(1年以下の懲役または50万円以下の罰金)として罰せられることになりました。
(背景:これまで個人情報の不正な提供、盗用に関する直接の刑事罰が存在しなかったため)
海外事業者への個人情報保護法の適用(第75条、第78条)
海外にある事業者も日本国内の個人情報を収集して取り扱う場合、個人情報保護法が適用されるようになりました。ただし、本人以外の第三者から収集する場合は適用されません。
(背景:グローバル化により海外事業者が個人情報を収集し、取り扱うケースが出てきたため)
海外の第三者への個人情報の提供(第24条)
海外にある事業者に第三者提供する可能性がある場合、個人情報の提供先の国名等が特定できるよう本人に示して同意を得なくてはならなくなりました。同意を得ていない場合、海外事業者が一定の条件を満たしていなければ提供してはいけません。
(背景:グローバル化により海外事業者が個人情報を収集して海外で取り扱うケースが出てきたため)

その他

小規模事業者への個人情報保護法の適用(第2条第5項)
取り扱う個人情報の数が5,000人分以下であってもすべての事業者が個人情報保護法の適用対象となりました。
オプトアウトによる第三者提供の届出(第23条第2項~第4項)
オプトアウト*1による第三者提供を行う場合は、個人情報保護委員会への事前の届け出が必要になりました。また、届け出た事業者の名前やデータ項目などについて個人情報保護委員会による公表が行われるようになりました。(主な対象はいわゆる名簿業者ですが、名簿業者以外の事業者も届出が必要かは個別判断とのことです。)
不要な個人データの消去(第19条)
利用する必要がなくなり、不要となった個人データは、消去するよう「努めなければならない」こととなりました。(ここでの「消去」とは、その個人データを個人データとして使えなくすることであり、削除のほかに特定の個人を識別できなくすることも含むため、必ずしも削除が必須というわけではありません。)
個人情報保護委員会の設置(第40条~44条、第59条~74条)
内閣府の外局として「個人情報保護委員会」が設置され、主務大臣の権限が集約されることとなりました。例えば、個人情報漏えいなどの事故発生時の報告は、基本的に個人情報保護委員会に対して行うこととなりました。
利用目的変更の緩和(第15条第2項)
個人情報の利用目的について、取得時の利用目的と合理的に関連性があれば変更が可能になりました。(以前は利用目的と「相当」の関連性が必要でした。)
開示等請求権(第28条)
開示、訂正、利用停止などの請求が、裁判上の権利として位置づけられることとなりました。(ただし、相手方に請求が到達した日から2週間後でないと請求に係る訴えを提起できません。)

*1 オプトアウト:一定条件の場合にあらかじめ本人の同意を得ないで個人情報を第三者に提供すること

今回の改正内容は、個人情報保護委員会がWebサイトなどの様々な形で公開しています。
http://www.ppc.go.jp/personal/preparation/(2017年4月現在)
なお、単に法律の条文の変更だけでなく、個人情報保護法に関するガイドラインやQ&Aも大幅に変更・追加されています。

次回は、スマート体温計を例にIoTサービスを提供する事業者が個人情報を取扱う上での注意点をご説明します。

Writer Profile

セキュリティ事業部
セキュリティコンサルティング担当 チーフコンサルタント
戸田 勝之