現在地

IoTと改正個人情報保護法への対応 ~第2回 IoT事業者等による改正個人情報保護法対応とは

第1回では、IoTおよび改正個人情報保護法の概要についてご説明しました。
今回は、第1回で例示したスマート体温計をIoTサービスとして提供する事業者(以下、IoT事業者)が、改正個人情報保護法に関して注意すべき点についてご説明します。

IoTサービスで流通する個人情報(例:スマート体温計)

スマート体温計によるIoTサービスでは、個人情報が以下のように流通します。

  • ❶ 利用者が、自らの個人情報を先に登録しておく。(例:氏名、性別、年齢、病歴、メールアドレス、その他備考)
  • ❷ スマート体温計で検温すると、検温情報が生成される。(例:検温日時、体温)
  • ❸ 検温情報は、IoTサーバー・クラウドへアップロードされる。
  • ❹ IoTサーバー・クラウド側で利用者の個人情報や検温情報から症状を分析・導出された健康上のアドバイスがフィードバックされ、スマート体温計に表示される。(設定によっては利用者のスマートフォンへのメール配信やWebブラウザ表示が行われる)

収集された個人情報は、その後、IoT事業者等によって以下のように利活用されていきます。

  • ❺ IoT事業者が、収集した個人情報を自社の製品改良や販売促進を目的としたマーケティングのために統計分析に活用する。
  • ❻ ある地方自治体から、住民の健康状態の把握、地域病院や学校と連携した注意喚起や予防施策のため、住民の匿名加工情報の提供を依頼され、IoT事業者が以下の匿名加工を施してから提供する。(匿名加工情報の第三者提供)

表1 匿名加工の例

データ項目加工方法
顧客ID削除し、仮IDを割り当てる。
氏名削除する。
生年月日年・月のみに置き換える。
住所市区町村レベルのみに置き換える。
病歴症例数の極めて少ない病歴は削除する。
  • ❼ IoT事業者が、あるドラッグストア事業者から、医薬品のマーケティングを目的に3,000人分の個人情報の提供を依頼され、IoT事業者が提供する。(個人情報の第三者提供)
  • ❽ ドラッグストア事業者が、受領した個人情報を提携先の海外の事業者に提供する。(個人情報の第三者提供)

図1 スマート体温計と個人情報

図1 スマート体温計と個人情報

ここで注目されるのは、氏名、性別、年齢、体温、病歴、といった個人の属性に密接にかかわる情報を収集し、個人情報もしくは匿名加工情報として様々な事業者に流通している点です。
改正個人情報保護法では、こういったケース関して遵守すべき事項が明記されています。

IoTにおける個人情報保護法上の注意点(改正部分)

1. 要配慮個人情報の取得
IoT事業者がスマート体温計で収集する個人情報には、「病歴」が含まれています。病歴は要配慮個人情報にあたるため、IoT事業者は収集時にあらかじめ本人の同意を得る必要があります。ヘルスケア製品を扱う場合は、要配慮個人情報の取扱いに注意が必要です。(なお、この「病歴」は、オプトアウトを行うことができません。)
※ オプトアウト:一定条件の場合にあらかじめ本人の同意を得ないで個人情報を第三者に提供すること
2. 匿名加工情報の作成時の義務
もし、IoT事業者がスマート体温計から収集した個人情報を特定の個人を識別できないよう加工して匿名加工情報とする場合、以下の義務が発生します。
  • 匿名加工情報として適正に加工すること
  • 作成時に情報の項目などを公表すること
  • 加工方法等情報の漏えいを防止する措置を講じること
  • 匿名加工情報から本人を識別しないこと
  • 匿名加工情報の安全管理措置等を講じてその内容を公表するよう「努める」こと

※ 個人情報として取り扱うことを前提にしたデータの加工は、匿名加工情報にはなりません。

「加工方法等情報」とは、匿名加工情報の作成方法のことです。例えば、仮IDへの置き換えアルゴリズムの乱数表や、氏名と仮IDの対応表などがそれにあたるとされています。
加工方法等情報は、個人情報でも匿名加工情報でもありませんが、その漏えいを防止するための安全管理措置(規程類の整備など)を講じなければなりません。
3. 匿名加工情報の第三者提供の際の義務
IoT事業者が、地方自治体からの求めに応じて匿名加工情報を第三者提供する際には、IoT事業者に以下の義務が発生します。
  • あらかじめ第三者提供する情報の項目や提供方法を公表すること
  • 第三者提供先に匿名個人情報であることを明示すること
また、第三者提供を受けた地方自治体には以下の義務が生じます。
  • 匿名加工情報から本人を識別しないこと
  • 匿名加工情報の安全管理措置等を講じ、その内容を公表するよう「努めること」
4. 個人情報の第三者提供の際の義務
IoT事業者がドラッグストアからの求めに応じて個人情報をそのまま第三者提供する際には、IoT事業者に以下の義務が発生します。
  • 第三者提供した年月日や提供先の氏名等を記録し、一定期間保管しなくてはならない。
また、第三者提供を受けたドラッグストアには以下の義務が生じます。
  • 提供者の氏名や年月日、収集経緯を確認・記録し、一定期間保管しなくてはならない。
5. 海外事業者への個人情報保護法の適用
ドラッグストアが海外事業者からの求めに応じて個人情報をそのまま第三者提供する際には、個人情報を直接収集したわけではないため海外の事業者に個人情報保護法は適用されません。(収集した場合は適用されます。)しかし、その代りドラッグストアは以下のいずれかに該当する場合のみしか海外事業者に第三者提供することができません。
  • 海外事業者に個人情報を第三者提供する旨の同意を本人から得ていること。
  • 海外事業者が、日本と同水準の個人情報保護制度を有している国にあること。(2017年4月現在で国名は明示されていません)
  • 海外事業者が、個人情報取扱事業者として講じるべき措置を継続的に講じる体制を整備していること。
  • 法第23条第1項の各号に定める場合であること。(例:生命、身体または財産の保護のためなど)
※ 上記の該当条件は、仮に海外の事業者に個人情報の取扱いを「委託」する場合であっても同様に満たす必要があるので注意が必要です。
6. 海外事業者も想定した個人情報の収集
もし、IoT事業者が海外事業者に個人情報を第三者提供することを想定して個人情報を収集する場合、本人がその同意を判断するために必要な方法(第三者提供先の国または地域名を個別に示すなど)で行わなくてはなりません。
7. 全事業者への個人情報保護法の適用
スマート体温計から収集した個人情報が、5,000人分以下であっても、IoT事業者や関係する事業者はすべて個人情報保護法の適用対象となります。1人分でも3,000人分でも適用対象です。
8. 利用目的の変更
IoT事業者が、新商品であるスマート血圧計の宣伝のため、「当社が取り扱うスマート体温計に関するサービスの提供」に「スマート血圧計に関するサービスに関する情報のお知らせ」を個人情報の利用目的に追加するのは、変更前の利用目的と関連性があるため認められると考えられます。
9. 個人データの消去
IoT事業者は、サービスの利用停止や提供停止などで個人データが不要となり消去が必要となった場合に備え、あらかじめ消去しやすい形で個人データを保有しておくことが望まれます。また、消去が必要になった時は、速やかに消去することが望まれます。(第1回でも触れましたが、ここでの「消去」とは、その個人データを個人データとして使えなくすることであり、削除のほかに特定の個人を識別できなくすることも含みます。)
10. 個人情報漏えい時の個人情報保護委員会への連絡
IoT事業者は、自社もしくは委託先において個人情報の漏えいが発生したら、基本的に個人情報保護委員会へ報告する必要があります。(個人情報が滅失、毀損した場合で漏えいの可能性が無い場合は報告の必要はありません)

図2 IoTで流通する個人情報と主な注意事項(改正部分)

図2 IoTで流通する個人情報と主な注意事項(改正部分)

まとめ

これまでの流れを踏まえ、さらにIoTビジネスで注意したい点として、以下の2つが考えられます。

・匿名加工したはずの情報が、他の情報との組み合わせによって個人を特定しやすい状態になっていないか。
体温や検温日時だけでは個人は特定できませんが、他のIoTで収集する情報(例:体重、体脂肪率、TV視聴情報、電力使用日時、ドアロック日時など)と組み合わせるとビッグデータとなり、個人の特定可能性が高くなります。そのため、多くの情報との組み合わせの際には匿名化は慎重に検討しなくてはなりません。
・個人情報の委託先(再委託先を含む)をすべて把握できているか、個人情報保護の観点による委託先の監督を適切に行っているか。
今回のケースではIoTサーバー・クラウドを提供するシステムベンダーが委託先ですが、個人情報を用いたマーケティングやDM送信を別の事業者に委託した場合、それらにも委託先の監督の義務が生じます。従来からの保護法でも求められていますが、委託先の把握と責任範囲の明確化は必要不可欠です。

今回は、IoT事業者が改正個人情報保護法に関して注意すべき点についてご説明しましたが、IoT以外のビジネスにおいても同様に注意が必要であると考えられます。

Writer Profile

セキュリティ事業部
セキュリティコンサルティング担当 チーフコンサルタント
戸田 勝之