logo

個人データの利活用

個人データの利活用に関する生活者の疑問について考える

このホームページは、2021年3月30日に開催された「個人データ適正利用に向けたシンポジウム(経団連主催)」において、「社会と産業界との対話のための取組み」として、経済広報センターから紹介した資料をもとに制作したものです。

趣旨

 個人データの適正利用のためには、個人データがどのような形で利活用されるかについて、個人が理解と納得をして、個人データの提供を行えるようにしていくことが大切です。その一方で、個人データの利活用の状況は日進月歩で進化していたり、技術的な要素があったりすることから、その内容が十分に理解できないという方も少なくないと思われます。
 経済広報センターでは、経団連との連携のもと、社会と産業界との対話のために個人データの利活用に関する生活者の疑問について、個人が理解と納得を得ていく上で役立つと思われる情報やサイトを紹介する資料の作成に取り組んでいます。
 この資料は、これまでの取組みを中間的にとりまとめたものです。経済広報センターとしては、本資料に関して生活者を含めて様々な方からご意見をいただき、引き続き、資料の作成に取り組み、結果を公表していくこととしています。

取り上げている疑問

(注1)疑問1から6は、経済広報センターに登録をいただいた生活者の皆様である「eネット社会広聴会員(2740人)」を対象に行った、「Society5.0に関するアンケート」ならびに「DXに関する意識調査」における自由意見の中から、個人データの利活用に関係すると思われるものを選び、なるべく原文に近い形で掲載したものです。

(注2)本ページ内、「青色の太文字」の箇所をクリックすると、当該ホームページが表示されます。


1
よく分からないことにかかわることには、漠然とした不安がある。個人データの利活用についてどうしたら理解することができるのか。

どのように考えたらよいでしょうか

理解促進

 よく分からないことにはかかわりたくない、個人データについて言えば、どう使われるかがわからないから提供したくないという人もいるのではないかと思われます。疑問1では、まず、はじめに、個人データの利活用に関する基本的な理解のために、企業などがまとめた役に立つと思われる情報やサイトを紹介します。

※詳細はリンク(青色の太文字をクリックすると別画面が開きます)をご参照ください。

個人データの利活用に関して、イラストを使ってわかりすく説明したサイトに、NTTドコモの「知ってナットク! ドコモのパーソナルデータ活用」があります。パーソナルデータとは何か、何のために使っているかなどについて、簡潔に説明しています。

次に、個人情報に関する制度的な仕組みの概要を紹介するものとして、政府において個人情報の保護等の適正な取り扱いに向けた取組みを行っている個人情報保護委員会が作成した、「個人情報保護法等 よくある質問(個人向け)」があります。
 また、同じく個人情報保護委員会が作成した「個人情報保護法ハンドブック」でも、個人情報に関する制度的な仕組みの概要を紹介しています。

最後に、個人情報に関してわからないことがあった場合の問い合わせ窓口を紹介します。個人情報保護委員会では、「個人情報保護法相談ダイヤル」03‐6457‐9849(受付時間9:30~17:30※土日祝日および年末年始を除く)を設けています。また、相談ダイヤルの受付時間に制限があることから、質問に24時間対応できるように、「PPC質問チャット(AIを活用した自動応答)」も設けています。

個人情報、個人データ、パーソナルデータの違い

 このページの中にも、「個人データ」「個人情報」「パーソナルデータ」という、似たような言葉が登場しています。言葉の違いを簡単に説明します。
 「個人データ」と「個人情報」は、個人情報保護法という法律で定義が定められていますが、「個人情報保護法ハンドブック」でその内容が紹介されています。
  「個人情報」とは、「生存する個人に関する情報であって、氏名や生年月日等により特定の個人を特定できるものをいいます」とされています。
 一方、「個人データ」については、「個人情報をデータベース化し、検索可能な状態にしたものを『個人情報データベース等』といい」、「『個人情報データベース等』を構成する情報が『個人データ』です」とされています。

 関連する説明は「個人情報保護法ハンドブック」に載っています。法律上の定義(第2条)を詳しく知りたい方は、「個人情報保護に関する法律」を参照してください。

 一方、「パーソナルデータ」については、法律などで定められた統一的な定義は存在しません。例えば、「NTTドコモ パーソナルデータ憲章-イノベーション創出に向けた行動原則-」では、「私たちは、プライバシーに配慮して取扱うべき情報を、個人情報保護法に定める個人情報に限定すべきではないと考えています。この行動原則が対象とする『パーソナルデータ』には、個人情報も含まれますが、『機器やブラウザのIDなどによって識別できる個人に関するすべてのデータ』も含みます。たとえば、私たちが、『誰か』がある特定の機器を利用された際の当該機器のご利用状況などのデータを取得した場合、利用した方個人を具体的に特定できないとしても、そのデータはこの行動原則が対象とする『パーソナルデータ』に該当します」とされています。

 個人情報以外の個人に関するデータの提供に関しても、個人が理解と納得をして提供の同意を行えるようにしていくことが求められます。


2
個人情報の取り扱いについて、その提供相手がどの程度信頼できるかを個人が判断することは難しいのではないか。

どのように考えたらよいでしょうか

提供先に関する情報

 そもそも企業側は、個人データの適正利用をどのように捉えているのでしょうか。
 経団連では、2019年10月に、「個人データ適正利用経営宣言」を公表し、「経営者は、個人データの保護やサイバーセキュリティ対策が、個人の安心・安全を獲得することで中長期的な企業価値の創造に寄与することを認識し、これらを事前に組み込んだ個人データ活用に主体的に取り組むことが必要である」としており、個人データの適正利用は経営者自らの課題であると述べています(下部参照)。
 その上で、「個人データ適正利用経営宣言」では、個人データの適正な利用に向けて、経済界として、(原則1)経営者のアカウンタビリティの確保、(原則2)個人の安心・安全の確保、(原則3)個人データ活用に関する取組みの推進、の3つの原則を実践すると宣言しています。

個々の企業においても、例えば、日立製作所の「個人情報保護に関して(保護方針と要旨)」、パナソニックの「個人情報保護方針」は、いずれも社長名で作られています。また、三井住友フィナンシャルグループは、経団連の宣言を踏まえて、「個人データ適正利用経営宣言」を公表しています。

加えて、消費者・生活者に、企業や団体などの個人情報の保護の体制や運用の状況が適切であることを、「プライバシーマーク」というロゴマークを用いて、わかりやすく示す「プライバシーマーク制度」も設けられています(「よくわかるプライバシーマーク制度」参照)。
 このマークは、事業者の事業活動における個人情報の取り扱いについて、資格を持っている審査員が審査をして、適切であると評価した事業者に使用を認める制度で、運営は、日本情報経済社会推進協会(JIPDEC)が行っています。
 プライバシーマークの使用が認められた事業者は、ホームページや名刺などにプライバシーマークを使用することができます。日立製作所の「個人情報保護に関して(保護方針と要旨)」には、「3.プライバシーマークについて」において、プライバシーマークのロゴと、プライバシーマークの付与認定を受けていることが示されています。

プライバシーマーク
プライバシーマーク

出典:日本情報経済社会推進協会
※プライバシーマークは、JIPDECより使用許諾を得ています。

また、企業や団体などが、プライバシーマークを取得しているかどうかは、「付与事業者情報」より検索することもできます。

 個人データを提供する際に、相手方の企業が信頼できるかどうかは、個人が提供の是非を考える際に大変重要となる事項であり、その企業が信頼できるところであるかに関する情報がさらに充実することが期待されます。

経団連「個人データ適正利用経営宣言(2019年10月15日)」

 様々な社会課題を解決して人間中心の社会を目指すSociety 5.0を実現するためには、個人の信頼を前提とした個人データの活用を進めることが不可欠である。しかし、個人の権利利益の侵害やサイバーセキュリティをめぐる内外事案の発生等により、社会全体として、個人データ活用に向けられる眼はこれまでになく厳しくなっている。
経営者は、個人データの保護やサイバーセキュリティ対策が、事業リスクの低減のみならず、個人の安心・安全を獲得することで中長期的な企業価値の創造に寄与することを認識し、これらを事前に組み込んだ個人データ活用に主体的に取り組むことが必要である。
 そこで、個人データの適正な利用に向け、経済界として以下の3つの原則を実践することを宣言する。

(原則1)経営者のアカウンタビリティの確保

・経営者は、個人データ活用を重要な経営課題の1つと認識し、国際的な観点も踏まえて長期的な視野に立った経営判断を行い、内外関係者に丁寧に説明を行う。

・経営者は、個人データ活用を伴う重要な事業判断が、開発部門・事業部門・法令遵守を担う部門等が連携して適切に行われる体制を整備する。

・経営者は、個人データの活用に向けデジタルトランスフォーメーションを推進する。AIやIoT、クラウド化等のデジタル環境の整備を進めるとともに、デジタル人材の育成・獲得を戦略的に行い、必要な権限を付与し、成果に応じた正当な評価を行うよう努める。

(原則2)個人の安心・安全の確保

・個人情報保護法制に則り適切な情報の保護・管理体制を整えたうえで、個人情報の利用目的や提供目的、安全管理措置等が規定された透明かつ平易なプライバシーポリシー等を策定・開示し、個人を起点にした個人データの保護・活用を進める。

・製品・サービスの企画・設計段階から、個人データ保護・サイバーセキュリティ対策を含め、サプライチェーン全体を通じて個人の安心・安全を確保するよう取り組み、当該取組みを積極的に開示・説明する。

・個人データの漏えいが生じないよう、平時から十分な準備と対策を行うよう努める。漏えい事案が発生した場合には、速やかに適切な対処を行うとともに、関係者に対して真摯に説明を行う。

(原則3)個人データ活用に関する取組みの推進

・企業・業界の垣根を超え、互いにメリットのある形で協調領域を見極め、データ連携基盤の構築等の取組みを進める。

・個人データを活用した革新的な製品・サービスの創出に努めるとともに、当該製品・サービスが国民生活を豊かにし、個人の利益に資することを分かりやすく説明し、個人データ活用に向けての社会的な理解を醸成する。

・個人の懸念を払拭すべく、プロファイリング技術の活用や信用スコア、ターゲティング広告等の分野のルール策定への関与に努める。


3
“利用規約”などをわかりやすくユーザーに提示すべく、その表出方法や表現を改善すべきではないか。

どのように考えたらよいでしょうか

個人情報取扱指針

 個人データがどのように取り扱われているかについて理解するためのキーとなるのが、個人データを提供する際に示された個人情報取扱指針やプライバシーポリシーです。
 経済広報センターが、2020年11月に社会広聴会員を対象に実施した、「DXに関する意識調査」によれば、個人情報を記入、あるいは入力する際に、企業が提示する個人情報取扱規約などを読んでいるか否かを聞いたところ、「毎回読んでいる」「たまに読んでいる」人が53%、「ほとんど読まない」「全く読まない」人が48%となりました。
 このうち、「ほとんど読まない」「全く読まない」と回答した人(48%)に読まない理由を聞いたところ、「文字量が多く、読んでいる時間がない」(74%)、次いで、「形式上のことだと割り切っている」(48%)、「どの企業も同じような内容なので読む必要がない」(30%)となっています(複数回答可)。文字量が多く、読まないとの回答も少なくなく、個人情報取扱指針等について、読みやすくしていくことが期待されます。

パーソナルデータ - 個人情報取扱規約等を読まない理由
パーソナルデータ - 個人情報取扱規約等を読まない理由

(注)上記は、個人情報取扱規約等を「ほとんど読まない」「全く読まない」と回答した人の数を分母とする割合である(複数回答可)。
出典:経済広報センター「DXに関する意識調査」

経団連の「個人データ適正利用経営宣言」においては、透明かつ平易なプライバシーポリシーを策定・開示するとされています。
 SOMPOホールディングスの「SOMPOグループ プライバシー・ポリシー」や住友商事の「プライバシー・ポリシー」は、プライバシーポリシーそのものが短くまとめられており、詳細は、別の資料を参照する形となっています。

平易な個人情報取扱指針などとともに、その中のどの部分が個人にとって重要であるかに関する情報も有益です。日本情報経済社会推進協会(JIPDEC)が作成している「よくわかるプライバシーマーク制度」においては、「『個人情報』を安心して提供するための事前チェック」のリストが示されており、例えば、「個人情報保護方針(プライバシーポリシー)は公表されている?」「個人情報の取り扱いについて、問い合わせ窓口は表示されている?」などがあげられています。

これまでは、個人情報を中心に参考となるサイトなどを紹介してきましたが、個人が同意を求められるケースは個人情報に関するものとは限りません。例えば、WEBサイトを閲覧する際に「Cookieを有効にしますか?」と聞かれることがありますが、Cookie(クッキー)について十分に理解していない人も少なくないと思われます。
 例えば、住友商事の「ウェブサイトにおける個人情報の取り扱いについて」では、「クッキーとは、ウェブサーバーからお客様のブラウザにデータを送信し、その内容を参照する機能ですが、お客様の個人情報を収集するものではありません。また、お使いのブラウザの設定によって、クッキーの機能を無効にすることができます」と記されています。

 個人情報に限らず、個人に関するデータに関連して同意が求められる場合、それが何を意味するかに関してもわかりやすい情報の発信が求められます。

経済広報センターのアンケートの概要

 経済広報センターは、2020年11月に、「eネット社会広聴会員(2740人)」を対象に実施した「DXに関する意識調査」において、個人情報を記入、あるいは入力する際に、企業が提示する個人情報取扱規約やプライバシーポリシーを読んでいるか否かを聞きました。有効回答数は、1432人(有効回答率:52.3%)で、調査期間は2020年11月12日~11月23日です。
 その結果は、前ぺージの通りですが、加えて「毎回読んでいる」「たまに読んでいる」と回答した人(53%)に、理解度を聞いたところ、「正確に理解している」(6%)、「おおよそ理解している」(73%)、「理解していない(あまり/全く)」(21%)となりました。


4
申し込んだつもりがなくとも会員にされてしまうなど、個人の情報が悪用されてしまうのではないか。

どのように考えたらよいでしょうか

利用目的

 個人データの提供に際しては、その利用目的について、個人の理解と納得のもとで、個人データを提供できるようにしていくことが大切です。個人情報取扱指針などにおいて、個人データの利用目的をわかりやすく伝えていくことが求められます。

経団連は、「個人データ適正利用経営宣言」において、個人情報の利用目的や提供目的等が規定された透明かつ平易なプライバシーポリシーを策定・開示するとしています。
 「NTTドコモ プライバシーポリシー」では、「3.パーソナルデータの利用目的」において、利用の目的を、下記の図の通り、4つのマトリクスで表現するとともに、それぞれについて事例を紹介しています。

パーソナルデータの利用目的
パーソナルデータの利用目的

出典:NTTドコモ「プライバシーポリシー」

わが国では、「情報銀行」という、「個人からの委任を受けて、当該個人に関する個人情報を含むデータを管理するとともに、当該データを第三者(データを利活用する事業者)に提供する」という仕組みも設けられています。「本人の同意は、使いやすいユーザーインターフェイスを用いて、情報銀行から提案された第三者提供の可否を個別に判断する、または、情報銀行から事前に示された第三者提供の条件を個別/包括的に選択する方法により行う」とされています(「情報信託機能の認定に係る指針ver2.0」参照)。

情報銀行の考え方
情報銀行の考え方

出典:情報信託機能の認定スキームの在り方に関する検討会
「情報信託機能の認定に係る指針ver2.0」

情報銀行には、個人が安心してサービスを利用できるため一定の水準を満たす事業者を認定する仕組みが設けられており、令和3年2月末時点で6社が認定を取得しています(「認定事業者一覧」参照)。また、経済広報センターが発行している「『経済広報』2021年1月号」では、認定対象分野以外の例として、三井住友銀行、大阪大学医学部附属病院、日本総合研究所が、妊婦さんを対象に、自分の医療データをスマートフォンで確認できるようにする「医療データの情報銀行」の実証事業を行っていることを紹介しています。

個人情報保護法においても、「個人情報を取り扱うに当たって、利用目的をできる限り特定しなければならない」とされており、また、「特定した利用目的は、あらかじめ公表しておくか、個人情報を取得する際に本人に通知する必要があります」となっています(「個人情報保護法ハンドブック」参照)。


5
様々な情報を基に、性格、趣味など個人の様々な情報が筒抜けになるのではないか。       

どのように考えたらよいでしょうか

第三者提供

 個人の様々な情報が筒抜けにならないよう、個人が別々のところに提供した個人データが誰のものかわかる形で集められないようにしなければなりません。そのためには、個人データの第三者への提供を、個人の理解と納得のもとに行えるようにしていくことが大切です。

「SOMPOグループ プライバシー・ポリシー」においては、「SOMPOグループは、法令に定める場合を除き、お客さまご本人の同意なくお客さまの個人データを第三者に提供することはありません」と記されています。
 ここでいう法令に定める場合には、例えば、警察などからの照会、災害時の被災者情報の提供など本人同意取得が困難な場合、国の統計調査などへの回答、委託・共同利用などがあります(「個人情報保護法ハンドブック」参照)。このうち、委託や共同利用の場合については、例えば、SOMPOグループの「個人情報保護宣言」「グループ内における共同利用について」においては、委託の内容(例えば、情報システムの開発・運用に関わる業務)や共同利用するグループ会社の範囲などが明らかにされています。

また、「NTTドコモ プライバシーポリシー」では、「4.パーソナルデータの取扱いに関する同意」において、「パーソナルデータの利用および第三者提供その他の取り扱いにあたり、お客さまからあらかじめ同意を得ることがあります」としたうえで、「お客さまが、当社によるパーソナルデータの利用および第三者への提供を望まない場合、一定の範囲で、その旨を意思表示することができます」とされています。また、「お客さまが同意済みの主な事項を『パーソナルデータダッシュボード』から一覧としてご確認いただくことができるようにします」とされており、「パーソナルデータダッシュボード」には、第三者提供先の確認・変更のコーナーも設けられています。

個人情報保護法においても、個人データを第三者に提供する場合、原則としてあらかじめ本人の同意を得なければならないとされています(「個人情報保護法ハンドブック」参照」)。

一方、個人情報保護法では、「個人情報を本人が特定できないように加工をしたもので、当該個人情報を復元できないようにした情報」のことを「匿名加工情報」と呼び、匿名加工情報の作成基準を定めています。匿名加工情報とは、例えば、「ネットワークにつながった車の走っている位置とワイパーの動きに関するデータ」であり、「それを集めて分析し、ゲリラ豪雨など局地的な天候の変化をリアルタイムで把握することなど、様々な活用が期待されています」と説明されています(「個人情報保護法ハンドブック」参照)。

SOMPOホールディングスの「個人情報保護宣言」においては、「6.匿名加工情報の取扱い」において、匿名加工情報の作成にあたって、「法令に定める基準に従って、適正な加工を施すこと」「法令で定める基準に従って、削除した情報や加工の方法に関する情報の漏えいを防止するために安全管理措置を講じること」などの対応を行うとしております。また、「匿名加工情報の作成・第三者提供について」で、個人が特定されないように加工して第三者に提供している情報の具体的項目(SOMPOケアが介護サービスの提供に際して取得した健康状態などに関する情報など)や第三者に提供する際のセキュリティの確保策を公表しています。

 自分たちのデータが、どのような形で匿名加工され、さらには、社会のために役立っているかに関する情報も、わかりやすい形で伝えていくことが求められます。


6
個人情報が盗まれる報道をたびたび目にする。流出防止もイタチごっこで、いつ洩れるかわからないのではないか。

どのように考えたらよいでしょうか

セキュリティ対策

 経団連は、「個人データ適正利用経営宣言」において、「個人データの漏えいが生じないよう、平時から十分な準備と対策を行うよう努める」とするとともに、2018年3月に、「経団連サイバーセキュリティ経営宣言」を策定し、「いまや全ての企業にとって価値創造とリスクマネジメントの両面からサイバーセキュリティ対策に努めることが経営の重要課題となっている」と述べています。

宣言においては、経済界が、①経営課題としての認識、②経営方針の策定と意思表明、③社内外体制の構築・対策の実施、④対策を講じた製品・システムやサービスの社会への普及、⑤安心・安全なエコシステムの構築への貢献の実践に努めることが述べられています。
 また、2019年10月には、米国の非営利組織「インターネット・セキュリティ・アライアンス」と経団連が協力して、企業の取締役がサイバーリスクをどう認識し、対処していくかを考え、行動に移していくかについて記した、「サイバーリスクハンドブック 取締役向けハンドブック 日本版」を作成しています。
 さらに、2020年3月に取りまとめた「経団連サイバーセキュリティ経営宣言に関する取組み」においては、「サイバーセキュリティ対策に関する経営者の意識は高まってきている」一方、現状では、サイバーセキュリティ対策に関する取組みの停滞、サイバーセキュリティ人材に関する不十分な実態把握といった課題があることを指摘したうえで、今後、成熟度の可視化、サイバーセキュリティ対策の方針に関する情報発信、サイバーセキュリティ人材スキルの可視化が不可欠としています。

また、組織の情報を保護する手段である「情報セキュリティマネジメントシステム(ISMS)」について、国際規格(ISO/IEC 27001)が存在していますが、企業などがこの国際規格に基づいて適切に「情報セキュリティマネジメントシステム」を運用しているかを公平な立場から審査し、証明する「ISMS認証」という仕組みも設けられています(「ISMS適合性評価制度」)。ISMS適合性評価制度は、情報マネジメントシステム認定センターが管理しています。
 国際規格に適合していると認められた企業などは、審査した審査機関のマークとともに、下記のような認定シンボルの使用が認められます。
 企業などが、ISMS認証を得ているかどうかは、「ISMS認証取得組織検索」から調べることができます。

認定シンボル
認定シンボル

出典:情報マネジメントシステム認定センター「ISMS適合性評価制度」

個人情報保護法においても、「個人情報取扱事業者は、個人データの安全管理のために必要かつ適切な措置を講じなければならないとされています」、また、「個人データの適正な取扱いの確保について組織として取り組むために、基本方針や個人データの取扱いに係る規定を策定することが重要です」としており、具体的な講ずるべき措置として、「組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置がある」としています(「個人情報保護法ハンドブック」参照)。
 さらには、「個人データの漏えい等の事案が発覚した場合に講ずるべき措置として、①事業者内部における報告、被害の拡大防止、②事実関係の調査、原因の究明、③影響範囲の特定、④再発防止策の検討・実施、⑤影響を受ける可能性がある本人への連絡等、⑥事実関係、再発防止策の公表」があげられています。(「個人情報保護法ハンドブック」参照)。

 このように、個人情報の漏えいについては、様々な対策が行われています。一方で、個人情報の漏えいがなくなっていないのも事実です。企業ではどのようなセキュリティ対策が行われているのか、万が一漏えいが起った場合対応はどのようなものか、などに関する発信が求められます。