「第13回 パーソナルデータに関する検討会」が昨年12月19日に行われ、
個人情報保護法の改正に関する法律案の骨子の説明があったようだ。
配布資料に骨子案があったので、少し内容を見てみた。
パーソナルデータの利活用に関する制度改正に係る法律案の骨子(案)
4ページ 2.(1)(ア) に「匿名加工情報を作成した者は、削除をした記述等及び
加工の方法に関する情報の漏えいを防止するために必要かつ適切な措置を
講じなければならない」とある。
加工方法を機密にするの?
加工方法がわかると再識別・再特定できてしまうような情報は
「匿名加工情報」としてはいけないのではないか。
(イ) には「当該匿名加工情報を第三者に提供する場合には、第三者提供をする旨を
公表し」とある。
匿名加工情報を第三者提供する旨を公表するのであれば、どういう加工情報になって
提供されるのか、本人(個人情報の提供側)としては知りたいところ。
そのレベルの情報に加工されるならかまわないとか、そのレベルでは加工が甘いとか、
そういう、個人情報の提供に同意するかどうかを判断する際の
ひとつの判断項目としたいのだが。
(ウ) には「当該匿名加工情報を他の情報と照合してはならない」とある。
単純に「他の情報と照合してはならない」では匿名加工情報を提供してもらう意味が
ない気がする。(受け取った匿名加工情報単体でしか利活用できないよね?)
6ページ 2.(2) には「利用目的の制限の緩和」とあるのだが、変更後の利用目的が
適用されるのは変更前に取得された個人情報も含まれるのか、が不明。
例えば、あるサービスにおいて位置情報を取得し使用する機能があったとして、
利用目的の変更によりその機能の使用を断念したいとする。その際、それまで
使用していた時に取得されていた情報は、新しい利用目的の元で利用されて
しまうのかどうか?
8ページ 3.(2) には第三者提供を行った記録を残せとある。
記録がなければ情報漏洩扱いになるということか。
10ページ 3.(4) 「オプトアウト規定の見直し」とあり、「(ア) 第三者への提供を
利用目的とすること」とあるが、第三者は具体的に明示する必要があるのか?
また、オプトアウトの際には「一切の第三者」を指定して提供の停止を行うこと
(第三者提供そのものの停止)ができることを保証するのか?
ちょっとわかりにくい点がいくつかあるなぁ、というのが第一印象。