AIと個人情報保護法との関係について。
目次
個人情報とは
- 生存する個人に関する情報
- 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの
(氏名、顔写真、メールアドレスなど)
(※電話番号、位置情報→単品では個人を特定できないため個人情報ではない) - 他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む
(単品で見ると個人情報ではなくとも、組み合わせれば特定できる場合は個人情報になる) - 個人識別符号が含まれるもの
(法令で定められた番号・記号など。指紋、DNA、運転免許番号、パスポート番号、顔認識に用いられる特徴ベクトルなど)
- 「個人データベース等」→個人情報を含む複合体で、特定の個人情報を検索できるようにしたもの(紙媒体も含まれる)
- 「個人データ」→個人データベース等を構成する個人情報
- 「保有個人データ」→開示、訂正、削除等の権限を有する個人データ
個人情報の規制
個人情報に対する規制
- 「利用目的の特定等」→利用目的を特定する必要あり(あらかじめ公表or速やかに通知・公表する必要あり)
- 「不適正な利用の禁止等」→偽りその他不正の手段により取得してはならない。違法または不当な行為を助長し、誘発する恐れがある方法により利用してはならない。
個人データに対する規制
- 「取得利用に関する規制」→個人データを正確・最新の内容に保ち、利用する必要がなくなった場合に、遅滞なく消去する努力義務あり。
- 「安全管理義務」→安全管理のために必要かつ適切な措置を講じなければならない。従業員に対する必要かつ適切な監督を行う必要あり。取り扱いを委託する場合は、受託者に対しても必要かつ適切な監督を行う必要あり。
- 「第三者提供体制」→第三者に提供する場合は、原則として、本人の同意が必要(オプトイン)。一定の条件を満たす場合には、第三者提供に反対をしなかった本人の個人情報を同意なく第三者に提供可能(オプトアウト)。
※利用目的の達成に必要な範囲内で個人データの取り扱いを委託することに伴って個人データが提供される場合は、同意不要。
保有個人データに対する規制
- 「開示請求」→自己に関する保有個人データの開示を請求でき、企業もこれに応じなければならない。
- 「訂正等の請求権」→本人は、内容の訂正・追加・削除、利用の停止・消去が請求可能。
特殊な個人情報
| 要配慮個人情報 | 本人の人種、信条、社会的身分、病歴、犯罪歴、犯罪被害歴などのセンシティブな個人情報 ※通常の個人情報としての規制+本に同意なく取得できない+オプトアウトの方法による第三者提供はできない |
|---|---|
| 匿名加工情報 | 一定の匿名化した情報の比較的自由な取り扱いを認めている (氏名削除、住所抽象化、照合用ID削除、特異データ削除、対応表の破棄など) |
| 仮名加工情報 | 第三者提供は原則として禁止、事業者内部での利活用を想定した制度 (利用目的を変更する場合でも、本人の同意は不要) |
| 個人関連情報 | 個人情報、匿名加工情報、仮名加工情報のいずれにも該当しない情報 (IPアドレス、閲覧履歴など) ※第三者提供する場合、相手がその情報を個人データとして取得することが予測されるときには、原則として、本人から同意を得ていることを確認しなければならない。 |
GDPR
- 「GDPR」→General Data Protection Regulation:一般データ保護原則
- EU領域内の個人情報保護を目的とした法律
- 日本の個人情報保護法と比べて、
①保護範囲が広い
②データポータビリティ権など日本にない権利が定められている
③データ保護責任者の配置等、日本の個人情報保護法にない義務が定められている
④データ移転に関し厳しい規制がある
⑤高額な制裁金がある
