日本の個人情報保護法は2003年に成立（2005年施行）したが、その後10年以上改正されなかった。今般、IT基本法が20年ぶりに改正されようとしているのよりはマシだが、デジタル社会の進展と法令の通常の見直し期間の長さがアンマッチになっていることは確かだ。

 

　そこで2015年の個人情報保護法改正にあたって、「３年ごとの見直し」条項が入った。今年の通常国会、コロナ騒ぎだけではなく個人情報保護法改正も国会を通過、2022年春に全面施行される予定である。今回、この改正内容を個人情報保護委員会事務局から聞くことができた。改正内容を簡単にまとめると、

 

・個人の権利（利用停止等の請求権、開示請求範囲）の拡大

・事業者への責務（漏洩等の通知義務化、刑罰）の強化

・仮名加工情報の新設によるデータ利用の促進

・外国事業者等への域外適用の明記

 

　の４点になろう。欧州だけでなく人権意識の高まりから、いままであいまいだったものを含めて個人の権利は強化される。これは2015年の改正でも行われたことを、さらに進めるもの。事業者責務強化も含めて、事業者の負担は大きくなるが2015年の改正なかりせば、日欧EPAの妥結はなかったと僕は思うのであるべき方向だろう。

 

　　　　

 

　日欧関係だけではなく、今回の改正で意識しているのは国際関係。各国で個人情報保護に関する法律が強化されていて保護レベルが上がっていることに加え、外国企業への域外適用を盛り込む国が増えている。確かにサイバー空間に国境はなく、国内法では裁けないケースも非常に多い。しかしWxOでの議論はなかなか進まないから、域外適用をしないと現状では自国民を守れないのだ。

 

　実際に外国にいる「容疑者」を訴追するケースも、サイバー犯罪では増えてきた。犯人引き渡し条約がないくても、まず訴追することが重要という人もいる。これは米中デカップリング論の中でも、よく見かける話だ。

 

　事業者には負担増になる改正だが、一つだけ「データ利用拡大」の機会があるのは「仮名加工情報」。これまでの「匿名加工情報」は本当に匿名なので、僕が１ヵ月間をあけて２度アクセスした結果が、同じ人がしたことだと分からない。名前は要らないから同じ人かどうかを判別できるようにしたものが「仮名加工情報」だ。これによってAI等の分析は効率が上がるだろうと期待される。今後の国際関係も絡んで、この分野の動向は注目に値しますよ。