「ＧＡＦＡ独走に転機」（日経新聞２０１８年８月２日）
～個人情報保護法～

日経新聞に表題の記事が載った。
ＧＡＦＡとは、ご承知のとおり、米ＩＴ企業のグーグル、
アップル、フェイスブック、アマゾンの４社です。
この記事は決算もさることながら、記事の副題には
「顧客・データ「総取り」高まる警戒　逆風に」とあります。
ビックデータが集中することに各国が
警戒をしているとのことです。

▼日本はどのような対応をしているか
日本では、平成２９年に施行された改正個人情報保護法しか
現状は規制できる法律はありません。
改正個人情報保護法では、個人を特定できる情報に、
顔認証や指紋などの身体情報も含めて拡大し、
そのかわり個人を特定できないように匿名化をすれば、
情報を利用可能としています。
現時点では、匿名情報を積極的に経済活動に
活用するように規定されていますが、
今後は欧州並に匿名情報の利用についても
制限をかける方向になるかもしれません。

▼ところで個人情報保護法について、
少し世間で誤解があるように思います。
個人情報は「入」と「出」で本人の同意等の取り扱いが異なります。
「入」とは、情報の収集のことです。
組織が情報を収集するときは、どのような目的で
その情報を収集するのかを、公表又は通知しなければなりません。
これは、本人から情報を得る場合だけでなく、
WEBから情報を勝手に得る場合も同様です。
一般的な公表方法は、ホームページ上で
プライバシーポリシーとして明示する方法です。
通知は一方的に通知すれば足ります。
「又は」となっているのでどちらでも大丈夫です。
この情報を組織内で利用することは自由です。
それを匿名化すれば、第三者に提供することもできます。
「出」とは、情報を組織外部に出すことです。
この場合には、原則として同意が必要です。
たとえば、自社のホームページに掲載するために社員や
お客様の写真を撮影するとします。この撮影をする際には、
「利用の目的」を公表又は通知しておく必要があります。
この例では、利用目的は
「自社のホームページに広告宣伝用として掲載するため」となります。
公表又は通知をすれば「入」は〇です。
そのため、その写真を社内のみで活用することは〇です。
しかし、これを実際に自社のホームページに掲載するためには、
その人々の「同意」が必要となります。
いくら「利用目的」として「ホームページへの掲載」と記載していても、
「出」の際には、原則として「同意」が必要となるのです。
　同意なくホームページに掲載すると✖になります。
（細かい点は省略して記載しましたので、
大雑把な理解として参考にしてください。）

　　（金曜日担当　法務研究部会　弁護士山田勝彦）