総務省トップ > 政策 > 白書 > 29年版 > 近年の個人情報に関連して注目を集めた事例
第1部 特集 データ主導経済と社会変革
第2節 データ流通・利活用における課題

(1)近年の個人情報に関連して注目を集めた事例

ア 個人情報の匿名加工とその利活用方法に関連する事案

2013年7月、東日本旅客鉄道株式会社(以下「JR東日本」)が、Suicaデータを株式会社日立製作所に提供しようとしたところ、多くの利用者から個人情報保護やプライバシー保護、消費者意識への配慮に欠いた行為であるとの批判や不安視する声があがった。

JR東日本が社内に設置した「Suicaに関するデータの社外への提供についての有識者会議」の中間とりまとめ(2014年2月)によれば、「Suica利用データから氏名、電話番号、物販情報等を除外し、生年月日を生年月に変換した上、さらに、SuicaID番号を不可逆の別異の番号に変換」するといったパーソナルデータの匿名加工を行っていた。

また、JR東日本はビッグデータであるSuicaデータの利活用について、「これを分析することにより、利用者による駅の利用状況やその構成を把握することができるので、地域や駅、沿線の活性化に資する、様々な分野で活用されることが期待され、利用者はもとより社会一般にとっても有用な基盤となる」という考え方を中間とりまとめの中で述べている。

このようにJR東日本が一貫した方針と利用者のパーソナルデータ保護等の対応をとりながらも、多くの利用者からの批判を受けたのは、個人情報が漏れることへの利用者の不安を払拭できなかったことが第一にある。その一因は、同社がホームページ等で明らかにしているとおり、利用者に対し十分な事前説明を行わなかったことだ。ただしもう一点、大きな要因を挙げるならば、匿名加工されたパーソナルデータの利用に関するルールが未整備であったことも影響したと考えられる。

JR東日本の事案は、政府内において、ビッグデータの利活用についての広範な議論のきっかけとなり、改正個人情報保護法(2015年9月公布、2016年1月一部施行、2017年5月全面施行)においては、所要のルール整備がなされた。匿名加工情報についての定義1や、その自由な流通・利活用を促進することを目的とした個人情報の取扱いよりも緩やかな規律が導入されたほか、個人情報保護委員会規則の中で匿名加工情報の作成方法の基準を定めることで予見可能性を高めている。

イ 個人情報の第三者提供に関するトレーサビリティに関連する事案

2014年7月、通信教育事業を営む株式会社ベネッセコーポレーションは、同社のシステム開発・運用を行っているグループ会社シンフォームの業務委託会社の元社員Aが、同社の顧客等(登録者である保護者又は子供を含む。)の個人情報を不正に取得し、当該情報を名簿業者へ売却するという情報漏えいがあったことを公表した。

それから約2か月に公表された「個人情報漏えい事故調査委員会による調査結果」(以下「調査結果」)によれば、漏えい情報の規模は、同一人物と認定したものを1件と数えると3,504万件、人単位で数えると約4,858万人、さらに、延べ件数は約2億1,639万件に上った。漏えい情報には、顧客等の氏名、性別、生年月日、続柄、住所、電話番号、メールアドレス等が含まれていた。

こうした情報の拡散の背景には、元社員Aが名簿業者3社にパーソナルデータを売却し、当該名簿業者3社がオプトアウト方式(本人の求めに応じて第三者への個人情報の提供を停止することとし、その旨や提供される個人データの項目等の一定の事項をあらかじめ本人に通知又は本人が容易に知り得る状態に置くことにより、個人データを第三者に提供すること)をとっているという建前の下、さらに他の名簿業者へとパーソナルデータの転売を行っていたことがある。

本事案の直接的な原因について、調査結果は、元社員Aの不正行為とそれを防げなかった情報システムの問題点や、ベネッセグループの体制とコーポレート・カルチャーにあると結論づけている。一方、本事案を契機に、第三者からの提供により個人データを取得する場合、そのトレーサビリティーの確保が求められるようになり、個人情報保護法の改正において、個人データの第三者提供に係る確認・記録の作成等を義務づけることにつながっていった。



1 特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報

テキスト形式のファイルはこちら

ページトップへ戻る