“パーソントリップデータの外部取得”を取り巻く法的課題

この記事は2017年1月発行のエスネットワークス産業調査レポート vol.5より転載しております。

CFOだけではなく、経営に携わる方であれば、常に自社の業界をはじめ、各種セクターの動向に目を向け、ビジネスの次の一手を考えられていることと思います。産業調査レポートは注目が高まるIoTやXaaSサービスを中心に各業界の動向をまとめております。

 

◆ フィンテックで先行する 個人情報利用

フィンテック企業は、個人向け金融サービス(例:決済、投資アドバイス)を、速いスピードで展開しており、個人情報をいち早く活用しているが、個人情報保護の規制は後追いになっている。2013年のいわゆるSuica事案では、JR東日本がSuicaの利用データを営利目的で日立製作所に提供したことに対して、消費者からクレームがおこり謝罪を行った。この事案をきっかけに個人情報の外部所得や無断使用について、法的な議論が進んだ。

 

◆ 平成27年改正個人情報保護法の焦点

1️⃣匿名加工情報(2条9項)アセット 1

匿名加⼯情報(特定の個⼈を識別することができないように個⼈情報を加⼯した情報)の類型を新設し、個⼈情報の取扱いよりも緩やかな規律の下、⾃由な流通・利活⽤が可能となった。

2️⃣要配慮個人情報(2条3項)

要配慮個人情報とは、「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」とされ、政令で定めるべき事項を検討する必要がある。慎重な取扱いを要する個人情報を要配慮個人情報として新たに類型化し、本人同意を得ない取得を原則として禁止するとともに、本人が明確に認識できないうちに個人情報が第三者へ提供されることがないようにするため、オプトアウト手続による第三者提供を認めないこととしている。要配慮個人情報の類型化の具体策として、以下のような「情報銀行」が提唱されている。

アセット 2

アセット 3

 

◆ 匿名加工情報が創出するデータ取引市場

アセット 4

◎改正個人情報保護法: その他の焦点

■ 要配慮個人情報のオプトアウト付加(23条2項)
■ 個人情報保護委員会への届け出要。 個人情報保護委員会は届出内容を公表(23条2項・4項)
■ トレーサビリティの確保(25条、26条)
■ データベース提供罪の新設(83条)
■ 外国の第三者への提供の場合の特則(24条)
■ 日本国内の個人情報を取得した外国の事業者について も個人情報保護法を原則適用(75条)

◎金融技術イノベーションに対する 包括的担保の動き

英国の金融行為規制機構(Financial Conduct Authority; FCA)が提唱したRegulatory Sandboxは、フィンテック企業に対して、臨機応変な許認可、個別指導、規制に反する可能性についての規制の変更、ノーアクションレターの発行など、いくつかのオプションが用意されている。日本での実証については、金融庁のフィンテックサポートデスクのほか、産業競争力強化法に基づく基づくグレーゾーン解消制度、企業実証特例制度、国家戦略特区がある。

◎金融APIと中間的業者に係る 法的論点

金融APIの法的論点は、仕様の統一、セキュリティ、利用者保護、個人情報保護、金融APIを用いる中間的業者が銀行代理業や外部委託に相当するのか、などがある。中間的業者とは、規制領域をまたがるサービスを提供するフィンテック業者である。許可制、営業所ごとの実務経験者などの配置義務、兼業について承認制、該当業者への規制に加え、指導義務や損害賠償義務、などが考えられるが、過度な規制は事業者のビジネス選択に歪みや制約をもたらす。

◎個人情報に関する 現行法上の整理

アセット 6

執筆者

NEXT CFO 編集部

 NEXT CFO編集部

経営者・管理職にCFOの役割を広めたい!CFOが活躍する社会をつくることで、日本経済を活発にしたい!そんな想いでNEXT CFOのメディアを運営しています。