black android smartphone on top of white book

まだ個人情報該当性で疲弊してるの?

メールアドレスや電話番号は個人情報かということを聞かれることがあります。この問いに答えるわたしの答えは、

まだ個人情報該当性で疲弊してるの?

です。現実の管理を考えたら、こうしたものの個人情報該当性の議論で工数を使うというのは全く無駄な労力だからです。

当たり前ですが、メールアドレスや電話番号は、それを個人が使っているなど、個人に結びつくものであれば個人情報であり、そうでなければ個人情報ではないので、メールアドレス一般や電話番号一般が個人情報かどうかというのは、そもそも問いが間違っています。で、このような問いをしたくなるのは、日本の個人情報保護法が、個人情報の定義として容易照合性を使っているからですね。しかし、EUのGDPRでも、ISO/IEC 29100 (JIS X 9250) でもGAFAでも容易照合性などということは考えていません。むしろ彼らが問題にするのは「将来にわたる照合可能性」です。ある個人に紐付けられる可能性があれば、それは個人情報として扱うという考え方です。これは、今現在照合可能ではないからと管理対象外にしてしまうと、将来照合可能になったときに、その情報がどこにあるかもわからず、管理不能になって詰んでしまうからです。

そういうわけで、管理面から考えたら個人情報該当性を細かく考えるのは悪手で、ざっくり広く認めた上で、リスクの高いもの低いものに分けて、リスクに応じた対策を施すのが本筋です。で、当のメールアドレスが高リスクか低リスクかは、それが取り扱われる目的や結び付けられている他のデータによるので、単体でリスクを云々言うのはナンセンスということになります。

たとえば、ログインアカウントにメールアドレスが結び付けられている場合を考えましょう。この場合、そのメールアドレスは保有個人データとして扱わざるを得ません。しかし、それが高リスクか低リスクかは自社サービスの内容によりますので、リスク分析して対処策を練る必要があります。差別されかねない病気の患者に対する情報提供サイトならとても高いリスクでしょうし、一般紙のサブスクリプションサービスなら低リスクでしょう。

法律の設定するレベルをクリアするのは大切です。しかし、そのレベルは必要最低限のもので、それを下回ったら即違法になるものです。通常の操業を考えたら、そんな抵触ギリギリのレベルでやるなど、危なくてしょうがありません。十分なマージンをとって操業すべきです。そしてまた、それが顧客からの信頼につながる時代になりました。

個人情報保護に関する日本の組織の最大の問題の一つは個人情報該当性というアナクロニズムにすぐんで動けなくなることです。言葉を変えれば、情報をリスクに分類しないで、最大リスクかゼロリスクの二項対立でしか考えない頭こそが問題なのです。一刻も早くそれを打破し、次の一歩を踏み出しましょう。

コメントを残す

メールアドレスが公開されることはありません。

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください