AIの利活用では、膨大なデータを収集・分析することが前提になります。
その際に必ず問題となるのが 個人情報の保護 です。
日本では「個人情報保護法」、EUでは「GDPR(一般データ保護規則)」が代表的な法規制です。
個人情報保護法(日本)
定義
- 個人に関する情報で、特定の個人を識別できるもの。
- 例:氏名、生年月日、住所、顔写真、位置情報など。
改正のポイント(2022年施行)
- 個人関連情報:Cookieや広告識別子など、単体では個人を特定できないが、他の情報と結びつくと個人特定可能なデータも規制対象。
- 外国事業者への適用拡大:国外から日本国内の個人にサービスを提供する事業者にも適用。
匿名加工情報・仮名加工情報
- 匿名加工情報
- 個人を特定できないように加工したデータ。
- 例:氏名を削除、住所を市区町村単位に丸める。
- 事業者は加工方法を公表する義務あり。
- 仮名加工情報
- 個人識別性を低減するが、復元可能な形で保持されるデータ。
- 研究開発や社内分析などに限定利用可能。
- 外部提供は禁止。
👉 試験頻出:「匿名加工情報は外部提供可能、仮名加工情報は原則社内利用」。
GDPR(EU一般データ保護規則)
特徴
- 2018年施行、EU域内すべてに適用される統一規制。
- 日本企業でもEU在住者のデータを扱う場合は対象。
主要ポイント
- 同意(Consent):データ利用には明示的な同意が必要。
- データ主体の権利
- 忘れられる権利(Right to be forgotten)
- データポータビリティ(データの持ち運び権)
- 制裁金:最大で全世界売上高の4%または2000万ユーロのいずれか高い額。
👉 試験ポイント:「GDPRは忘れられる権利・データポータビリティを保障する」。
日本法とGDPRの比較
| 観点 | 日本の個人情報保護法 | GDPR |
|---|---|---|
| 適用範囲 | 日本国内の個人情報を扱う事業者 | EU居住者のデータを扱う全事業者 |
| 個人関連情報 | Cookie等も対象(2022年改正) | 個人識別可能性があれば対象 |
| 権利 | 開示・訂正・利用停止請求 | 忘れられる権利・データポータビリティ |
| 制裁 | 行政指導・命令 | 世界売上の4%の罰金 |
出題チェック
- 匿名加工情報 vs 仮名加工情報の違いは?
- GDPRにおける「忘れられる権利」とは?
- 日本法における「個人関連情報」とは?
練習問題(例題)
問題:日本の個人情報保護法で「外部提供が可能」とされているのはどれか?
- 生データ(氏名・住所を含む)
- 匿名加工情報
- 仮名加工情報
- 個人関連情報
👉 正解:2
