プライバシーテック（PETs）とは何か。個人情報保護法3年ごとの見直しヒアリングを踏まえて現在地を解説（2023年12月ver）

おはようございます。
世界No.1の偉大なプライバシーテックカンパニーを目指すAcompany広報のはまだ🐧です。ペンギンかもしれません。積読が100冊を超えました。

さて、みなさんは「プライバシーテック（PETs：Privacy-enhancing technologies）」という単語を聞いたことはありますか。「プライバシー保護技術」、「プライバシー強化保護技術」と記載されていることもあります。
このプライバシーテック（PETs）が最近、個人情報保護法の3年ごとの改正において注目されていることをみなさんはご存知でしょうか？

プライバシーテック研究所の編集を2年ほど続けているペンギンとして、「これは黙っちゃいられねぇ！」と思い、急遽、個人情報保護法3年ごと見直しとプライバシーテック（PETs）について現状をまとめてみました。
個人情報保護法の改正をウォッチされている方や、プライバシーテック（PETs）の投資可能性について着目し始めた方に読んでいただけると嬉しいです。

この記事は#アカンクリスマスアドベントカレンダー2023 32日目の記事となります。

💡この記事の目的
- プライバシーテック（PETs）とは何かを知ることができる
- なぜ3年ごとの見直しで注目されているのか、わたしたちの社会にとってどんなメリットがあるのかわかる

プライバシーテック（PETs）とは何か

プライバシーテック（PETs）とは何でしょうか。

プライバシーテック（PETs）についてどのように記載されているのか、ここでは見ていきます。

デジタル庁のテクノロジーマップでは「プライバシー向上技術」として登場。

https://www.digital.go.jp/policies/digital-extraordinary-administrative-research-committee/regtechmap

ここでは、「個人のプライバシーや組織のデータを保護するための技術」と記載されています。
このプライバシー向上技術（PETs）には、個人情報匿名化や差分プライバシー、秘密計算などが含まれるとのことです。

https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/5b8165e7-1763-4a5f-bf4f-169f48131a1d/06e55a55/20231006_policies_regtechmap_outline_03.pdf

PwCはどうでしょうか。「個人情報・機密情報を安全に保持・保護するための技術」の総称との記載がありました。

プライバシーテック研究所によれば、「企業が持つ個人データの適切な活用と、個人情報を保護するため、不可欠な技術」だそうです（PR）。

プライバシーテックとはなにか、なぜ私たちは重視しなければいけないのか 

ちなみにChatGPTによると、

プライバシーテックは、個人のプライバシーを保護し、データセキュリティを強化する技術やソリューションを指します。これにはデータの匿名化、暗号化、同意管理ツールなどが含まれ、企業が法規制に適合し、消費者の信頼を獲得するのに役立ちます。プライバシーテックの普及は、データ漏洩やプライバシー違反のリスクを軽減し、デジタル時代における企業の持続可能なデータ管理を支援する重要な役割を果たしています。

ChatGPT

とのこと。

いろいろと意見が飛んできそうですが、この記事のプライバシーテック（PETs）とは「個人のプライバシーや組織のデータを保護するための技術（デジタル庁）」と定義して進めていきます。

「個人情報保護法の3年ごとの見直し」とは

ここでは、「個人情報保護法」とは何か、そしてなぜ今改正に向けたヒアリングが開始されているのかについてまとめていきます。

第262回個人情報保護委員会を開催しました。 議題は、「いわゆる３年ごと見直し（ヒアリング）」「青森県上北郡野辺地町における保有個人情報の取扱いについての個人情報の保護に関する法律に基づく行政上の対応について」等です。https://t.co/kSp0VDCwO2

— 個人情報保護委員会 (@PPC_JPN) November 29, 2023

個人情報保護法とは

そもそも個人情報保護法とは何でしょうか。
「個人情報の保護に関する法律」、いわゆる個人情報保護法を見てみましょう。

第一章総則
（目的）第一条　
この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

https://elaws.e-gov.go.jp/document?lawid=415AC0000000057

うん。。。よくわからない。

政府広報オンラインの記事によれば、「個人情報の有用性に配慮しながら、個人の権利や利益を守ることを目的」とした法律とされています。デジタル社会の加速（データ活用）を見守りつつ、個人のプライバシーを守るための法律という解釈でしょうか。

ちなみにChatGPTが説明すると、

日本の「個人情報の保護に関する法律」、通称「個人情報保護法」は、個人のプライバシーを保護し、個人情報の適切な取り扱いを確保することを目的とした法律です。この法律は、個人情報を扱う事業者や組織に対して、個人情報の適正な管理と利用を義務付けています。

ChatGPT

と返答が返ってきました。

この記事では、あくまでもペンギンでもわかる個人情報保護法として拡大解釈をし、「データ活用実現のため、個人を守るための法律」とします。

3年ごとの見直しについて

2019年に個人情報保護委員会から公開された「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱」では、個人情報保護法は3年ごとに見直しされることが記載されています。
3年ごとの見直しは、2015年改正・2017年施行より。理由は「情報通信技術の進展が著しいこと等」とされています。

これ以降、2020年改正・2022年施行と続いており、次回は2025年改正・2027年施行になるのでは？とされています。（現状公開されているスケジュールは以下）

https://www.ppc.go.jp/files/pdf/231115_shiryou-2-1.pdf

個人情報保護法の3年ごとの見直しに関しては、Amiさんが詳しく記事化しています。詳細はぜひ👇

個人情報保護委員会の3年ごとの見直し方針

個人情報保護委員会は、3年ごとの見直しにおける方針を大きく3つ、①個人の権利利益のより実質的な保護の在り方、②実効性のある監視・監督の在り方、③データ利活用に向けた取組に対する支援等の在り方、を掲げています。

これを受け、2025年改正・2027年施行の個人情報保護法に向け、関連団体等へのヒアリングが開始されました。ここからは、現段階（2023年12月18日）でヒアリング資料が公開されている4つの団体の提案サマリを見ていきます。

💡いわゆる３年ごと見直し（ヒアリング）
- 新経済連盟
- 日本ＩＴ団体連盟
- 欧州ビジネス協会（ＥＢＣ）
- 一般社団法人日本情報経済社会推進協会（通称、JIPDEC）

新経済連盟

以下は資料を参考にサマリを並べたものです。

1. 不適正利用禁止規定の対象の明確化と悪質事案への適切な執行

2. リスクベースアプローチによる漏えい等報告 ・本人通知対象の絞り込み

3. 法の域外適用

4. データの利活用を促進する仕組み等の検討

5. 個人情報保護規律に関する周知徹底

資料はこちら

日本ＩＴ団体連盟

以下は資料を参考にサマリを並べたものです。

1. 規制緩和のお願い

2. こどものデータ保護の規定に関する要望

3. 現状を踏まえ前提とすべき事項に関する意見

4. 「1．個人の権利利益のより実質的な保護の在り方」に関する意見

5. 「2．実効性のある監視・監督の在り方」に関する意見

6. 「3．データ利活用に向けた取組に対する支援等の在り方」に関する意見

7. 「容易照合性」の基準緩和、第三者提供の基準見直しのお願い

資料はこちら

欧州ビジネス協会（ＥＢＣ）

以下は資料を参考にサマリを並べたものです。

1. GDPRとAPPI間の定義の可能な範囲での調和

2. APPIにおける「正当な利益」の概念の導入

3. 欧州経済領域（EU加盟国、ノルウェー、リヒテンシュタイン、及びアイスランド）の場合、GDPR とAPPIの間で個人情報処理の法的根拠が統一された後、日本のデータ主体に物やサービスを提供するこ とに関連して個人情報を取り扱う上述のような企業には、GDPRのみを適用する

資料はこちら

一般社団法人日本情報経済社会推進協会（通称、JIPDEC）

以下は資料を参考にサマリを並べたものです。

1. 個人の権利利益のより実質的な保護の在り方

2. 実効性のある監視・監督の在り方

3. データ利活用に向けた取組に対する支援等の在り方

資料はこちら

「③データ利活用に向けた取組に対する支援等の在り方」でプライバシーテック（PETs）は有効か？

個人情報保護委員会が3年ごとの見直しで立てた3点目、「③データ利活用に向けた取組に対する支援等の在り方」に関連するものとして、プライバシーテック（PETs、資料に従いプライバシー強化技術）に言及した団体が2つ、新経済連盟と一般社団法人日本情報経済社会推進協会（通称、JIPDEC）がありました。

https://www.ppc.go.jp/files/pdf/231215_shiryou-1-1.pdf

https://www.ppc.go.jp/files/pdf/231129_shiryou-1.pdf

現にプライバシーテック（PETs）や、それに類する技術をガイドラインや法律に含むといった動きは出てきています。

ペンタセキュリティのイ・スミン氏は、EnterpriseZineのインタビューで「実際に韓国の法律では、システムで個人識別情報を扱う際に暗号化することが義務付けられている」と語っています。

そのため重要データを暗号化して管理することは、韓国においては既に要件ではなく、必然ともいえる対策だ。セキュリティ専門家だけでなく、一般国民の間でも当たり前のことだと認識されているという。実際に韓国の法律では、システムで個人識別情報を扱う際に暗号化することが義務付けられている。また、ITシステムを新たに構築する際には、データ暗号化の処理を組み込む前提でソフトウェアやハードウェアを設計することが広く一般的なことになったともイ氏は話す。

https://enterprisezine.jp/article/detail/18835?p=2

そのほか、データ活用・連携手法で注目を集めるデータクリーンルーム（DCR）について詳細にまとめたレポート「Data Clean Rooms: Guidance and Recommended Practices Version 1.0」において、DCRの構成の一要素としてPETsについて言及していました。

もちろんプライバシーテック（PETs）をどのように定義するのか、中に含む技術を何と定義するのかは今後要議論ですし、今回の記事でそこまで言及するつもりはありません。
しかし、プライバシーテック（PETs）が個人情報保護法の3年ごとの見直しで検討される可能性、今後実社会でサービスに含まれることが当たり前になる可能性があるのではないかなと思っております（切望）。

Acompanyは「2035年までに世界No.1の偉大なプライバシーテックカンパニー」になります！

Acompanyは、プライバシーテック（PETs）をコアに、「2035年までに世界No.1の偉大なプライバシーテックカンパニーになる（1,000億規模の売り上げを目指す）」と旗を掲げています。

共にプライバシーテックの社会実装に挑みたい方ぜひ、Acompany採用サイトを覗いてみてください〜💪

Acompany Careers // 採用情報

参考文献

• https://www.gov-online.go.jp/useful/article/201703/1.html

• https://www.naka2656-b.site/archives/38957763.html

ではでは🖐️