実は保護委員会ができた理由はもう一つある。今や私たちの生活は米グーグルや米フェイスブックなど海外サービスに依存しているが、日本には、情報プライバシー権を担う米国FTC(連邦取引委員会)やEU(欧州連合)の加盟国で構成する「第29条作業部会」のような組織がなかった。

 そこで、国境を越えた法の適用と、外国の執行機関との連携を行うための、つまり「データ越境」の国際対応を担う組織が必要とされていたのだ。

 また、保護委員会の話とは一見関係ないように思われるかもしれないが、改正により、同法の適用対象が原則として全ての民間事業者と任意団体に及ぶこととなった。対象外であった5000人分以下の個人情報を扱う事業者にまで適用されることになったからだ。

 別の法律の定めに従う行政機関や独立行政法人等を除き、個人情報データベース等を扱う全ての団体が原則として個人情報保護法の下に入る。例えば、学校のPTA組織だって例外ではないのである。

 つまり、何か個人情報に関する問題が起きたら、保護委員会からいつ立ち入り検査をされてもおかしくない。経営者を含め、そのリスクへの認識を改める必要がある。

 見過ごされがちだが、海外子会社とのやりとりもデータ越境の対象になるし、業務委託先である中小零細企業も同様に、法改正によりデータを取り巻く業務プロセスの見直しを迫られている。

 このように書き連ねると、規制強化の面が強いと思われるかもしれない。しかし冒頭で触れた通り、本来はデータの利活用を促すのが同法の趣旨だ。個人情報の定義も、対象が広がったのではなく、「明確」になったのだ。つまり同法改正は、データをビジネスで活用するためのインフラ整備なのである。

同意なしで利用可の匿名加工情報がビジネスを変える

 一般的な企業経営の考え方からすると、「データは囲い込みたい」という考えを持つ経営者が多いのではないだろうか。その点、匿名加工情報を本当に「買いたい」という事業者が出てくるのか。一方でその需要に合わせて「売りたい」という事業者が果たしているのか。それが試されている。

 実際に話を聞くと、データの「買い手」は存在する。広告・マーケティング領域での利用だけでなく、商品開発に応用できる金融・保険、ヘルスケア領域での関心が高い。

 それに対して「売り手」となる本命が、ライフログ(生活習慣)情報を持つ企業である。グーグルなどのネットサービス事業者が浮かぶが、徹底的な「囲い込み」が利用者からの信頼にも寄与しており、そのデータの販売は望めないだろう。