WirelessWire News The Technology and Ecosystem of the IoT.

by Category

「パーソナルデータ利活用に関する制度改正大綱」の主要論点(修正・追記あり)

2014.07.01

Updated by Tatsuya Kurosaka on July 1, 2014, 17:00 pm UTC

※著者の申し出により本文の一部修正と追記を行いました(8/22 7:00 編集部)

「パーソナルデータの利活用に関する制度改正大綱」(以下パーソナルデータ大綱)がまとまった。6月24日にIT総合戦略本部で決定され、現在はすでにパブリックコメントにかけられている。

昨年6月に閣議決定された「世界最先端IT国家創造宣言」(いわゆる新IT戦略)で示された具体的な取組の中で、正しく筆頭に掲げられた「パーソナルデータの利用促進」を受け、内閣官房IT総合戦略室の下に「パーソナルデータに関する検討会」(宇賀克也座長=現在)が昨秋には設置され、昨年末には制度見直し方針がまとまった。

我が国における法制度整備としては、異例ともいえる迅速さ、内容の濃さ、そして原則として公開での議論によって進められてきた。特に、法制度の専門家と技術の専門家が、それぞれ具体的なケースを対象に、可能な限り議論の明瞭化を目指してきた試みは、世界的に見ても評価に値するものといえるだろう。

今後はパブリックコメントの集約、法案の作成という事務方のプロセスを経て、来年の通常国会に法改正案を提出する予定である。

全体の論点は多く、また議論も広範かつ複雑なため、簡単にまとめることは難しい。ここでは、いくつかの主要論点についての、現時点における整理を試みてみたい。

ビッグデータ大綱?パーソナルデータ大綱?

本件については、すでに新聞・テレビ等でも広く取り上げられており、Webメディアでもあちこちで扱われていることから、すでに見聞きしている方も多いだろう。しかしその名称は、ビッグデータ大綱と呼ばれたり、パーソナルデータ大綱と呼ばれたり、どうにも落ち着かない。

本稿では以下「パーソナルデータ大綱」として扱うが、とはいえ表現が揺れてしまうのも仕方がない、という事情も理解できる。そもそも今回の検討は、前述の通り、新IT戦略の中では「ビッグデータの利用を促進する」という目的と位置づけの中で、スタートしている。経緯を考えれば、ビッグデータ大綱と通称されるのも、自然な流れではある。

また、ビッグデータとパーソナルデータを、おぼろげなイメージで把握している場合、「両者は事実上同じものではないか」とも考えられるだろう。そういう意味では、より世間一般に普及している「ビッグデータ」という名称の方が相応しい、と考える向きが存在するのも、むべなるかな。

もちろん精緻に定義するのであれば、ビッグデータには、センサー技術を活用したInternet of Things(モノのインターネット)などによって収集されるデータも含まれる。この場合、当然ながら対象は人間とは限らないし、だとするとパーソナルデータとは峻別されるべきだろう。

ただ実際には、ヒトとモノのデータは、それぞれ混ざった状態で扱われることが少なくない。また、両者を混ぜ合わせることによって、パーソナルデータがより明確に個人情報に近づいていく可能性があることは、そもそも一連の検討の中でも明らかになっている。

表現の揺れという一見回りくどい話を最初に触れたのは、今回の対象であるパーソナルデータが、ことほどさように「変幻自在な代物」である、という理解が必要だからだ。そして変幻自在の対象に網をかけることの難しさが、一連の検討とその成果からも、うかがい知れる。

===

特定と識別

まず今回の検討結果で整理された重要な概念は、「特定/非特定」と「識別/非識別」である──といっても「特定」と「識別」の区別は、従来は専門家でも確認を反芻しながら議論していた概念だけに、これまでの検討会の議論を追いかけていないと、まったく理解できないだろう。

WirelessWireNewsと一般財団法人日本情報経済社会推進協会(JIPDEC)の共同企画「プライバシーとパーソナルデータ」で取り上げられた、NTTセキュアプラットフォーム研究所プロジェクトマネージャ高橋克巳氏(技術WG委員)のインタビューにおける整理が分かりやすい。

高橋 実際にどうしたかというと特定と識別という言葉を使うことにしました。定義は簡単にすると次の通りです。

特定 :その情報が誰だか分かってしまうこと
非特定:その情報が誰だか分からないこと
識別 :誰か一人の情報であることがわかるが、その一人が誰であるかまではわからないこと
非識別:誰の情報であるかがわからず、さらにそれが誰か一人の情報であることも分からないこと

これらの組合せによって、以下のようにデータの区分が整理される。

〈識別特定情報〉は、その人が誰だか分かり、かつ1人の個人を指すので、個人情報ですね。
〈識別非特定情報〉は、その人が誰かは分からないが、1人の個人のデータであるものです。ここが「データの組合せによる個人の特定の可能性がある情報」の典型的な例となります。
〈非識別非特定情報〉は、その情報が誰か一人の情報であることもわからないので、個人が特定されるリスクが下がります。情報の加工を進めていって識別の困難性を高くしたデータはいわゆる統計情報と同じような性質を持ちます。

201407011700-1.jpg(技術WG報告書p12から図を引用)

===

匿名化幻想はなくなった

この「特定」と「識別」を考える上で、今回重要なキーワードとなったのが「匿名化」である。

従来のビッグデータとプライバシーの議論では、「データが匿名化されていればデータは利活用できる」という、漠然とした認識で、検討が進められていた。しかしJR東日本によるSUICAデータ外販のインシデントのような、社会的影響の大きいインシデントが発生したことを受け、法制度を改正するためには、改めてこの匿名化に関する明確化が必要となった。

本来ならば法律の専門家が法制度について議論する、パーソナルデータに関する検討会において、技術検討ワーキンググループ(以下技術WG)が設置されたこと、そしてそこでは第一線の技術者・研究者が集まって、匿名化とは具体的に何を意味するのかを議論したのは、そのためである。そして討議の結果、これまでの曖昧な匿名化の議論は、より精緻に整理されることになった。

前述の高橋氏のインタビューにおいても、その成果が明確に示されている。

──「完全に匿名化されない」というのは、なかなか難しいですね。

高橋 たとえば、「住所・年齢・年収・ある商品購入の有無」というデータについて考えてみましょう。住所・年齢・年収があいまいになってさえいれば、商品購入の有無は(それが極端に少ない数でない限り)出しても差し支えないデータになる―つまり、匿名性は保たれる―ということがこれまで考えられていました。

しかしそれがビッグデータだと、連続した位置情報で構成される移動履歴や、購入品1年分の履歴が揃ってしまいます。それぞれの点のデータでは「その人であったかどうか」分からないことが、全体を合わせることで見ると、その人が、どこの誰だか分かってしまう。つまり特定されるリスクが高くなります。

──データを組み合わせることで、個人が特定されてしまうわけですね。

高橋 そのように考えると、匿名化したデータを作る時に、何を〈削除〉し、どこまでの属性を〈加工〉すれば安全にデータを活用できるか、ということが自明ではないということが分かります。

技術WGでは、匿名化されたデータも他のデータと合わせることで、個人が分かってしまう場合もあるかもしれない、という基本的な事項を確認しました。実際には匿名化の手法ごとに多様な情報が作られるため、匿名・非匿名という仕分けは不適当であるという議論もしました。

そこで、匿名性の解像度をあげよう、ということになりました。

こうした匿名化の整理の結果、必要なデータ加工を施した上で、加工後のデータの分析を行えば、〈識別非特定情報〉をより明確に特徴付けることができる。そして、〈識別非特定情報〉の特徴が明確になれば、その取扱いについて議論が進められる──このように、丁寧に議論を積み重ねて、パーソナルデータ利活用の道を切り開いていったのが、今回の検討会の大きな成果である。

===

識別非特定情報をどう取扱うか

一方で、データの特徴が明確化される過程で、場合によってはデータの利活用に重大なリスクが生じる可能性があることも、はっきりしてきた。

パーソナルデータを積極的に利活用したい事業者にとっては、個人に関する情報がリッチに含まれている〈識別非特定情報〉を使いたいだろう。特にネット広告事業者やポイントサービスを提供する事業者等のニーズは、以前からも極めて強い。一方で、これが様々なデータと組合せられることによって、結果的に個人の特定に極めて近い状態が生じてしまうかもしれない。

この状況が顕在化したのが、前述したJR東日本のSUICAデータ外販というインシデントである。

JR東日本は当初、(1)氏名を番号に置き換えた、(2)氏名と番号の対応表を破棄した、という理由で「個人を特定する情報ではない」とした。しかし、SUICAの移動履歴とタイムスタンプというデータの特性上、氏名に関する情報がなかったとしても、「おそらく○○さんの移動履歴である可能性が高い」ということが推定されてしまう。

しかも、それと新たな情報(例:○○さんが利用しているA駅の24時間の乗降に関する詳細データや、そのA駅の目の前にあるコンビニエンスストアの利用状況、等)と掛け合わされることで、「推定」が限りなく「特定」に近づいていく。

この状態は、すでに「現行の」個人情報保護法に抵触する可能性が、少なくない。となれば、まずもって個人にとっては「迷惑千万」な話である。そして事業者側も、リスクが分かっていなかったがために、要らぬトラブルに巻き込まれ、結果として信用を失いかねない。

このように、取扱いが非常に難しい〈識別非特定情報〉を、消費者(個人)と事業者の双方にとって、できるだけリスクが最小化された状態で取扱えるようにすべく、検討会では様々な議論が繰り返された。

===

準個人情報と個人特定性低減データ

その一つが〈準個人情報〉である。これは、現行法の「個人情報」の定義を維持しつつ、「個人を識別しないものの、取扱いによっては本人に権利侵害がもたらされる可能性があるもの」として、検討会の事務局から提案された。具体的には、免許証番号等の公的機関が発行するアイデンティティ文書の番号、IPアドレス、携帯電話の端末ID、遺伝子情報等が示された。

事務局はこの〈準個人情報〉を、「個人情報の定義にグレーゾーンがあり、企業が萎縮している」(技術検討ワーキンググループ主査を務めた佐藤一郎・国立情報学研究所アーキテクチャ科学研究系教授)という課題を解決する一助として、識別非特定情報と個人情報の峻別をより明確にすべく、推進したかったようだ。

しかしながら、先般まとまったパーソナルデータ大綱の中では、〈準個人情報〉は一切触れられていない。〈準個人情報〉の議論を通じて、準個人情報として例示されたデータと個人情報の峻別が明確になったこと、またそれを踏まえて準個人情報であっても取扱いを慎重にすべきであることといった、指摘や懸念が明に暗に示された結果、この概念自体は大綱には取り込まれなかったようだ。

ちなみに、この〈準個人情報〉が大綱に取り込まれなかったことについては、賛否両論があるだろう。ただ、私見としては、妥当な決着だと考えている。現行法下で個人情報の類型を例示することさえ難しい(がゆえに実際に現行法では示されていない)のに、準個人情報の類型化はさらに困難を極めるはずだ。こうした定義を不用意に持ち込んでしまうと、せっかく概念の整理が進んだのに、再び混濁してしまう。

一方、匿名化の概念整理が進んだことで、「個人の特定性を低減したデータ」という概念が示された。これは、匿名化に関するデータ加工処置を必要に応じて施すことで、より柔軟にデータを使えるようにしよう、というものである。これは大綱の中に取り込まれ、文中では以下のように書かれている。

パーソナルデータの利活用の促進と個人情報及びプライバシーの保護を両立させるため、消費者等も参画するマルチステークホルダープロセスの考え方を活かして、民間団体が業界の特性に応じた具体的な運用ルール(例:個人の特定性を低減したデータへの加工方法)や、法定されていない事項に関する業界独自のルール(例:情報分析によって生じる可能性のある被害への対応策)を策定した場合は、その認定等において、第三者機関が関与して実効性を確保する枠組みを創設する。

この概念が明示されたことで、識別非特定データの利活用という「総論」においては、基本的に前進だといえる。また、プライバシーへの配慮を(現段階で多くのステークホルダーに共有できる水準に)示していることからも、合理的な考え方といえるだろう。

===

まだまだ課題は山積している

ただし、課題はまだまだ多い。まず「個人の特定性を低減したデータ」に関する取扱いに焦点を合わせただけでも、次のような検討がさらに必要だ。

たとえば「民間団体が業界の特性に応じた具体的な運用ルール(例:個人の特定性を低減したデータへの加工方法)や、法定されていない事項に関する業界独自のルール(例:情報分析によって生じる可能性のある被害への対応策)を策定」と示されている。平たくいえば、業界団体による自主規制でやっていきましょう、ということである。

その考え方自体は、悪いものではなく、むしろ現実的だ。すべてを法制度や行政で規定・運用するのは、法制化と技術のスピードが噛み合わない(からこそ現状が混沌としている)以上、むしろ不可能に近い。

実際、米国においても、2013年2月にホワイトハウスから発表された消費者プライバシー権利章典参考資料)と呼応するように、Google, Yahoo!, Microsoft, AOL等を含むインターネット広告事業者の間で、"Do Not Track Agreement"が結ばれている。こうした、法制度の整備と業界団体の自主規制の調和による「共同規制」という秩序形成のアプローチは、現実解として受け入れられつつある。

しかし、法の精神を正しく理解できる業界団体は、どの程度存在するのか。また、業界団体に所属しない(所属できない/どこに所属すればいいのか分からない)事業者は、どのように対処すればいいのか。あるいは複数分野にまたがるサービスを提供する企業グループは、どの業界団体のルールに従えばいいのか、複数の自主規制ルールを受ける場合、それぞれをどう整合すればいいのか──現実的には、まだ解決のメドは立っていない。

また「マルチステークホルダープロセスの考え方を活かして」と示されている。大綱の脚注には、「国、事業者、消費者、有識者等の関係者が参画するオープンなプロセスでルール策定等を行う方法のこと。」と示されている。

しかし、特にデータプライバシー分野に関して、消費者の利益を代表する機構は、我が国に果たして存在しているだろうか。たとえば米国であれば、電子情報プライバシーセンター(Electronic Privacy Information Center)や電子フロンティア財団(Electronic Frontier Foundation)等のNPOが「プライバシーアドボカシー」として存在している。マルチステークホルダープロセスは、こうした機関の存在を前提としているのだが、我が国においては残念ながら有力な団体は皆無と言わざるを得ない。

さらに、現在はマイナンバー対応の三条委員会として設置されている「特定個人情報保護委員会」を、第三者機関(日本版プライバシーコミッショナー)にしていくことが期待されているものの、その道筋は予算措置や(特に監督に関する)執行体制・権限の整理等が、まだ議論の途上にある。あるいは、特に(製造業、運輸業、人材派遣業等の)大企業にとって重大な、海外政府(特に欧州)との付き合い方についても、未整理なままである。

しかし、このように課題山積の状態を以て「大山鳴動して鼠一匹」というのは、妥当ではない。むしろこれから私たちの社会にとって、よりよくパーソナルデータを利活用するための検討と改善の機会が、多く残されていると考えるべきではないか。

===

通信事業者がやるべきことも多い

そろそろ紙幅もなくなってきたので、委細はまた改めたいが、最後の通信事業者への影響について、簡単に触れておく。

従来、パーソナルデータの利活用において、通信事業者は彼ら自身がデータを収集・利用する直接の当事者としての役割を、期待されてもいたし、また彼ら自身もそう考えていただろう。それ自体はもちろん大きくは変わらない。

しかし、今回整理されたパーソナルデータ大綱を読み解いていくと、通信事業者には他の役割も、潜在的に期待されていることが分かる。

たとえば通信事業者は、それ自身がエコシステムを作る存在であり、アプリベンダー等を集めてサービスプラットフォームを提供している。だとすると、通信事業者自身がすでにある種の「業界団体」だとも言えるし、ならば「個人の特定性を低減したデータ」の自主規制ルール策定を担う当事者としての役割も、期待されることになる。

あるいは最終消費者との直接的な接点を持つ以上、ある面では「プライバシーアドボカシー」のような役割を率先して担うことが、むしろ消費者からの信頼感を高め、結果的に競争優位につながるかもしれない。

このように、今回の法改正では、従来の想定とは異なるポジショニングや事業環境がもたらされる可能性がある。まだ決着がつくのはしばらく先であり、引き続き状況を注視すべきだろう。

※2014/8/22 7:00 次ページに追記あり

===
【追記(2014年8月21日15:00執筆)】

本稿公開からしばらく経つが、8月上旬に情報セキュリティ研究者の高木浩光氏(内閣官房情報セキュリティセンター 内閣官房行政実務研修員(独立行政法人 産業技術総合研究所 企画本部総合企画室付 兼務)から、ツイッター上でコメントが寄せられた。

高木先生がデタラメな個人情報論にお怒りです
http://togetter.com/li/704846

まず拙稿を丹念に読み込んでいただいた高木氏(とツイートをまとめた @euroseller 氏)に謝意を申し上げたい。こうしたご指摘をいただけること、また指摘によって私はもちろん読者の理解も深まることは、大変有難い限りである。

指摘の内容は私自身の著述姿勢も含め多岐に渡るが、本稿の内容に直接関係する部分として、以下の指摘について対応したい。

この記述について、本稿では以下のように当初記述した。

https://wirelesswire.jp/Inside_Out/201407011700-5.html

事務局はこの〈準個人情報〉を、識別非特定情報をできるだけ使うための手段として、推進したかったようだ。提案段階では、現行法にある本人同意や通知などを求める義務を課さずに、これらの情報を利活用できるようにしたい、との意向が示された。

しかしながら、先般まとまったパーソナルデータ大綱の中では、〈準個人情報〉は一切触れられていない。現行法の個人情報との峻別が困難であることや、SUICAのデータ外販のインシデントの分析を受けて、そもそも〈準個人情報〉に関しても取扱いを慎重にすべきであることといった、指摘や懸念が明に暗に示された結果、この概念自体は大綱には取り込まれなかったのだ。

私が本稿で「事務局はこの〈準個人情報〉を、識別非特定情報をできるだけ使うための手段として、推進したかった」と記述したのは、関係者との対話の中でそうしたニュアンスを感じたことに加え、今春開催されたイベント「BigData Conference 2014 Spring」 の講演で、パーソナルデータ検討会の技術検討ワーキンググループ主査を務められた、佐藤一郎教授(国立情報学研究所アーキテクチャ科学研究系)が、

準個人情報については「個人情報の定義にグレーゾーンがあり、企業が萎縮している」現状を改めるために、2つの方法が検討されたという。「今の個人情報の定義そのものを見直す方法。現状の定義は変えず外付けで新たに増えた情報を付け足す方法。どちらも損得あるが、今回は後者を選んだ」。その理由として、定義を見直すと、これまでの定義に基づいた企業と個人、または企業同士の同意を、すべて取り直す必要が出てくるからだ。また、現在の個人情報保護法には致命的な問題が生じていないため、それをベースにすべきという判断もあったという。

そして新たに追加される定義として提案されたのが「準個人情報」だが、そのメリットとは「個人情報とそうではない情報の中間に位置するグレーなものを明確にする」ことと「目的外利用を緩く扱い、目的変更を個々人に通知しなくても公表で良いことにする」ことにあるという。準個人情報は、さらに3つのカテゴリに分けて定義されているが「事務局案でも完全に定義し切れていない」と、これから議論を詰めていく必要があることをアピールした。

と言及されたことを受けての認識であった(上記の詳細記事は、日経ビッグデータ2014年6月号に全文が掲載されているので、詳細はそちらを確認されたい)。

しかしながら、同講演での議論は今春に事務局から発表された当初の第一印象を受けたものであり、その後の検討会の議論での精査を必ずしも反映したものではなかった。弊社のスタッフが検討会をほぼ皆勤で傍聴していたこともあり、また委員の一部の方々と意見交換を断続的に行っていた立場から、私も「分かったつもり」になっていた可能性は否定できず、高木氏の指摘も理解できる。またSUICA事案の検討会における位置づけも、それと同様、私の理解が正確でなかった可能性がある。

それを踏まえ、本稿を以下のように訂正した。

事務局はこの〈準個人情報〉を、「個人情報の定義にグレーゾーンがあり、企業が萎縮している」(技術検討ワーキンググループ主査を務めた佐藤一郎・国立情報学研究所アーキテクチャ科学研究系教授)という課題を解決する一助として、識別非特定情報と個人情報の峻別をより明確にすべく、推進したかったようだ。

しかしながら、先般まとまったパーソナルデータ大綱の中では、〈準個人情報〉は一切触れられていない。〈準個人情報〉の議論を通じて、準個人情報として例示されたデータと個人情報の峻別が明確になったこと、またそれを踏まえて準個人情報であっても取扱いを慎重にすべきであることといった、指摘や懸念が明に暗に示された結果、この概念自体は大綱には取り込まれなかったようだ。

誤解のないように改めて申し上げると、本件を巡り、高木浩光氏と佐藤一郎氏のどちらが正しいのか、ということを議論するような意図は、少なくとも私にはないし、読者諸氏もご遠慮いただきたい。また私自身の責任をすり替えるつもりもない。

一方で、パーソナルデータ検討会の結果は、ともすると逐一動向を把握していないと理解できない(あるいは間違える)可能性のある状態にある、という印象を、少なくとも私自身は拭えない。これは、議論が詳細化かつ高度化した結果、概念の定義や操作が必要となったことの副産物といえるのかもしれない。

だとしたら、高木氏からの指摘のように、より建設的な討議を繰り返し、理解を深めていくよりほかに、正しく合意形成を進めていく方法はないだろう。今回パーソナルデータ検討会(特に親会)が、事実上のプラチナチケットではあったものの公開の会議として開催されたのも、事務局をはじめ委員の多くがそうした必要性を感じていたからではないだろうか。

私自身、またどこかで間違える可能性も否定できないが、引き続き検討と議論を重ね、パーソナルデータ法改正をより実りあるものとすべく、仕事をしていきたい。

WirelessWire Weekly

おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)

登録はこちら

クロサカタツヤ(くろさか・たつや)

株式会社企(くわだて)代表。慶應義塾大学・大学院(政策・メディア研究科)在学中からインターネットビジネスの企画設計を手がける。三菱総合研究所にて情報通信事業のコンサルティング、次世代技術推進、国内外の政策調査・推進プロジェクトに従事。2007年1月に独立し、戦略立案・事業設計を中心としたコンサルティングや、経営戦略・資本政策・ M&Aなどのアドバイス、また政府系プロジェクトの支援等を提供している。