WirelessWire News The Technology and Ecosystem of the IoT.

by Category

事業者が適切に個人情報を利用するなら同意は不要(後編)【インタビュー】崎村 夏彦氏 (野村総合研究所上席研究員)

テーマ5:「わかりやすい同意」とは何か?

2014.11.28

Updated by 特集:プライバシーとパーソナルデータ編集部 on November 28, 2014, 13:30 pm UTC

「同意」のあり方が、改めて問われている。事業者は消費者に対して、説明するだけでなく、消費者の声を聞く必要がある。一方の消費者もインシデントに対して声を上げるだけでなく、データ流通について学ばなければならない。私たちは、好むと好まざるに係わらず、自分に関する情報を放出しながら生活しており、すでに一部では社会問題やトラブルになっている。このような状況で私たちはどのように考え、対応すべきなのか。国際標準や経済産業省によるガイドラインの策定に係わった、野村総合研究所上席研究員の崎村夏彦氏に、現在の「同意」の課題と解決に向けた議論の現状について伺った。

201411271130-1.jpg

データが利用されることで消費者の利益にもなる

──データが利用される、ないしは利用されないことによる、メリットとデメリットがあります。消費者からの情報提供に同意を得る取るためには、メリット・デメリットを可能な限り誠実に説明する必要があります。しかし、現状はその説明が「過ぎたるは及ばざるが如し」の状態になっている面もあるようです。

崎村:そうした可能性はあり得ます。多くの事務的な手続きは、データ最小化の原則で問題ないでしょう。でも、観測によって得られる個人のデータを使って、個人のためになることも十分に考えられる。そこまで縛ってしまうと、データ利活用によって社会や経済活動を改善していくという主旨からは、かなり大きく外れてしまうわけです。

──消費者からの信頼感を損なわず、サービスの可能性を広げるには、どうすればいいのでしょうか。

崎村:まずはきちんと管理して、事業やデータ管理に関する透明性を担保した上で、データを使っていくという仕組みを、社会として備えるべきだと思います。

──その一方で、10月にモーリシャスで開催された「プライバシーコミッショナー会議」の資料を見ると、「同意さえ取得すればいい」というように、押し込めてしまっているようにも感じました。

崎村:データの利用と保護の間で取るべきバランスをすべて「同意」という言葉に押し込めてしまっているのではないでしょうか。そうした観点から、同意の定義をもう一回、考え直すべきだと思います。

私は以前から、プライバシー影響評価(Privacy Impact Assessment:PIA)をきちんとやるべきだと主張していますが、その背景には「データを使っても良いが、その使い方はデータサブジェクト、すなわちデータの対象となる個人にとって、便益のある使い方だけにすべきだ」という考えがあるからです。

データサブジェクト、すなわちデータを提供した消費者や市民に害のあるような使い方をしないと、事業者は公に宣言した上で、データを利用すべきなんです。その考えに立脚すると、実はデータ利用に際しての匿名化や非識別化というのは、実は危険でもあります。

===

匿名化によって透明性が損なわれるパラドクス

──匿名化は、利用者の安心感を高める手段、ではないのでしょうか?

崎村:データの取扱いを静的に考えるなら、そうかもしれません。しかし現実は、様々な利活用シーンの中で、データはその形態も所在も、ダイナミックに変化するのが、プロファイリングの現実です。そうなると、なまじ匿名化をすることで、かえって利用者から見て透明性がなくなるかもしれないのです。

データの利用についての考え方は人それぞれで、利用されても良いという人もいれば、ダメだという人もいる。途中で考えが変わることもあります。その時に、非識別化されていた場合、データの中から自分のデータだけを消すことはできません。それをするには、元のデータからその人のデータを削除した上で、再び非識別化してデータセット全体を用意し直す必要があります。それは現実的ではありません。

それよりも「消費者に害をなす使い方はしない」と宣言をした上でデータをそのまま使い、その利用において透明性を確保し、「嫌だ」という人がオプトアウトできるようにすべきなんです。だからむしろ、個人情報は個人情報として、パーソナルデータはパーソナルデータとして、それぞれ適切に使った方がいい。なんでも匿名化すればいいというものではないはずです。

データを取得するところで制限するというのは、あくまでも手段のひとつです。その手段に拘泥してしまっていて、目的を忘れているように思います。最終的な目的は、データサブジェクトである個人に害がない、なおかつ利益があるようにすることのはずです。

PIAによってステークホルダーに意見を求める

──難しいのは利害についてのコンセンサスではないでしょうか。利益に関しては金銭的価値や優遇措置、あるいは信用創造など一定の基準を設けやすいかもしれません。しかし損害については、明らかに刑法に抵触するというもの以外は個別判断が必要で、それゆえに民事訴訟の不法行為に関する判例の蓄積が参照されますが、パラダイムが変わるとなると、そう簡単な話ではありません。

崎村:そこで必要なのがPIAです。PIAにおいてステークホルダーを特定して、意見を求める必要があります。そこでは市民や消費者が最大のステークホルダーですから、そうした一般人基準を定めることが必要です。

──日本において民間事業者のサービスに対するPIAは、どの程度浸透していますか。

崎村:まだまだですね。番号制度、いわゆるマイナンバーにおいては公的機関にはPIAが義務づけられましたが、これは本来のPIAとは異なるものですから。民間サービスのPIAについては、ISO/ICE 29134などでガイドラインとして出せればよいと考えています。

基本はデータサブジェクト、つまり本人に損害がないようにというところです。多くの企業でリスクマネジメントに取り組んでいますが、ほとんどの場合はデータを取り扱う企業の側のリスクマネジメントになりがちです。ですが、本当にすべきなのは、データサブジェクトのリスクマネジメントです。

私は、消費者向けのサービスを提供するときは、必ずPIAを実施すべきだと思っています。そうすることで、事業者側も炎上リスクを大きく下げられるはずです。

===

非識別化データではオプトアウトできない

201411271130-2.jpg

──消費者(データサブジェクト)にとっての本当のリスクはなにか、というところまで議論があまりなされていません。また、第三者提供についても匿名化することで問題ないとされていますが、完璧な匿名化は存在しません。しかし、匿名化によって事業者が免責されるかのように語られてしまいがちです。

崎村:非識別化して第三者に提供した場合、完璧な非識別化技術はないので、提供先で再識別化される可能性が残ります。第三者には、善意の人もいれば、悪意を持った人もいるわけで、この悪意を持つ人にこそ注意を払うべきです。「非識別化」したからと言って、誰にでも提供して良いと考えるのは早計です。

また、非識別化してしまうと、元になったデータへさかのぼってオプトアウトし、非識別化したデータの中から自分のデータを消すことは、原理的に無理な話だということにも注意が必要です。

非識別化されている訳ですから、オプトアウト申請を受けても、どのデータを消したら良いのか、データ提供元には判らないわけです。それが判ったら、そもそも非識別化できていないことになります。ここにパラドックスがあります。

したがって、非識別化データでオプトアウトを実現するためには、オプトアウトのたびに生データを非識別化して、データセット全体を提供先に渡す必要があります。提供された側も、そのたびにデータを入れ替えなければならない。これは現実的ではありません。

──データフローの中に自分のデータがあった時、そのデータを削除したり、修正したりするためには、そのデータが自分に関するものだと判る必要があります。だから識別性が必要なんですね。識別性があって、初めてデータフローの中で自分の情報を制御できる。

そうした事実を事業者側と消費者側の両方が理解し、対応するためには、従来のような同意では難しいわけですね。何に対して、どのような同意を取るのか、そしてその具体的な手続きも考えなければなりません。

崎村:そうした意味もあって「通知と同意」はセットになっているんです。ビッグデータ時代には、消費者側が意図せずにデータを取得されてしまう。そして、事業者側は取得したら、まずは通知しなければなりません。

しかしすでに私たちは、SNSやスマートフォンの台頭もあり、日常的に情報を「垂れ流し」ながら生きています。このような状況下において、データ取得前に同意を取りきるというのは、現実的ではありません。

私個人としての考えですが、情報の取得、利用、保存というフローの中で、取得ではなく利用や保存の段階で対応するのが現実的だと思います。利用に関しては、データサブジェクトに対して損害をもたらなさないことを吟味して、損害がなく便益があると場合はオプトアウトでもよく、疑わしい場合にはオプトインというように基準が設けられるはずです。そして、便益と損害の判断に関しては、PIAを実施してステークホルダーの意見をきちんと聞くべきでしょう。

──事業者だけでなく、消費者などサービスに係わるあらゆるステークホルダーをきちんと想定して、利害調整をしていくことが、新しい時代の同意なんですね。ただ、すべての事業者がひとつひとつ、ひとりひとりの利害調整までやらなければいけないのは、ハードルが高いのではないでしょうか。

崎村:多くの場合、一般的な基準を設けることができ、一般的な人ならばそれで対応できます。その基準に当てはまらない人は例外として扱えば良く、オプトアウトで対応すればよいのです。

例えば「住所」は、多くの場合は公開してもあまり損害がない情報ですが、ドメスティックバイオレンスの被害者にとっては生死に関わる情報です。一般人の基準ではダメな人たちもいるので、そういう人達のケアは絶対に忘れてはいけない。

===

私たちはデータに対する心構え学ぶ必要がある

──そうした基準を設けるためには、利用者が「データは流通するもの」という前提を共有することが必要になって来ます。

崎村:経済的な価値を持つものが流通するのは止められません。禁止すれば地下に潜り、アングラビジネスになります。それよりも、流通していることによる経済的な利益が、すでに私たちの社会にあるということを明示しないといけません。

そのためには中学や高校生くらいから学校で教えるべきかもしれない。データがどのように流通しているのか。同時に、事業者側も、もっと丁寧に説明すべきです。

今回の経済産業省のガイドラインに対しても、「そんなことをしたら、怖がって誰も同意してくれなくなる」という抵抗感を覚える事業者もいるでしょう。ですが、もしそうした認識だとしたら、そもそもその事業者のデータの取り方が誤っているんです。極端に言えば、騙しているようなものです。

──無関心層が過剰に反応してしまうことを恐れる事業者は多いです。

崎村:多くの人は忙しく、プライバシー問題に関心を持ち続けることは難しいです。でも、そういう人達がふと気がついたとき、疑問を感じたときに、きちんと説明を得られることが大切です。

教育は時間がかかります。今から始めないといけませんし、その成果が社会に浸透するまでに何十年も掛かります。そういった意味では、第三者機関ができるというのは、大きな意味があります。

一般の人達は、トラブルに遭遇したときに、それがどんな結果をもたらすのか説明を求めます。その時に第三者機関があって、きちんと説明を求めることができるのは大きなことだと思います。

WirelessWire Weekly

おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)

登録はこちら

特集:プライバシーとパーソナルデータ

情報通信技術の発展により、生活のあらゆる場面で我々の行動を記録した「パーソナルデータ」をさまざまな事業者が自動的に取得し、蓄積する時代となっています。利用者のプライバシーの確保と、パーソナルデータの特性を生かした「利用者にメリットがある」「公益に資する」有用なアプリケーション・サービスの提供を両立するためのヒントを探ります。(本特集はWirelessWire News編集部と一般財団法人日本情報経済社会推進協会(JIPDEC)の共同企画です)