自主規制と第三者機関

プライバシーの「ググレカス」を出現させないために

テーマ7:自主規制と第三者機関

2015.04.15

Updated by 特集:プライバシーとパーソナルデータ編集部 on 4月 15, 2015, 12:22 pm JST

まず、瀬戸洋一先生(産業技術大学院大学)のインタビュー記事の掲載中断と改訂について、掲載に向けたバージョン管理が不十分だったため、誤ったバージョンを掲載してしまい、瀬戸先生や読者の皆様にご迷惑をおかけしたことをお詫びします。

そして、恥の上塗りではありますが、実はその改訂作業を通じて、今回取り上げたテーマの背景にある問題の根深さに、編集部としても改めて思いを至らせることができました。

今回のテーマで取り扱った、第三者機関やプライバシー影響評価(PIA)は、社会の高度化によって複雑化した、個人情報やプライバシーに関する問題解決の改善を目指した取り組みだといえます。前者がワンストップかつ総合的な判断を、後者がその課題を整理し合意形成するためのコミュニケーションを、それぞれ担うということです。

宮下先生(記事参照)と瀬戸先生(記事参照)のインタビューでそれぞれ触れられているように、たとえば第三者機関には、法学的な知見だけではなく、技術や産業の動向についての深い理解が必要です。またその判断には、人権という概念が前提とするような「人間に対する深い理解」が求められますし、プライバシー保護や産業振興といった、場合によっては対立しうる価値観も、どちらかに肩入れすることなく相対化して取り扱わなければなりません。

言うまでもなくこれは、法律論を否定するものではありません。それどころか、プライバシー侵害に関する民事訴訟等で積み上がった判例、すなわちこうした問題をこれまで法がどのように扱ってきたのかを読み解くことが、その前提となるはずです。プライバシーはどのような権利として認められるのか、という「そもそも論」からも分かるように、むしろ法学的な検討は問題解決における基礎の一つとして不可欠といえます。

しかしながら産業界の一部には、こうした法律論を極めてテクニカルな存在として受け止めるあまり、結果的に法律に示された内容を表面的にしか理解しないまま、事業開発を進めてしまうということが、いまだに散見されます。

ただ、これは法律論に限った話ではありません。技術論も同様ですし、あるいはマーケティング論だって似たようなものかもしれません。それらの背景にある「人間をどう考えるか」という本質への理解に至らず、様々な判断を誤ってしまうのでしょう。

では、問題解決に至らない原因は、そうした理解の浅さにあるのでしょうか。もちろんそうした面は否めません。しかし、そこまで浅はかではなく、あくまで良心的に事業を進めたいと考えているにも関わらず、法律、技術、マーケティングのそれぞれが、あまりに検討が高度化したために、より正確な理解が得られにくくなっているのも、一面の現実です。

たとえば瀬戸先生のインタビューでも触れられた、JR東日本のSUICAのデータ外販に関する問題をケースに考えてみましょう。個人情報の定義を「識別性」やそれを踏まえたPII(個人識別情報)という概念に立脚し、その上で事業者が「匿名化」と当初主張した、「物販情報等を削除し、SuicaID番号を不可逆の別異の番号に変更」されたデータを吟味すると、識別性が高まる可能性があり、現行法に照らして違法性が強まるのではないか、という指摘があります。

この指摘には一定の合理性もあり、また「個人情報とは何か」という理解を深めるには、非常に意味のある検討であったといえます。実際、パーソナルデータに関する検討会も、この議論を踏まえた形で検討が進みました。またJR東日本も「Suicaに関するデータの社外への提供について〜中間とりまとめ」という報告書(PDF)の中で、

今後、技術の進展に伴い、特定の個人が識別され新たな問題が生じる可能性も考えられるため、今後とも継続して最善と考えられる配慮を行うべきである。

と触れているように、概念や技術の変化に伴い、不断の検証が必要であるという問題提起が公のものになったことは、画期的と言えるでしょう。その一方で、同報告書では違法性の判断について、

JR 東日本が現行法において、合理的と考えられる範囲での法の解釈運用に努めていたことは認められるが、個人情報の定義における特定の個人の識別性の論点については、専門家の間でも解釈に幅があり、また、現在、法改正が検討されていること等の状況にあるため、今後の立法化の動向にも注視していく必要がある。

との見解を示すに留まっています。同報告書をとりまとめた有識者会議の構成員を務めた専門家であっても、個人情報の定義や匿名化手法の妥当性、さらには本件の違法性について、判断を下すには躊躇する状況であるといえます。こうした状況で、事業者が適切な判断を下すのは、容易ではありません。

個人情報やプライバシーに関する検討が高度化し、要素そのものやその組合せが複雑化する中、たとえばSuica問題を判断する際、「何が定義や基準なのか」を明らかにして、「それを達成するためにどのような手法が妥当なのか」を見出すという、様々な理解の積み重ねを、事業者も生活者も継続しなければなりません。しかしそこには高度に専門的な検討が必要だとすると、それには「理解を促進するための支援ツール」が必要です。

そうした状況を改善しようとするツールの一つが、PIAの本質なのかもしれません。PIAが目指すのは、法的な判断を下すことではなく、法的な理解を基礎にした上で、それが私たちにどのような影響を及ぼしうるのかを理解・判断する手段のはずです。すなわち、法律や技術やマーケティングといった、システムやサービスを構成する要素や背景の理解を支援するものといえます。

もちろん、PIAとて万能ではありません。ただ、すでに準備が進んでいるツールの一つでもあります。少なくともPIAが目指している「より分かりやすい理解や判断」を実現することは、事業者や自治体はもちろん、生活者にとっても大きな意味があります。

かつて(あるいはいまでも)インターネットには、「分からないことは自分で調べろ、調べられないならば去れ」といった文化がありました。しかし現実は、調べたいことの調べ方が分かるためには、相当に高度な知性や見識を必要とします。

個人情報やプライバシーが重要視されるようになる一方、今後設立されるであろう第三者機関は、当初は十分な機能が期待できない可能性もあります。だからこそ、「ググレカス」という文化を超えた、理解の促進とそれに基づく合意形成が、より多くの人に必要なのではないでしょうか。

WirelessWire Weekly

おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)

登録はこちら

特集:プライバシーとパーソナルデータ

情報通信技術の発展により、生活のあらゆる場面で我々の行動を記録した「パーソナルデータ」をさまざまな事業者が自動的に取得し、蓄積する時代となっています。利用者のプライバシーの確保と、パーソナルデータの特性を生かした「利用者にメリットがある」「公益に資する」有用なアプリケーション・サービスの提供を両立するためのヒントを探ります。(本特集はWirelessWire News編集部と一般財団法人日本情報経済社会推進協会(JIPDEC)の共同企画です)

RELATED NEWS