7月21日に「個人情報保護法改正の先を考える」と題して、JIPDEC主催の情報交流会が開催された。交流会では個人情報保護法改正案を検討するために設置された「パーソナルデータに関する検討会」での検討の振り返りに加え、改正法施行後のデータ越境の扱い、特にアメリカ・ヨーロッパとの制度整合を整理しつつ、特に今後ビジネスを行う上での課題と必要と思われる措置等について、意見交換が行われた。登壇者の松本泰氏（セコム株式会社IS研究所）、小泉雄介氏（株式会社国際社会経済研究所）、クロサカタツヤ氏（株式会社企）の発言から、当記事を構成する。

前回（1）につづいて本稿では、今後事業者等による利活用が進むことが予想される匿名加工データについて先行した医療等分野をケースに検討を進める。

クロサカ：
「仮名化で十分なの？」という議論では、今回のパーソナルデータ検討会の議論そのものの下敷きにもなっている、JR東日本のSUICA問題（参考：JR東日本による有識者会議の中間とりまとめ）が思い起こされます。ユニークIDを切り落としただけでは、別の情報と組み合わせることによって、特定に近い水準まで識別性が高まり、現行法の示す個人情報に該当するのではないか、という指摘です。

その議論を踏まえた今回の法案では、仮名化はある条件においては有用だと思いますが、仮名化で十分なのかは、どのようなデータと組み合わせて、どのような解析をするのか、諸条件によって変化すると考えるのが妥当ではないでしょうか。

さらに言えば、目的を明確に定めない限り、手法やデータの状況に応じて、常に揺れ動いてしまうものだと考えておいたほうが、事業者としては安全であり、かつプライバシーインパクトを下げると考える必要があるのではないでしょうか。

医療等分野は仮名化データ利用の先行分野

松本：
少し難しい話になってしまいますが、個人識別符号の話も実は複雑で、準識別子※1の組み合わせについても議論が必要です。準識別子を組み合わせたらkの値が1になってしまうk−匿名性※2の議論など、今回の改正の議論では出てきていないのですよね。

※1準識別子：直接個人を特定できる識別子でない属性であっても他の識別子でない属 性と情報を組み合わせることによって識別子と同じ働きをする可能性があるもの。
※2k-匿名性： 同じような属性のデータサブジェクトが複数存在する状態。このときデータサブジェクトが5人存在すると、k=5の匿名性が存在する、ということになる。

一方で、仮名化を否定されると困る部分もあります。私は、個人情報の2次情報が一番利活用されている分野は医療等分野だと思っています。医療情報を仮名化（連結可能匿名性）した2次情報が既にかなり利用されています。

現行法制定以前、医療分野ではEBM （evidence-based medicine）※という概念が 90年代後半から主流の考えとなり、医療データの利活用は他分野に比べ進んでいると言えます。利活用が必要というだけあって、その監督官庁である厚生労働省の個人情報のガイドラインにおける匿名化の定義は、他分野とかなり異なったものになっています。

※EBM：（Evidence-Based Medicine）根拠に基づいた医療。

今回法改正に伴って、監督官庁が分野ごとにガイドラインを策定し指導してきた主務大臣制から、個人情報保護委員会による一元管理に移行する際にも、仮名化は外せないだろうと、私は理解しています。医療等分野で実際に使われているという現実を、阻害するべきではないからです。

それに、医療等分野は進んでいるだけあって、歯止めの仕組みもそれぞれ今まで作ってきたはずなのです。医療分野の個人情報保護法の特別法も検討されていることも相まって、個人情報保護委員会がここをどう受け止めるかというのはなかなか難しい問題です。

しかし、一方で分野ごとの違いを特別法等でカバーするというのは、もう時代にそぐわない、という考えもありますね。医療等分野の場合、次にやらなければならないことのひとつは予防医療だと思います。予防医療のためには、従来の医療情報だけ集めるだけではなく、生活の中の様々な情報と組み合わせることが必要になります。こうしたことが要望される時代に医療等分野だけに個別のルールがあるというのは、よくないかもしれません。

こうしたことの解決には、分野横断でデータを「使うため」のルール作りに取り組まないといけないと思います。

松本泰氏

個人に戻せるデータが必要な瞬間もある

クロサカ：
医療分野でのデータ利活用は、他の分野と異なり、個人情報に関して価値観が全くひっくり返る瞬間があります。現場では患者の命を救うことが目的なので、ある瞬間では情報によって個人が特定されなければならない、ということです。間違った人に間違った処置をしたら、治らないどころか医療事故ですからね。

それに、例えば病歴や薬歴、あるいは薬剤で生じた過去の副作用の情報が分かることで、新たな解決法を適用して治る可能性が出てきた際に、その患者を特定できないと、治療の機会を逸してしまいます。

一方で、マーケティング活動、ターゲティング広告の分野だとあまりターゲティングされ過ぎるのは嫌だという人がいます。この2つを同列に議論することはできないので、ケース・バイ・ケースで追いかけていかないといけないのでしょう。

しかし、それを全て個人情報保護委員会だけが1つ1つ判断していくというのは、結構しんどい話でもあります。なにしろ、これまでの主務大臣制において、監督官庁にはその分野をよく知る人がいたわけですから。にもかかわらず、個人情報保護委員会は、従来の各省庁の方々よりもはるかに少ない規模で運用される状態が当面続きます。

ワンストップであるということは意味があるかもしれませんが、逆にそこがボトルネックになってしまう可能性も十分考えられます。どのように委員会を育てていくのか、ステークホルダー全体で考えていかなければなりません。

匿名加工情報はプライバシー側に問題の範疇を拡張しているともいえる

クロサカ：
企業の責任がどのように変化するかも、少し考えておきたいと思います。

この話をすると驚かれる方もいるのですが、現行法の制定に尽力されたある高名な研究者にお話をうかがったところ、当時はプライバシーという広くて不定型な領域の中で、あえて個人情報を限定して定義して、その管理責任を明確にすることで、むしろ個人情報の安全な利活用に資すると考えていたそうです。

匿名加工情報も、そうした意識で本来は検討されていたはずです。だからこそ、個人情報の外側にあるものとして、設けられたのでしょう。匿名加工情報は個人情報保護法の外側だから、プライバシーインパクトの低い、使い勝手のいいデータとして、位置づけようとしたのではないかと思われます。

しかしよくよく考えてみると、個人情報と（民法上の）プライバシーの関係で考えた時に、個人情報ではない以上、匿名加工情報はむしろプライバシー側に問題の範疇が拡張していっているとも言えます。

匿名加工情報が、個人情報の「管理責任」とプライバシーに関する「説明責任」の両方の責任を問われるリスクがあるようにも見えるともいえます。下手をするとどんどん責任ばかり重くなりそうです。

それを取りまとめるのが、認定個人情報保護団体なのでしょうが、そうした団体と目的や手法を具体化していくことによって、本当に個別に使い勝手が上がっていくのでしょうか。

レピュテーションリスクではなくプライバシーインパクト

松本：
ちょっと難しい質問ですね（笑）。個人情報の幅が広がるとなれば、企業の側からすると心配ですよね。企業側にとって一番のインパクトは、やはり情報漏えいですが、実体的なプライバシー侵害というよりは、レピュテーション（風評・評判）のリスクです。

レピュテーションリスクがコントロールできないために、例えば暗号化したバックアップのファイルがなくなっても公表しなければいけないといった、本質的なプライバシーインパクトと関係が薄いところでリスクを背負っているところに違和感があります。

本質的なプライバシーインパクトとレピュテーションリスクでは、企業が背負うリスクにどうしてもギャップがあります。そのギャップを埋めるような制度化が図られなければいけないなと思っていまして、そういった観点からプライバシーインパクトに応じた通知義務を課すような方向にヨーロッパでは制度が設計されつつあるように見えます。

関連して、今回の個人情報保護法改正の話では匿名加工情報が漏えいしたときの検討は十分なされていません。この点については、個人情報と匿名加工情報の定義のほうから、保護のための義務を課すような方向にいっていますが、これには、これまで説明したとおり、無理もあります。簡単ではありませんが、本来は、プライバシーインパクトに応じた保護こそ、なされるべきです。

プライバシーリスクの評価活動の不足

クロサカ：
プライバシーインパクトやプライバシーリスクの評価は、欧米いずれも基本的な考え方の1つとして、事業者も保護団体も取り組みを続けてきた領域です。日本ではこの領域はかなり遅れていると私は思っていて、もっとプッシュしていかなければ、企業活動そのものの首を絞めていくことになりかねないと思っています。

クロサカタツヤ氏

認定個人情報保護団体※が業界を束ねていくということが、今回の法制度の枠組の中に入っていますから、求められる1つの役割として、それぞれの業界の団体がデータの使い方を明確に自己定義していく中で、インパクトをできれば定量的に、少なくとも定性的で明確になるような形で評価を行い、対外的にコミュニケーションしていくという営みを続けていくしかないのでしょう。そういったことを続けながら、「次の次の法改正」ということまで少し考えるということが必要なのかなと思っています。

※認定個人情報保護団体：保護法の適用を受ける事業者が、個人情報の適正な取扱いを確保するための自発的な取組みを促進させるために、個人情報保護（現行）法第37条の規定に基づいて主務大臣から認定を受けている団体。（団体一覧）

［（3）に続く］