「パーソナルデータの利用・流通に関する研究会 報告書(案)」への意見

2013年6月5日
                   一般社団法人 情報処理学会
                      会 長  古川 一夫
 
 
 以下のとおり、2013年5月31日付で意見書を提出しましたので、ご報告いたします。
 
(協力:データベースシステム(DBS)研究会,デジタルドキュメント(DD)研究会,
  電子化知的財産・社会基盤(EIP)研究会)



2013 年5 月31 日
総務省情報流通行政局
情報流通振興課情報セキュリティ対策室 御中

一般社団法人 情報処理学会
会長 古川 一夫

「パーソナルデータの利用・流通に関する研究会」報告書(案)に関し、下記のとおり意見を提出しますので、宜しくご査収ください。

 
 「パーソナルデータの利用・流通に関する研究会」報告書(案)(以下、本報告書案という)では、プライバシー・コミッショナーの設立を必要なゴールと認識した上で、パーソナルデータを明確に定義し、「保護されるパーソナルデータ」の範囲を検討し可能な取組みを示している。本報告書案公表後に、内閣官房IT戦略本部『世界最先端IT国家創造』宣言(案)が公表され、「パーソナルデータの利活用のルールを明確化した上で、個人情報保護ガイドラインの見直し、同意取得手続きの標準化等できるだけ早期に着手し、第三者機関の設置を含む、新たな法的措置も視野に入れた、制度見直し方針を年内に策定する」という考えが示されている。概ね、本報告書案と歩調を合わせたものであると理解する。

我が国の個人情報保護制度は、現在、具体的なデータ利用の可否について制度として踏み込み得るものになっていない。国際的な議論の動向も踏まえれば、我が国の個人情報保護制度について、第三者機関の設立を含む実効性のある見直しが可及的速やかに必要であることは明らかであり、我が国独自の考え方も打ち出しつつ、国際的な調和にも対応すべきである。また、ビッグデータ時代において、パーソナルデータの利活用は、グローバル化が進んでいる今日、我が国の情報技術の進展と各種産業の競争力強化に不可欠であり、現在行われようとしている制度改正の方向性に賛成する。

しかしながら、本報告書には検討が必ずしも十分でないと感じる点があり、以下に意見を述べる。

1.「パーソナルデータ」の保護、利用に関して

ビッグデータビジネスは従来のプライバシー保護の対象とは考えられてこなかった断片的な情報を大量に収集分析することで消費性向などを把握しようという要素がある。本報告書では、ビッグデータに対して何らかの安全な範囲を定義するためにプライバシー保護という基準で線引きをするという考え方を導入し、個人と結びつけることができるか、という基準で安全な範囲を定義しようとしている。しかし「個人識別性」の定義があいまいなため、安全な範囲を先立って定義することができない。すでに、先般、先の論点整理に対する意見募集( http://www.soumu.go.jp/menu_news/s-news/02ryutsu02_03000107.html、平成25 年4 月8 日)で、産業技術総合研究所 セキュアシステム研究部門 セキュアサービス研究グループから「個人識別性」の定義があいまいなままであると指摘されているが、その結果は文面をそのままに「実質的個人識別性」という言葉に置き換えとなっており、問題の解決に至っていない。

厳密な定義を与えることが困難であることは理解できるが、具体的な事例(妥当な利用とそうでない利用)を列挙することなどで何を安全な範囲とするのか示したほうが良い。

例えば、Web 上に個人自らが一般公開した「パーソナルデータ」をとりあげる。本報告書のパーソナルデータの定義によれば、Web 上に個人自らが一般公開した情報もパーソナルデータの範疇に入り、「一般パーソナルデータ」に区分されると考えられる。一般パーソナルデータでは、取得の際の経緯に沿った扱いである場合、一般的には明示的な同意は不要であるが、取得の際の経緯に沿わない取り扱いについては、原則明示的かつ個別的な同意が必要となるとしている(P.27-28)。しかし、本人の明確な意図で一般に公開された情報(例えば、Web 上での各個人のホームページやブログなどで公開されている情報)を対象とした各種解析サービスを行う場合にも「個別的な同意が必要」とするならば、既に存在するサービス(例:spysee.jp)を否定することになりかねない。つまり、Web 上で個人自らが公開した情報(※)については、「個別的な同意は不要」とした上で、当該個人からの削除要求など本人の関与の機会の確保を行えば十分であるとするのが適当であると考えられる。

(※)当該個人は自身のパーソナルデータを個人のHP やブログという形で公開することが意図であり、解析されることを意図して公開したとは考えられず、本報告書が前提とする「取得の意図」とは異なる意図となる。

2.「パーソナルデータ利活用」に関する第三者機関の検討に関して

第三者機関の検討に当たっては、番号法の附則第6 条における、特定個人情報保護委員会の所掌範囲に関する見直しの検討と併せて行い、制度の整合やリソースの合理的活用の観点から、第三者機関を統合した制度設計を図るべきである。

本研究会や、これに先立つ消費者庁「インターネット消費者取引研究会」でも、第三者機関の必要性について言及されているが、議事録や報告書案を見る限り、機関の役割について合意が出来ていないように思われ、パーソナルデータ取得側が判断をあおぐ機関としての必要性には疑問がある。また、「我が国の実情や法制度を踏まえた、我が国におけるプライバシー・コミッショナー制度」であれば第三者機関を立てることの意味が薄い(現状の法運用状況にすりあわせる必要があるので、法運用の専門家で構成したほうがよい)と思われる。

3.「パーソナルデータ利活用」の推進に関して

本報告書案では、制度的な対応に先立ち基本的な理念及び原則の明確化と具体的なルールの設定・運用が提唱されている。可能な対応から行うというのは現実的な対処策ではある。しかし、このようなルール作りはその性格上エンフォースメントを原則として伴わないため、(1)データを利用する主体のポリシーによって不公平が生じかねないこと、(2)ルール遵守に対する態度にばらつきがあると情報主体の安心も損なわれること、(3)オンラインのデータ中心の検討であれば、本来、データ利活用においてはオフラインのデータと合わせた資源利用となり、「パーソナルデータ」の概念がどこまで適応されるか不明であることが懸念される。あくまで、制度改革に向けたコンセンサス作りの一環であると位置づけるべきである。実効性が曖昧なガイドラインを増やすべきではない。

なお、本報告書案では、主に産業分野での利用を念頭に置いた例が示されている。現行の個人情報保護法では、「大学その他の学術研究を目的とする機関若しくは団体又はそれらに属する者」が「学術研究の用に供する目的」で個人情報を用いることが適用除外になっており、アカデミックな立場からの利用は許容するという考え方が採られている。しかし、今後のパーソナルデータ利活用においては、産学官共同の利用がますます重要かつ活発になると考えられる。新たなルールを作る中で、境界領域における学術分野での利用が制約されたり萎縮したりすることがないよう留意して頂きたい。
以上

管理部門への問い合わせフォーム