<前の日記(2014年01月11日) 次の日記(2014年04月23日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 1093   昨日: 3601

2014年04月22日

緊急起稿 パーソナルデータ保護法制の行方 その1

昨年7月からブログには書かないことにしていた*1が、緊急事態であるので、政府のパーソナルデータ保護法制(個人情報保護法改正)の議論の状況についてに書いておきたい。本当は論文や講演の形で示していくつもりだったが、それでは間に合わない状況が発生中であるので、周知の目的で取り急ぎかいつまんで書く。副政府CIOの向井治紀内閣審議官とお話ししたところ、「ブログに書いたらエエやないですか。どんどん書いてください。」とのことであったので、それ自体書くことを含めて許可を得たところで書くものである。

先週、IT総合戦略本部の「パーソナルデータに関する検討会」の第7回会合が開かれ、「定義と義務」についての事務局案が示された。資料が公開されている。事務局案は、これまでの「個人情報」についての定義と義務は変更しないものとし、新たに「準個人情報」と「個人特定性低減データ」の概念を追加し、「準個人情報データベース等」「準個人データ」「準個人情報取扱事業者」、「個人特定性低減データ取扱事業者」といった用語を定義しようというものであった。この案に対し、会合では委員から次々と異論が噴出し、「もっと他の案はないのか」といった大元からひっくり返す意見をはっきり言う委員もいらした。この様子は、日経IT Proの記事「「準個人情報」など類型示す事務局案に異論相次ぐ、パーソナルデータ検討会」で報じられている。

こうした政府の検討において一般的にそうであるように、事務局は事前に有識者らにヒアリングをし、事務局案をその有識者らに直前にレク*2するものである。今回は私もその一人であるので、事務局案の問題点は直接事務局に言えばいいし、実際それができる立場にあるので、本来はこういうブログに書いて自説を主張する必要はない。しかし、個人情報保護法改正は、将来に大きな影響を残す重大な局面であり、多くの人々の意見を集約して決めて行く必要があるところ、あまりにも難解であるため、誰も本筋に迫る意見を出せない状況になっていることが懸念される。その上、今回の事務局案は、非常に詳細なところまで既に詰めたものが示されたため、世間の眼にはこれが既定路線と映り、意見が出てこない状態に陥る恐れがあるように思われる。実際には、先週の会合で最後に向井副政府CIOから発言があったように、そもそも6月予定の大綱自体ここまで詳細に決めてしまうものではないとのことであり、どんどん対案を出して欲しいとのことなので、まず事務局案を皆で理解するため、その材料を提供すべく私の理解を以下に示す。

事務局案は、まず大前提として、

  1. 個人情報の取扱いを現行のままとする
  2. 本人に係る事業者の義務は特定の個人を識別できる場合に限られる

ことを置いている。そこに見直し方針にあった「実質的個人識別性」の実現として「準個人情報」を導入し、FTC3要件に基づく提供の実現として「個人特定性低減データ」を導入するとどうなるか、それを演繹的に解いていった案となっている。その結論として導かれた義務は、事務局案資料の以下の図で表されている。

「本人を特定しないため義務なし」という記述があちこちにある。これの意味するところは、前記2.の「本人に係る事業者の義務は特定の個人を識別できる場合に限られる」という理屈から導かれている*3。一番下にある「§25-27」(開示・訂正・利用の停止の求め)が、「本人を特定しないため義務なし」となっているのは、特定の個人を識別する情報がないと(つまり「個人情報」がないと)、本人を特定することができないため、本人の求めに応じることは不可能であるという理屈*4である。確かに、現行法において「本人」は定義された用語であり、2条6項で「この法律において個人情報について「本人」とは、個人情報によって識別される特定の個人をいう。」と定義されているのだから、そもそも個人情報に対してしか「本人」は観念し得ない。

同様の理屈でもって、「本人」が出てくる現行法の義務のすべてについて、「本人を特定しないため義務なし」とバッサリ切っている*5。「本人」が出てくるのは、「本人の同意を得る」、「本人の求めに応じて停止」(オプトアウト)、「本人に通知」、「本人からの請求」(開示・訂正・利用の停止)である。

このようにバッサリ切った結果、重大な矛盾が生じている。図1の「§23 オプトアウト」のところの「準個人情報」についての義務が、「本人を特定して個人情報として同意を得るまたは個人が特定される可能性を低減する措置を施す」となっている。これはどういうことかというと、要するに、オプトアウトに応じる前提でもデータを元のまま提供するのは禁止ということである。

現行法では、特定の個人が識別されるもの、つまり個人情報であっても、本人からのオプトアウトに応じるのを条件に、本人の同意なく生データを提供できる(正確には、「提供してはならない」という義務が解除される)とされている(これ自体、ザル法と言われる所以であり問題だが)ところ、それよりもリスクが小さいはずの「準個人情報」について、同じルールでの生データ提供は認められず、「個人が特定される可能性を低減する措置を施す」つまり、「個人特定性低減データ」に変換して提供する義務があるというのである。具体的には、一つには、グローバルIDをローカルIDに変換*6することである。リスクの軽いデータの方が強い義務という逆転が起きている。

この規制が現実となると、現に行われつつある行動ターゲティング広告に障害をもたらすことになる。ここ1年ちょっとの動きとして、スマートフォンOSでは、広告識別子(Advertising Identifier)の仕組みが普及しつつある。元々はAppleが(UDIDを廃止する代わりに)iOS 6から導入したもので、GoogleもAndroidに同じ機能を盛り込んだことから、急速に普及しそうな情勢にある。この広告識別子は、グローバルIDであり、複数の事業者で共用されるものであるが、利用目的を広告に限らなければならず、利用者のオプトアウト(Do Not Track)に応じなければならないというものである。このルールは、Appleではアプリ審査によって実効性が担保されると思われ、Googleは審査するつもりがあるかは不明であるが、規約で明確に目的外利用を禁じている。ルールに違反があれば、米国の場合は連邦取引委員会(FTC)がFTC法5条に基づいて権限を行使することもあり得そうであり、言わば、技術方式と法制度が協調して問題解決を図る方向である。それが、日本では、個人情報保護法が改正され、事務局案の「準個人情報」が導入されたとすれば、広告識別子を用いた履歴の集約が法的に禁止されることになってしまう。

しかもこれは、同意があれば禁止が解除されるわけでもない。図1をよく見ると「本人を特定して個人情報として同意を得るまたは…」とある。つまり、広告識別子を使うには、氏名などを取得して個人情報化し、個人情報取扱事業者となって、本人の同意を得よというのである。

これは明らかに業界が期待している方向性ではないわけだが、なぜこうなっているかというのは、単純に、最初に「本人に係る事業者の義務は特定の個人を識別できる場合に限られる」という大前提を置いて、演繹的に義務を導出したからである。

こういうときは最初の前提から見直すべきである。「本人」の定義が「個人情報によって識別される特定の個人」となっているのが原因なら、別途、「準個人情報」向けの「準個人」を定義してもよかろう(冗談だが)し、同意やオプトアウトはそもそもどういう方法で可能なのかから検討するべきであろう。例えば、総務省消費者行政課の諸問題研で、第二次提言以来継続的に検討されているところでは、個人情報がない状況での本人同意は当然に可能なものとして想定されている。実際、Webサイトでのサービスや、スマホアプリによるサービスでは、利用開始時に同意をとることができるし、利用者のアカウントが作成されていれば、それを通じて利用の停止を求めることができるし、通知も利用者に対して当然にできる。そうした本人関与の方法を、現行法の見直しも含めて法定することを模索すればよいところ、事務局案はそうした可能性を最初からバッサリと切っているのである。

事務局案がこれでよしとなってしまうのは、巷で現に行われている(また、これから行われるであろう)パーソナルデータ利活用の事業モデルを網羅する作業が行われていないからである。事務局案が想定する利活用の事例は、概要編の14頁(【事例 曄砲15頁(【事例◆曄砲2つだけである。

そして、図2の事例,鬚茲見ると、事業者Aが購買履歴の一部を事業者Bに提供しているが、これは商品単位でバラバラの販売履歴であって、一人についての連なった履歴を提供するものではないから、現行法でも適法なもの*7であり、「準個人情報」や「個人特定性低減データ」の扱いに何ら関係しない利活用モデルである。

また、図中に「プリンをリコメンド」とあるが、これは行動ターゲティングではない。「都内40代男性は鮭弁とプリンを購入しがち」という統計情報に基づいて、鮭弁を買おうとした人にプリンを勧めているだけなので、買おうとしている人についてのプロファイリングは行われないケースである。

個人情報保護法を改正する(実質的個人識別性を盛り込むために)からには、最低限、行動ターゲティングについては想定しなければならない。行動ターゲティングは、パーソナルデータ利活用の一丁目一番地であるし、歴史も長く、米国の主導で作法も完成しつつある。法改正によって行動ターゲティングがどのように規律される結果となるのか、シミュレーションして改正案の妥当性を検証しなくてはならない。事務局案ではそれが行われていないように見える。

私は、今度の改正は、米国で普及が進んでいる自主規制ルールに大体合うようにすればよいし、そこから大きく外れないようにしないといけないと考えている。そういう意味で、そのような改正を見越した動きが国内であった。JIAA(一般社団法人インターネット広告推進協議会)は、先月3月24日に「行動ターゲティング広告ガイドライン」の改定をしている。この改定で、JIAAのガイドラインは、「個人情報」に該当しない履歴情報等を「個人関連情報」と呼び、第三者提供時のオプトアウト等について、個人情報保護法の個人情報と同等の扱いをするとした。個人関連情報について米国での自主規制ルールに合わせるようにしたものだろう。

JIAAのガイドラインが、「個人関連情報」も「個人情報」と同等に扱うとすることができたのは、現行の個人情報保護法が元々ザルであり、オプトアウト手段さえ用意しておけば第三者提供できてしまうものだったからだ。そのため、個人情報保護法の保護対象範囲を個人に関する情報全域まで(ただし散在情報は除く)広げたとしても、誰も困らないのではないかと思われる。少なくともJIAAは、3月下旬というこの時期に「準備OKです」という意思表示をしたように見える。JIAAとしては、むしろ、インターネット広告業界の健全性のために、個人情報保護法による規律を望んでいるとさえ言えるのではないか。私は、今度の改正で法の目的に「利活用に対する社会的信頼の確保」を入れてはどうかと提案している*8ように、弱く規制する規律は業界にとっても長期的に見て好都合なはずだと推察している。

今回の事務局案は、JIAAガイドラインとは一致するところがない。事務局案の「準個人情報」は(単純に言うと)グローバルIDと位置データの規制なので、単一のアドネットワークが扱う情報は「準個人情報」に当たらないことになる。業界の政策担当者は、事務局案を見て規制が緩そうに見えればそれで満足してしまうかもしれないが、中身をよく見ないといけない。業界の技術動向を見極め、健全な発展のための長期的展望に立って、必要な規律がどういうものか把握して、事務局案がそれに沿っているか調べて、必要があれば意見を出していかなければならないだろう。

見直し方針にあった「実質的個人識別性」が、このような「準個人情報」に至ったのには、「準個人情報」を新たな保護対象とするに当たり、何を回避すべきリスクとして想定するかが、事務局案では次の2点とされている(事務局案詳細編3頁)ことから導かれたものだ。

  1. 「特定の個人を識別する蓋然性が一事業者内における場合より高くなる」
  2. 「多種多様な情報が漏えいした際、個人の権利利益侵害の危険性が容易に惹起される」

つまり、特定されることの危険性と、漏えいの危険性である。また漏えいか。またもやここでプロファイリングによる評価を受けない権利のことが蔑ろにされている。番号法のときも、「漏えいだけじゃない」ことはしつこく主張し、「社会保障・税番号大綱」には、ちゃんと、想定される懸念として「集積・集約された個人情報によって、本人が意図しない形の個人像が構築されたり、特定の個人が選別されて差別的に取り扱われたりするのではないかといった懸念」との記述が盛り込まれた。国家により付番される個人識別番号ほど強力なものではないにしても、単一事業者の識別子を用いたプロファイリングも同様の効果をもたらし得るのであるから、弱い規制であってもよいので、理論的には規律する対象となり得るものだろう。

米国やEUで、行動ターゲティング広告に一定の規律がかかっているのが、プロファイリングをリスクとして想定しているためであることに鑑みれば、日本で実質的個人識別性を実現するに際して想定するリスクにもそれを盛り込むべきである。

さらに言えば、図1にあるように、今回の事務局案には「機微情報」(前科等)についても案が示されており、「個人情報」のうち「機微情報」に当たるものは、オプトアウトによる第三者提供を禁止し、取得時に本人同意を要するものになっているのだが、図の通り、「準個人情報」に「機微情報」は定義されていない。つまり、特定の個人が識別できない情報であれば、「準個人情報」のような特定性の高い情報であっても、機微情報は普通の情報と同じに扱うというのである。これは、保護の理由として、特定されたときや漏えいしたときのリスクしか想定していないために到達した結論であろう。プロファイリングによる差別的扱いをリスクと想定していれば、当然に、「準個人情報」においても「機微情報」は定義され、さらには「準個人情報」に当たらない単一事業者が用いる識別子で集積されるデータも(本人に何らかの形で結び付けて「再識別化」されるならば)対象となるものであろう。

もう一つ。見直し方針では「オプトアウト等第三者提供の例外措置の要件の明確化」とあったので、悪質な名簿屋への対策として、「個人情報」についての「オプトアウトによる第三者提供」の原則撤廃がようやく盛り込まれると期待していたのだが、「個人情報の取扱いを現行のままとする」という大前提があるためか、図1の通り、それは盛り込まれていない。このため、肝心なところを規制できておらず、全体としてザルなままとなっており、また、対象情報によって義務の強弱を付けようにも、特定性が最高の「個人情報」ですらオプトアウトで第三者提供できてしまうため、それより弱い義務を設定できなくなってしまっている。まずは、電話帳や住宅地図、それ相当の「無味乾燥な」名簿は例外として現行通りとした上で、「○○の購入者リスト」といった個人データの提供(同意なしの)は禁止にすべきだろう。そのことに反対する世論など存在しないと思う。

検討会は、本来、まずそうした想定リスクや前提、何を達成するのかについて、委員で議論をするところから始めるべきであるところ、いきなり、特定の想定と前提の下で、詳細まで完成して理由付けされた事務局案が出てきたため、根本からの議論が不可能な状態に陥ったように見えた。

「定義と義務」の検討は検討会の次の会合(4月24日)でも行われることになっている。そこでは、ローカルミニマムに陥ることなく最適な全体設計ができるような議論がなされることを切に願う。*9

*1 書かないようにした理由は複合的なものであった。NISC兼務となったことだけでなく、ここのメインテーマであったデータプライバシーの問題が個人情報保護法改正へと現実に解決に向かい始めていたこと、様々な大型事案が爆発炎上しつつあり、それがけして私のせいで引き起こされてるのではなく、元々の世論によるものだとわかるようにする必要があったこと、あれもこれも書かないといけない状況になりつつあり、事案の書き漏らしがあると「何でこれについて書かないんだ」などと言われかねない状況になりつつあったこと、テーマが本業になってきたので、ブログに逃げずにちゃんとした媒体で発信して行くことに注力したいこと、みなさんが主体的に行動するようになってほしいと考えたことなどからであった。

*2 直前なので、細かい指摘は反映されても、大きな指摘は反映され得ない。

*3 「正確性の確保」以外。

*4 個人情報がないと本人に通知できないとか、本人の同意やオプトアウトを確認できないというのは、特定個人識別性について「氏名到達性」説を前提にしているのだろうか。しかし、現行法は、「氏名、生年月日その他の記述等により」の「記述等」の「等」のところが、映像や音声を想定したもの(法案時の内閣官房の逐条解説(二関辰郎弁護士が情報公開請求で取得したもの)には「映像、音声もそれによって個人の識別に至る限りは「等」 に含まれる。」とあり、他の解説書もこれに追随している。)であるから、映像や音声で識別された本人に対して、どうやって通知するのかとか、どうやって本人のオプトアウトを受けるのかというのは、現行法の「個人情報」についても同様に存在してきた論点であるわけで、準個人情報だからというだけで本人に係る義務がすべて否定される理由にはならない。

*5 私がレクを受けたときの版では、§18の「利用目的の通知または公表」のところも「本人を特定しないため義務なし」と灰色になっていたが、検討会提出の版では、黄色になっており「あらかじめ、または取得後速やかな利用目的の公表等」に変更されている。これは、「本人」が観念しえない準個人情報について不可能なのは「通知」についてであって、18条の「公表」については「本人」に連絡が不能であってもできること(現行法がまさにその趣旨で通知または公表とされている)を指摘した結果である。

*6 事務局案の「準個人情報」は3つの類型からなり、,領犒拭併務局案詳細編5頁)は、複数の事業者で継続して共用されるものを指す(これを私は「グローバルID」と呼ぶ)が、これを「他の事業者と共有することができない番号や記号等に置換」(事務局案詳細編8頁)する(これを私は「ローカルID」と呼ぶ)としている。

*7 これが、個人データの第三者提供に当たらないことは説明が必要であろう。いずれどこかに書きたい。

*8 12月22日の堀部政男情報法研究会での講演にて提案した。

*9 他に、事務局案に沿った場合の個別の論点はたくさんある。重要なところでは、例えば、事務局案詳細編10頁に、「個人特定性低減データ」の受領者における扱いについて、「特定禁止」とあるものの、「受領者内において「個人特定性低減データ」とその他の情報とを突合、分析・評価すること、「準個人情報」とすることを禁ずるものではない」とあるが、これはFTC3要件に基づく提供を実現するものであるところ、FTCレポートでは、このような突合を禁止しているのではないかという論点がある。また、23頁の図に、「データの作られ方により同じデータでも分類が異なる場合あり」との注記があるが、これはまさに、この規律が論理的矛盾を含んでいることの表れであり、実質的個人識別性を実現するための保護対象の範囲が「準個人情報」では足りないことを示しているのだと思う。他にも、「準個人情報」の[犒燭猟蟲舛箸靴董峽兮海靴洞ν僂気譴襦彈永婿劼箸覆辰討い襪、この定義だと、cookieは第三者cookieであっても単一事業者のものであり「準個人情報」に該当しないことになるが、複数の事業者が結託して「CookieSync」等と呼ばれるテクニックを用いて履歴を結合すれば、同様の結果が招かれるにも関わらず、保護対象とならない。識別子の性質だけ見ても目的は達成されないように思われ、この点からも保護対象の範囲を別の角度から決める必要があるように思われる。

検索

<前の日記(2014年01月11日) 次の日記(2014年04月23日)> 最新 編集

最近のタイトル

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|
<前の日記(2014年01月11日) 次の日記(2014年04月23日)> 最新 編集