Business特集
ビッグデータ大綱 識者の見解
6月26日 16時25分
ビッグデータの中でも、携帯電話の位置情報や商品の購入履歴といった「個人に関わるデータ」は、経済成長の新たな原動力になると期待され、政府の成長戦略にも盛り込まれています。
しかし、こうしたデータは、ほかの情報と突き合わせることで個人が特定されるおそれがあるため、日本の多くの企業はデータの活用に慎重になっています。
政府は、今週、プライバシーの保護に配慮しつつ、データの活用を進めるためのルールを盛り込んだ「改正個人情報保護法」の大綱を策定しました。
この大綱を基に、来年1月の国会に法案を提出する予定です。
データの活用は進むのか、そして、プライバシーは十分保護されるのか、野村総合研究所上級コンサルタントの小林慎太郎さんと、筑波大学図書館情報メディア系准教授の石井夏生利さんに、それぞれ話を聞きました。
(ネット報道部 梅本 一成)
大綱の柱
大綱は3つの柱からなります。
今の「個人情報保護法」では、企業などが集めたデータを、別の企業など第三者に提供する場合、本人の同意を得ることを義務づけています。
大綱では、個人が特定できないよう加工した場合は、本人の同意を得なくても第三者に提供できるようにしました。
一人一人から同意を得る、企業の負担に配慮したのです。
次いで、保護されるべきデータの範囲やデータの加工法などは、「技術の発展などで変わるため一律に決めることは難しい」として、法律では大枠を決めるだけで、具体的な内容は、▽新たな省令やガイドライン、それに▽民間の自主規制などで定めるとしました。
そのうえで、民間の自主規制などをチェックするため、独立した第三者機関を設けて、指導や立ち入りなどを行えるようにすることにしました。
野村総合研究所の小林慎太郎さん
小林さんは、ITに関する公共政策が専門で、官公庁や情報通信業界の調査やコンサルティングなどを行っています。
小林さんは、「企業がデータ活用を進めるうえでの制度は用意された」と評価しながらも、実際に活用が進むかどうかは、制度の運用しだいだとしています。
第三者機関の権限は小さく
「データを加工したら本人の同意を得なくても第三者に提供できる」としたことは評価できますが、指導や立ち入りなど第三者機関の権限の使い方によっては、企業を萎縮させる可能性があります。
第三者機関の企業への権限を、できるだけ小さくするためにも、業界団体などの自主規制ルールをきちんと機能させる仕組みを整えるべきだと思います。
例えば、アメリカでは、企業は、集めたデータをどのように扱うか定めた方針「プライバシーポリシー」を公表し、第三者機関に当たる組織は、ポリシーに違反した場合に事後的に制裁を科します。
「企業の創意工夫を尊重し、データ活用によるイノベーション=技術革新を阻害しないように」という考えからです。
その代わり、消費者に損害を与えるようなデータの取り扱いをした企業には、ばく大な制裁金を科すなど厳しく罰し、それが抑止力となって、自主規制が機能する仕組みになっています。
一方、日本では、先ほども述べたように萎縮してしまう企業が多いため、厳しい制裁を科すことは現実的ではないと考えます。
ただ、第三者機関による抑止力が働かないと、企業が身勝手なルールを作ったりして、自主規制が機能しないというおそれもあります。
そこで、2つのことを提案したいと思います。
まず、業界団体が自主規制ルールを作るときに、第三者機関も参加することです。
第三者機関がルール作りに関与することで、ルールの公正性を担保できます。
次に、企業が自主規制ルールを守っているかどうかのチェックは業界団体に任せ、自主規制に参加した企業は、第三者機関による指導や立ち入りなどを免除することにします。
一方で、自主規制ルールに参加しない企業に対しては、第三者機関の権限が及ぶことにすれば、企業が自主規制に参加するインセンティブが高まり、制度がしっかりと機能すると思います。
筑波大学の石井夏生利さん
石井さんは、プライバシーや個人情報保護法など、情報の取り扱いを巡る問題を研究し、海外の個人情報保護制度にも精通しています。
石井准教授は、今回の大綱は、さまざまな点で問題が多いと指摘しています。
消費者の権利定めるべき
今回の大綱で本当に法案化することができるのか疑問です。
大綱というと、もう少し法律の条文の一歩手前のような書きぶりになると思うのですが、この大綱は、なんとなくぼやっとした書きぶりで、具体的にこうすると書かれている記述が少なかったりして、指摘すべき点が多いと言わざるをえません。
海外では、法律を作るときに、消費者の基本的な権利を定めてから詳細な部分を詰めていきますが、この大綱には、消費者の権利が定めた記述があまりありません。
例えば、アメリカのプライバシーに関する消費者の権利を定めた「消費者プライバシー保護に関する権利章典」では、▽データを企業が活用する際のプライバシーリスクについて、消費者が容易に理解し、その情報にアクセスすることができる権利を持ち、企業はそのための方法を消費者に提供しなければならない(透明性の確保)、▽企業がデータを収集し利用する場合には、データを提供した際の目的に沿った方法で行うよう、消費者が企業に要求する権利を持ち、企業がその目的から逸脱した場合は、データの利用が制限される(提供目的の尊重)といった7つの権利が定められています。
今回の大綱では、「日本は、どのような考え方に基づいて消費者を保護するのですか」と海外から尋ねられたときに説明できないと思います。
今後、法案化していく際は、まず、消費者の基本的な権利を定めるべきです。
第三者機関の認定に疑問
次に、大綱の具体的な内容を見ると、データの加工法について、「業界団体が作った自主規制ルールは第三者機関から認定を受けることができる」としています。
しかし、企業がどのような場面でこうしたデータを扱い、どのような管理体制になっているのか細かい部分まで分かっていないと、本当に妥当なものかどうか判断するのは難しいと思います。
表面的な説明を受けただけで認定してしまうケースもあるのではないかと懸念しています。
さらに、個人の特定を完全に防ぐ技術的な方法もないため、第三者機関が認定した自主規制ルールを守っていたとしても、個人が特定されてしまう事故が起きることもあると危惧しています。
自主規制ルールを守っていても事故が起きた場合、第三者機関が指導や立ち入りを行うことができるのか、そもそも、第三者機関の認定が適法性を担保できるものなのかなど、疑問点も多く残されています。
国民感覚の反映を
さらに、大綱では、保護されるデータの中でも、人種、信条、社会的身分や前科・前歴など、特に他人に知られたくないものを「機微情報」として定め、原則として、取り扱いを禁止するとしています。
しかし、ほかにも、医療や健康、金融や情報通信に関わるデータなども、「機微情報」に含まれてもよいはずで、多くの人にとって異論はないはずです。
どのような情報が「機微情報」に含まれるべきなのか、今後の法案化の前に、広く意識調査をして、国民感覚を反映させるべきだと思います。