違法な「Suica事件」を「消費者不安」にすりかえる報道に問題提起

デロイト トーマツ リスクサービス株式会社が10月3日都内で開催したメディア向けブリーフィングで新潟大学 法学部教授 鈴木 正朝 氏が講演し、昨年発生した Suica 事件のふりかえりに基づいて、ビッグデータの利活用と個人情報保護法に関わる新聞報道に関する問題提起を行った。

デロイト トーマツ サイバーセキュリティ先端研究所 第3回 記者向け勉強会に登壇した鈴木氏によれば、個人情報に関わる新聞報道の多くが、個人情報保護法にそれほど詳しくない専門家に取材し、ベースとなる当該法に関する前提を間違えたまま、誤報に近い報道を続けているという。それによって、データから氏名や住所などを削除しただけで、それが個人情報ではなくなる（現行法では個人情報）という、誤った解釈が横行するきっかけとなっているという。

鈴木氏は、昨2013年、 JR 東日本から日立へのSuica履歴データの販売が問題になった件に言及し、個人情報をビッグデータとして利活用することによる内需拡大や雇用創出等の経済効果への期待によって、「Suica事件を違法と言ってはならない」という予断が経済紙などを中心に先行しているという。

Suica 事件に関して公表された事実をもとに、JR東日本から日立に提供されたデータを鈴木氏が検証すると、

・住所氏名年齢などの本人確認情報を削除してはいるものの、たとえ数千万件のデータがあっても重なるデータは一件も無くすべて一意である

・上記データをJR東日本の持つデータと照合することで個人を識別できる

という点で、JR東日本から日立に販売されたデータは現行法で個人情報であり、データ販売は違法である。しかし経済紙等を中心に、適法か違法かという問題の本質への言及を回避し、単に「消費者の不安」という言葉で報道がなされており、これを鈴木氏は「誤報に近い報道」とした。

鈴木氏によれば、もし JR 東日本が日立に Suica 履歴を販売することが適法であるとしたら、たとえば給与計算サービスを企業に提供する会社が、社名や氏名を削除しさえすれば、受託した企業の社員の給与額やその履歴などのデータを自由に販売し流通させることも適法になるという。

鈴木氏は、このように Suica 事件が違法であることを前提に進められている、個人情報保護法改正の概要を解説し、低減データに加工され提供されたデータの再特定を契約によって禁止する特定禁止義務と、立ち入り調査権を持つ第三者機関の存在、違反した場合の罰則についてふれ、単に消費者不安が問題であるのならば法改正ではなくガイドラインによる対応だけで充分であり、法改正を行うのは Suica 事件が違法だからであることを再度訴えた。

《高橋 潤哉》