明日13時からJILIS第4回情報法制シンポジウム（オンライン開催）にて「個人情報保護法制公民一元化の論点」と題してお話しします。来年の通常国会への提出が計画されている個人情報保護法の公的部門と民間部門の一元化法案の方向性について課題を示して解決策を提案します。 jilis.org/events/2020/20

TAKAGI, Hiromitsu

@TakagiHiromitsu

5月20日

…しかし、「個人に紐づかない識別子」というのは嘘でしょう。個人に紐づいているからこそ、陽性者が登録したときに過去の接触者に通知が飛ぶのです。この期に及んで嘘はいけません。個人を識別するためのIDであることを包み隠さず説明するべきです。

引用ツイート

TAKAGI, Hiromitsu

@TakagiHiromitsu

· 5月20日

「第2回接触確認アプリに関する有識者検討会合」があったようですが、あやうい雲行きです。「資料1 接触確認アプリ及び関連システム仕様書（案）」には、「個人や端末を特定できない」とあり、百歩譲ってそれはよいとしましょう。「特定」とはそういう意味なのだと。しかし… cio.go.jp/node/2612

このスレッドを表示

厚労省側では、感染が確認された個人を示してシステムを通じ接触者へ通知を出すのですから、当然に個人情報を扱います。「アプリに関与する事業者」が云々とのことですが、厚労省からの委託であれば当該事業者でのデータは個人情報です。しかし、委員会としては所掌外なのでそうは言えないわけですね。

もう一つの問題は、誰がcontrollerとなるのかです。EUに倣えば厚労省がcontrollerとなるべきですが、あいにく日本法では厚労省における個人データ取扱いは個人情報保護委員会の所掌外にあるので、今回の「考え方」はこの点について何も言うことができないわけですね。法に従う限りは。

個人情報保護委員会から「考え方」が出ましたが、この言い回しになってしまっていますね。日本はいつまでこのごまかしを続けるのでしょうか。 ppc.go.jp/news/press/202 「個人情報に当たらないものが多いと考えられるものの…保有する他の情報との関係によっては個人情報となる可能性もあることから」

26条の2の義務は「第三者が個人関連情報を個人データとして取得することが想定されるとき」の規定なので、本件アプリにその状況が生じるわけではなく関係ありませんが、扱うデータが法の規定するどの情報にも該当しないというのでは、諸外国に対して説明できなくなるのではないでしょうか。

本件アプリで使われるIDは、初めから仮名化されたpersonal dataです。日本法では、今国会の改正案で「仮名化情報」が新設されますがこれは元が個人情報であることが前提なので非該当と言うのでしょう。ならば、同じく新設する「個人関連情報」（26条の2）には該当すると言ってはどうでしょうか。

報道によれば残念な結果になりそう。「匿名化」は「復元できないように」（法2条9項）したものに相当するものに使うべき用語で、本件ではそうではないはずです。 nikkei.com/article/DGXMZO 「同委は企業が開発中の多くのアプリでは情報が匿名化されており、法律上の「個人情報」にあたらないとみる。」

接触データ、安全管理策が必要　個人情報保護委

政府の個人情報保護委員会はスマートフォンアプリで集めた接触履歴などのデータに関し、医学的に必要な期間が過ぎたら消去するなど安全管理策が必要だとする見解をまとめた。近く公表する。　同委は企業が開発中の

また、これは今日述べたことですが、今回扱うデータを「個人データでない」とする主張も出そうですが、個人を追跡するためのIDですから個人データです。世界中で同種のプロジェクトが走るのですから、ここで日本だけがそんな主張すれば、世界からどう見られるでしょうか。正念場であります。以上です。

このことはちょうど先日ツイートしたこの解説と問題構造は同じです。日本はずっと20年以上間違えてきましたので、ここで間違わないようにしなければなりません。

引用ツイート

TAKAGI, Hiromitsu

@TakagiHiromitsu

· 3月19日

英国法にはcontrollerがないが同じことだというのですが、EU指令のcontrollerが「情報を現に持っていなくとも情報コントローラでありうるとしている」ところ、英国法のdata userはdataを「hold」する者と定義するものの、holdの意味がdataの内容と利用をcontrolすることを指しているというわけです。

このスレッドを表示

TAKAGI, Hiromitsu

@TakagiHiromitsu

4月28日

厚労省が主宰者（個人データのcontroller）なら、プロジェクト提案者の民間はprocessor（厚労省からの委託先）と位置付けるべきで、この場合、委託元はたとえ物理的に個人データを保有しなくとも、制御者であるからには保有しているものとみなされるべきであります。ここを間違えないでほしいです。

この点について平井先生から日本版アプリでも厚労省が行うべきとのご発言がありましたが、一方で、データはプロジェクトを提案した民間が持つとの言及がありました。ここで心配なのは、厚労省がデータを物理的に持たないことを理由に、厚労省が保有個人情報を保有しないものと主張しかねない点です。

COVID-19対策の接触追跡（contact tracing）を補助するスマホアプリの構想について、今日山本先生からご指摘があったように、誰が主宰者であるのかが重要であり、データ保護法制ではそれをcontrollerと呼ぶところ、EUでは国の公衆衛生を担う機関がcontrollerであるべきとのコミュニケがありました。

本日、こちらのイベント第2回において、会場（聴衆）からコメントの機会を頂きました。最後で平井先生にまとめて頂きましたが、補足しておきたい点がありますので、ここに書いてお伝えしたいと思います。（以下に続きます。） data-trading.org/forum_web

引用ツイート

平井卓也（ひらいたくや）

@hiratakuchan

· 4月26日

本日11:30から、一般社団法人データ流通推進協議会（DTA）主催のWEBデータ流通推進フォーラムに登壇します。新型コロナウィルスの感染拡大対策と収束後にの経済復興に向けて、データ活用の視点から課題や今後の取り組みを議論するものです。詳しくはこちらから→ data-trading.org/forum_web #平井卓也

このスレッドを表示

TAKAGI, Hiromitsuさんがリツイート

suzukimasatomo

@suzukimasatomo

4月28日

一般社団法人データ流通推進協議会 WEBデータ流通推進フォーラム連続特別企画『データ活用と連携でコロナと戦う』 data-trading.org/forum_web キーノート「COVID-19と個人データ」を担当した。若目田さんファシリテーターで山本龍彦先生と板倉陽一郎先生とパネル。最後に平井たくや先生のコメント。