2016年10月31日掲載 法制度 InfoCom T&S World Trend Report

改正個人情報保護法で社会的受容度は高まるか?



私は今年の夏の終わり、8月下旬になってようやく個人番号(マイナンバー)カードを受け取ることができました。1月に申請していましたので7カ月の長い期間がかかりました。本当に困ったことです。この個人番号カードの利用目的や利便性が限定的であることは承知の上で、いわば高齢者の身分証明書のつもりで保有することにしました。カードに記載されている個人番号(通知カードでも同じですが)は個人に付与された唯一無二のものとして一生涯続くものであり、改正後の個人情報保護法で新たに定められた個人識別符号に該当し、明らかに個人情報となるものです。個人識別符号には個人番号のように唯一無二の符号である旅券番号や基礎年金番号、運転免許証番号など多くのものが該当するだけでなく、特定の個人を識別できるDNA、指紋・掌紋や顔・虹彩データ、声紋データなどが含まれます(個人情報の保護に関する法律施行令改正案及び同施行規則案)。改正個人情報保護法の全面施行は2017年4月と見込まれているようですが、それに先立って既にそれぞれの業界では、顧客等対象者への周知、匿名化の方法、自主ガイドラインやプライバシーポリシーの策定などの取り組みが始まっています。特に店舗や施設などにある監視カメラ映像から得られる顔データに関しては、利用客等からの反発は相変わらず大きなものになっています。もちろん監視カメラの利用目的は直接的には防犯であり防災にあるのですが、特定の個人が識別されることに抵抗感が強く、いまだに社会的受容度は高くありません。

改正個人情報保護法の全面施行にあたり、現在同法施行令の改正と施行規則の制定作業が進んでいて、8月末までにパブリックコメントの募集も行われました。このように法制面の手続きは順調に進んでいるのですが、私には肝心の社会的受容性についての議論や政策的取り組みが取り残されている気がしてなりません。昨年の法改正で、個人情報の定義は個人識別符号という分類を新たに設定して改正前に比べて分かり易くなったものの、次の2点に関しては改正後も明確性を欠いていて実務上、広義の個人情報、即ちパーソナルデータを取り扱う事業者はどうしてもためらい勝ちになっています。要するに、事業者の判断や行動に対して社会的な受容性があるのかどうか分からず、個人情報の取り扱いにかかる風評リスクを過度に意識するのです。

第1に、購買履歴や位置情報、検索履歴などのようにビッグデータに集約されているが個人識別符号が含まれていない場合は、改正前の条文「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」と同じ定義となるので、ここでいう容易照合性の判別が曖昧のまま残されています。

第2は、今回の改正では新規に「匿名加工情報」という概念を設けて、これを個人情報に関するものよりも緩和された規制の下におくことが定められました。匿名加工情報とは個人情報に一定の措置を講じて特定の個人を識別できないように加工し、かつ、当該個人情報に復元できないようにしたものをいい、その加工方法は個人情報保護委員会規則で定められる基準に従わなければならないとされています。しかしながら、改正後の規定文言上、匿名加工情報は個人情報にあたらないとはどこにも定めがなく疑問が残ります。

匿名加工情報には個人情報の定義する容易照合性は認められないことを考えると、匿名加工情報はもはや個人情報ではないと解釈できます。つまり、個人情報とは別に匿名加工情報という区分を新設した改正法の趣旨はそこにあると理解するのが常識的でしょう。

いずれにせよ、やはり容易照合性の判別が問題として残ります。これは単純に特定個人を照合する技術論の問題ではなく、匿名加工のプロセスや取り扱いにあたって本人識別のために他の情報と照合することを禁ずる規定を設けるという制度論の問題といえます。ここからも広義の個人情報=パーソナルデータは、個人情報と匿名加工情報とに法的に分けられていると理解できますが、それでもその線引き・範囲が不透明なことは避けられず、結局のところ社会的受容性を探りながら、それぞれの業界や事業者がガイドラインやプライバシーポリシーを定めて広く開示して実績を重ねることが遠いようで実は近道なのだと思います。情報の主体となる個人としては、本人の利便性や便益が高まるのであれば直接的な還元を意識して抵抗感なく受け入れていると感じます。その一方で、本人対象というより社会全体の便益を高め社会課題全体の解決となるとどうしても間接的な効果・還元となるので、社会的受容度の向上は進んでいないのが実情です。しかし、新サービスの開発や社会的なコスト低減や課題解決のためには、どうしてもビッグデータを収集して種々の分野のデータと照合・分析することが必要となる上、これからは特にコンピューターパワーの拡大とAIの進展によってその必要性は一層高まっていきます。

個人情報収集時の利用目的があまりに限定的に過ぎると保護に片寄って活用に支障が出るし、第三者提供時のオプトアウトの実務も柔軟性を欠くとデータ流通市場(データプラットフォーム)の形成が進まなくなります。個人情報の保護は当然のことで、一部のプラットフォームのように、したい放題で各国の規制を逃れるだけでは困りものですが、以前にみられたJR東日本のSuica情報の提供時のように単純に気持ち悪いから回避するというだけでは課題解決には繋がりません。何より先ず、(1)容易照合性の範囲、程度を制度設計面でさらに深堀りすることと、(2)社会的受容度を高めるために、匿名加工情報の取り扱いについて業界のガイドラインや企業のプライバシーポリシーを明確に打ち出すこと、加えて(3)個人情報の利用目的範囲の捉え方や第三者提供時のオプトアウトの実務慣行を作り上げることに、今こそ関係者がリスクを負って取り組む時です。IoT、ビッグデータ、AIの3つが有機的に繋がってこそ将来の我が国の社会が形成でき、満足度の高い個人生活と産業構造の革新が実現できることを忘れてはいけません。官も民も個人情報の保護と活用にリスクを負って取り組まないと国際競争に勝ちぬくことはできません。自動運転も健康管理も高度医療もエネルギー管理(CO₂削減)も、ICTの基盤整備もすべて集積されたパーソナルデータ(個人情報を含めて)の流通によって付加価値が高まります。日本は明らかに個人情報保護の統一的な制度設計が遅れたため、規制が複雑化して世界に遅れを取ってしまいました。

個人情報保護委員会が発足して機能権限が一元化して高まりましたので、いよいよ官民あげて個人情報の活用・流通に向けてリスクを負って世界水準のガイドラインとプライバシーポリシーを作り上げる時です。また、制度設計上ではより一層保護を図るため、個人が自分の情報を自己責任において管理し必要に応じて移転することができる、パーソナルデータのポータビリティについても早急に検討に着手しておかなければなりません。保護策が遅れるとその分だけ活用策が遠のくことになるからです。社会的受容性とはそういうものです。

※この記事は会員サービス「InfoCom T&S」より一部無料で公開しているものです。

平田 正之のレポート一覧

会員限定レポートの閲覧や、InfoComニューズレターの最新のレポート等を受け取れます。

ICR|株式会社情報通信総合研究所 情報通信総合研究所は情報通信のシンクタンクです。
ページの先頭へ戻る
FOLLOW US
FacebookTwitterRSS