ホーム > InfoCom Law Report 2014 > |
2014年8月27日掲載 |
はじめにビッグデータとデータ保護の問題については、現在各国において議論されているところであり、以前取り上げたとおり、米国では2014年5月1日に「ビッグデータ:機会の獲得と価値の維持」が公表されたところである(「パーソナルデータの匿名化に関する米欧の議論動向〜最新公表レポートから」)。 本テーマと同様のレポートが、英国のデータ保護機関である情報コミッショナーオフィス(Information Commissioner Office: ICO)から2014年7月28日に公表されているため、本レポートの概要をまとめる。また、あわせて現在英国のビッグデータ活用において議論となっているCare.dataの議論動向についても紹介する。 英国における「ビッグデータとデータ保護」2014年7月28日に英国のデータ保護機関であるICOは「ビッグデータとデータ保護」と題するレポートを公表した(※1)。本レポートは英国だけでなくEUのデータ保護機関から公表された最初のビッグデータに関するガイダンスレポートであることから、2014年5月に公表された米国のビッグデータレポートとの比較という観点でも非常に大きな関心を集めているところである。 本レポートの位置づけについては、本ガイドラインの冒頭で以下のように指摘している。 ICOは特にビッグデータにおけるデータ保護とプライバシーリスクに関心を持っている。本論において、「ビッグデータ」という用語をICOはどのように理解しているのかを提示した上で、そこではどのようなデータ保護上の問題が生じ、どのようにデータ保護法(DPA)に遵守するべきかについて検討する。(p.2) 上記問題意識をもとに様々な観点からの検討がなされているが、主なポイントとしては以下のような指摘がなされている。
この他にも本レポートでは様々な点が指摘されている。例えば、ビッグデータにおけるプライバシー影響評価の利用や、研究目的での適用除外、EUデータ保護規則案がもたらす影響等、現在ビッグデータ利用にあたっての多くの論点に対する見解を示している。 なお、本レポートの公表と合わせて、ICOのシニアポリシーオフィサーであるCarl Wiper氏がICOのブログにおいて、「ICOビッグデータレポートに関してあなたが知っておくべき7つのこと(※3)」という記事を公表している。本ブログで指摘されているのは、以下の7点である。
英国における議論動向〜Care.dataの事例から現在英国においてビッグデータとデータ保護の問題に関して議論になっている事例の一つに、国民保健サービス(National Health Service, NHS)による国レベルの医療記録データ共有プロジェクト”Care.data”がある。約5,000万ポンド(日本円換算で約85億円)の予算のもと進められている本プロジェクトについては、国民の医療記録データが収集、利用されることから、適切なデータ管理のあり方等について大きな議論になっているところである。以下その概要について紹介をする。 英国では2013年1月に医療データのペーパレス化と情報共有を2018年までに実現することを目標とした「Digital Challenge(※4)」政策が健康省より打ち出されており、医療データのデジタル化に向けた様々なプロジェクトが推進されているところである。その中で、医療関係者に対し研究利用に限定して患者の医療記録データを収集し、そのシステムに蓄積された医療データにアクセスできる仕組みを構築するCare.dataプロジェクトが現在議論されているところである。当初本プロジェクトは、医療データ収集を2014年4月から開始することを目指し、2013年8月頃より患者に意思表示を促す告知ポスターが貼りだされていた。 しかしながら、オプトアウト方法等が十分に周知されていない等の指摘がICOからなされたこともあり、2014年2月に国民に対し「オプトアウト」する方法を国民に周知するため、データ収集を2014年の秋まで延期すると発表している(※5)。オプトアウトについては、英国医療協会(British Medical Association)からは、このような医療データ収集はそもそもオプトアウトでなく、明示的なオプトインで実施すべきとの声明がだされていた。しかしながら、NHSイングランドの国家ディレクターであるTim Kelsey氏は、2014年7月の下院における健康委員会において、Care.dataを有効に機能させるためにはデータは多ければ多いほどよいと指摘し、本プロジェクトは引き続きオプトアウトスキームで取り組むと発言しており、国民的な合意が得られていない状況で、プロジェクトも開始できていない状況である(※6)。 なお、本プロジェクトについては匿名化の手法についても問題視されており、Care.dataにて公開されるデータは「仮名化(pseudonymisation)」されているのみで、再識別化の可能性は残るといった懸念がでている。すなわち、本データを取得しようとする保険や薬剤、その他医療関係の企業、研究機関は自身の患者、顧客データを保有していることから、それらとマッチングすることで再識別化できる可能性があると一部報道等において指摘されている(※7)。 現在の英国のデータ保護法上は匿名化に関する規定はないことから、英国ICOは2012年11月に「匿名化に関する実践規範(※8)」を公表し、具体的な匿名化手法や、ベストプラクティス等についての見解を提示している。例えば、本実施規範では、「データ保護法は、データ主体がもはや特定できない方法で匿名化されたデータには適用されない」(p.6)と冒頭明記した上で、適切に匿名化するためのチェックフロー等をまとめられており、事業者はこれに基づいて匿名化されているかどうかを判断することができる。この実践規範については、本記事の冒頭で取り上げたビッグデータレポートにおいても本匿名化実践規範を参考に匿名化技術の活用を検討すべきといった指摘がなされており、ビッグデータにおいても本実践規範が参照されるものとして位置づけられるだろう。 ただし、これはあくまで実施規範であり、本内容に記載された匿名化技術を適用する義務はない。したがって、本実践規範を踏まえ各企業、政府機関、学術機関等は個人データを匿名化し、必要に応じて実施内容についてICOに確認をすることとなる。なお、具体的な匿名化技術等の内容については、現在ICOやODI(Open Data Institute)、マンチェスター大学等の専門家によるUK Anonymisation Network (UKAN)という組織が設立され、この中で匿名化のベストプラクティスが検討されているところである(※9)。 英国ではmidataプロジェクトを初め、国家レベルでオープンデータ、ビッグデータを活用したプロジェクトが推進されているが、このCare.dataプログラムが、今回ICOから公表されたビッグデータレポートや、既存の匿名化実施規範等を踏まえ、どのようなデータ保護スキームのもと進められることとなるのか、引き続き議論動向を注視しておく必要があるだろう。 おわりに今回ICOより公表されたビッグデータレポートは、2014年5月に米国ホワイトハウスから公表されたビッグデータレポートでの提言内容が随所に引用、参照されており、内容的にも共通する点が多い。その中でも英国のビッグデータレポートは、ビッグデータを利用する際も既存の英国やEUの法制度におけるデータ保護原則が適用可能であるとし、改めてデータ保護原則の重要性を指摘している。ビッグデータ利用にあたっても既存のデータ保護制度を踏まえた上で実施することが求められているといえるだろう。この点について、最後にビッグデータレポートに記載さられているICOの見解を引用しておくこととする。 我々の見解は、英国やEUにおいて既に確立されている基本的なデータ保護原則はビッグデータ世界にも未だに十分に目的に対応できていると考える。現在のデータ保護原則は十分でないという見方は、データ保護原則の本来的な柔軟性を過小評価している。これら原則を適用することで、データ処理における個人への影響度や、どのような特殊な事例に対してもその利用目的とのバランスがとれているかどうか、といったことを評価することができる。現在のEUのデータ保護法はインターネットの初期段階に制定されたものであり、現在どのようにパーソナルデータが処理されているのかを考慮した上でアップデートする必要があるという点は正しく、その通りである。しかしながら、これは基本的なデータ保護原則がもはやビッグデータ世界においては対応しきれなくなっていることでも、新たなデータ保護のパラダイムが必要となっていることでもない。ビッグデータは異なるルールで行われているゲームではないのである。(p.41) 【参考】英国データ保護法におけるデータ保護原則 附則1 データ保護原則
※1 ICO, “Big data and data protection,” (July, 2014) ※2 Article 29 Data Protection Working Party, “Statement on the role of a risk-based approach in data protection legal frameworks,” (May, 2014) ※3 ICO, “Seven things you should know about the ICO’s big data report ,“ ※4 Department of Health, “The Digital Challenge” ※5 NHS England, “NHS England acts in response to concerns about information sharing,” ※6 “Care.data will remain opt-out model, says NHS director Tim Kelsey,” (2 July, 2014), ComputerWeekly.com ※7 The Guardian, “NHS patient data to be made available for sale to drug and insurance firms” (19 January 2014) ※8 ICO, “Anonymisation: managing data protection risk code of practice,” (2012) ※9 UKAN, http://www.ukanon.net/
|
▲このページのトップへ
|
InfoComニューズレター |
Copyright© 情報通信総合研究所. 当サイト内に掲載されたすべての内容について、無断転載、複製、複写、盗用を禁じます。 InfoComニューズレターを書籍・雑誌等でご紹介いただく場合は、あらかじめ編集室へご連絡ください。 |