Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

パーソナルデータ検討会とは何だったのか

4 829 vues

Publié le

2014年7月7日開催 OpenID BizDay #7
「どう変わる? 個人情報保護法改正とビッグデータ/パーソナルデータ活用ビジネス」
高木浩光様ご講演資料

http://www.openid.or.jp/news/2014/06/bizday-7.html

Publié dans : Technologie
  • Soyez le premier à commenter

パーソナルデータ検討会とは何だったのか

  1. 1. パーソナルデータ検討会とは
 何だったのか 産業技術総合研究所 高木 浩光 OpenIDファウンデーション・ジャパン OpenID BizDay #7
 「個人情報保護法改正とパーソナルデータ活用」 2014年7月7日 1 本日の論点 •「準個人情報」はどこいった? •鈴木委員提出の対案は… •「個人特定性低減データ」はどこへいく? •利用目的変更で騙し討ちやりたい放題へ! •第三者提供のオプトアウト例外はどうするべき? •経済界の意見 •ぼくらが欲しかったもの 2
  2. 2. それは日経新聞報道から始まった 2012年11月29日朝刊 3 準個人情報はどこいった •4月の事務局案(定義部分) •個人情報に該当するものを除き、生存する個人に関する情報で あって、次に例示するもの及びこれに類するものを含む情報 •① パスポート番号、免許証番号、IPアドレス、携帯端末ID等の個人ま たは個人の情報通信端末(携帯電話端末、PC端末等)等に付番され、 継続して共用されるもの •② 顔認識データ、遺伝子情報、声紋並びに指紋等、個人の生体的・身 体的特性に関する情報で、普遍性を有するもの •③ 移動履歴、購買履歴等の特徴的な行動の履歴 •最終的に •技術WG報告書で③が消滅 •大綱で「準個人情報」の語は消滅、①が外され、②のみが例示 されて「等」が付いた 4
  3. 3. 技術WGが検討したこと •前提としたこと •「特定個人を識別しないが、その取扱いによって本人に権利利益侵害が もたらされる可能性があるもの」として2つに分類 •①「準個人情報」から何らかの状況で個人が特定されてしまうことで、権利利益侵 害が生じる場合 •②「準個人情報」から個人が特定されないままで、権利利益侵害が生じる場合 •①の「特定されてしまう」リスクについてのみを評価 •②について「技術的な見地からだけでは検討できないと判断」「個々の ユースケースや制度面を含めて、別途検討すべきである」とした •検討内容 •「特に特定の個人を識別する蓋然性が高い識別子」の要件を示した •本人/所有物付与、一意性、単射性、共用性、変更可能性、不変性、利用停止可能性、 継続性、利用範囲の観点から •「③ 移動履歴、購買履歴等の特徴的な行動の履歴」は「どのような状態… 識別子として機能する特徴的な状態…一律に定めることは困難」とした 5 個人が特定されないままでの…… •技術WG報告書より(p.7) •我が国の法制度は、特定の個人が識別されなくても権利利益の侵害が生じ 得ることを正面から認めている。例えば、「行政機関の保有する情報の公開 に関する法律」第5条第1号は、「特定の個人を識別することはできないが、 公にすることにより、なお個人の権利利益を害するおそれがあるもの」を 不開示情報(略)としている。どのようなものがこれに当たるかについては、 個人の人格に密接に関わる情報である等の説明がなされている3。
 このように特定の個人を識別することなく権利利益の侵害が生じるおそれ のあるものについては、その存在は明らかであり、また、識別子を利用した 多量又は多様な情報の収集が、この種の権利利益の侵害につながる可能性 があることも十分に予想し得るところである。しかしながら、結局のとこ ろ、どのような情報が「個人の人格に密接に関わる」か等は、WGの専門的 知見の及ぶところではないため、この問題については、親会における検討に 委ねることとする。 •親会での検討は行われなかった(時間切れで) 6
  4. 4. 義務の部分 •誰も望まない案だったためすぐに消滅した 7 法案化に向けて •大綱での記述 •「個人の権利利益の保護と事業活動の実態に配慮しつつ、指紋認識デー タ、顔認識データなど個人の身体的特性に関するもの等のうち、保護の 対象となるものを明確化し、必要に応じて規律を定めることとする。」 •「保護対象の見直しについては…社会の実態に即した柔軟な判断をなし 得るものとなるよう留意…技術の発展や…利活用のニーズに即して、機 動的に行うことができるよう措置することとする。」 •この制度が対象とする情報の範囲は? •身体的特性情報に限られるべきでない •しかし、準個人情報の語を使うとそれで足りるとの意味になりかねない •そのためどの語も用いられていない •「個人に関する情報」の語を用いてはどうか •それ全体が保護対象なわけではなく •機動的に柔軟に保護の範囲を定めるその大枠を指す語として 8
  5. 5. 鈴木委員提出の対案は •個人データ拡張案(第8回検討会 資料4-1) •識別非特定情報の全部を対象とするという考え方 •特定されやすさは義務の強弱の区分に 9 散在情報は対象外とする •「個人データ」が対象であることを明確にする •散在情報は現行法でも本来は保護の対象ではない 10
  6. 6. 肝心の検討が欠けていると指摘 •想定する利活用のモデルの整理がない •行動ターゲティングを事務局案は想定に入れていなかった •Suica事案のような最終的に統計データに加工されるモデルだけが検討 11 広告業界の動向 •参考人JIAAの意見(第9回検討会 資料1-4) •JIAA - 一般社団法人インターネット広告推進協議会 •3月にガイドラインを改訂 •「個人関連情報」を定義し、義務を規定 •行動履歴情報がこれに含まれるとした •義務内容は個人情報保護法の個人データとほぼ同じ •私の意見 •これを法制化しても事業者は困らないのではないか •既に米国の自主規制ルールに従っているのと同様(にできる) •むしろ「正直者が馬鹿を見る」事態を防止でき、真っ当な広告 事業者には好都合なはず •(ただし、散在情報を除く件と、取得の委託モデルと取得の制 限の件が盛り込まれていない点で不完全) 12
  7. 7. パーソナルデータ検討会第9回 資料1-4 より 13 どうなったか •肝心の検討(行動ターゲティングの想定) •技術WG報告書の言う「個人が特定されないままで、権利利益 侵害が生じる場合」にこれが該当 •「親会における検討に委ねる」とされたが時間切れで検討されていない •プロファイリングの問題として •検討会で複数の委員から指摘 •米国ではFTCが2000年からonline profilingの問題として報告書を出し ているし、EU規則提案でもprofilingに関する権利が明記 •大綱に書き込まれたが「継続的な検討課題」として先送りに •「いわゆるプロファイリング - 多種多量な情報を、分野横断的に活用 する(略)プロファイリングの対象範囲、個人の権利利益の侵害を抑 止するために必要な対応策等については、現状の被害実態、民間主導 による自主的な取組の有効性及び諸外国の動向を勘案しつつ、継続して 検討すべき課題とする。」 14
  8. 8. 低減データはどこへいく •大綱の記述 •「「個人データ」を特定の個人が識別される可能性を低減したデータ に加工したものについて、特定の個人が識別される可能性とその取扱い により個人の権利利益が侵害されるおそれに留意し、特定の個人を識 別することを禁止するなど適正な取扱いを定めることによって、本人の 同意を得ずに行うことを可能とするなど、情報を円滑に利活用するた めに必要な措置を講じることとする。」 •新聞テレビでは肝心の赤字部分が省略されて報道されている •データの受領者にも法的義務を課すというもの •データへの加工方法は「一律には定めず」 •「民間団体が自主規制ルールを策定し、第三者機関(略)は当該ルー ル又は民間団体の認定等を行なうことができる」とされた •低減度の小さいものから大きいものまであり得る 15 鈴木委員提案との関係 •第2回検討会 資料1-2 •低減データとして「合理的匿名化データ」だけでなく、
 「半生データ」でもよいとした •受領者側に法的義務がかかるのを前提に(委託モデルからの類推) 16
  9. 9. 低減の度合い •低減の度合いは連続的 •「低減データとして扱ってよい基準」について技術WGで議論 •WG報告書で「個人特定性低減データとするための最低限の加工方法を 定義することはできない」と、汎用的な基準はないとされた •「十分に低減したデータ」の基準については議論されていない 個人特定性 低減度合い 高 低 小 大 最低限の加工 十分に低減したデータ 17 問題点 •「十分に低減したデータ」も個人特定性低減データとして受領 者に義務がかかってしまう •データの由来が個人データである限りすべて •低減化の度合いは連続であって区分されていないため •問題となる例 •商品の販売記録のデータ •1回の販売で同時に販売された商品のデータと購入者の属性 •現行法でも自由に利用してよい情報なのに、元データが内部で個人情報に紐付いて いれば、個人特定性低減データの扱いになってしまう •ロンドン交通局のオープンデータの例 •レンタル自転車事業で、貸出場所の空き状況のリアルタイム情報の他、各自転車の個々 の移動情報を公開している •内部的には利用者の個人情報と紐付いているデータであり、個人特定性低減データ に該当してしまえば、公開不能となってしまう • Suica事案も、駅から駅への各移動のバラバラのデータなら提供して問題ないのに 18
  10. 10. ねじれ現象 •同じデータであっても義務が異なる事態に •元が個人データ(特定の個人を識別できるもの)だと、加工し た個人特定性低減データについて受領者に義務がかかる •例えば、氏名・生年月日・連絡先情報を削除した低減データ •Suicaで言えば、履歴データのみを抽出した半生データ •最初から履歴データのみで氏名等を持たないデータには、何の 義務もかからない(保護対象を広げない場合) •無記名Suicaの全データをそのまま扱う場合 •どうするのかは未定 •4月の事務局案にちらりとその記述があった •「データの作られ方により同じデータでも分類が異なる場合あり」と の記述(第7回資料1-2 p.23) •非個人情報と個人特定性低減データが同一データとなる場合があると図示 19 再識別化の意義も不明 •4月の事務局案(第7回資料1-2 p.10) •受領者の義務として「特定禁止」としつつ「その他の情報とを 突合、分析・評価することを禁ずるものではない」としていた •他の識別非特定情報との突合による履歴統合を認めるのか? •統計データとしてのマージを認めるのは理解できるが •FTC3要件で禁止される「re-identify」に当たるのでは? 20
  11. 11. 利用目的変更で騙し討ち •第10回で経産省から突然の提案 •利用目的変更を本人同意なしにオプトアウトで許すという案 21 大綱にスルッと入った •大綱での記述 •事務局案 •「例えば、利用目的を変更する際、新たな利用目的による利活用を望まな い場合に本人が申し出ることができる仕組みを設けて本人に知らせること で、利用目的の変更を拒まない者のパーソナルデータに限って変更後の利 用目的を適用する等、具体的な措置については、情報の性質等に留意しつ つ、引き続き検討することとする。」 •検討会案 •「例えば、利用目的を変更する際、本人が十分に認知できる手続を工夫し つつ、新たな利用目的による利活用を望まない場合に本人が申し出ること ができる仕組みを設けて本人に知らせることで、利用目的の変更を拒まな い者のパーソナルデータに限って変更後の利用目的を適用するなど、具体 的な措置については、情報の性質等に留意しつつ、引き続き検討すること とする。なお、検討に当たっては、本人が十分に認知できない方法で、個 人情報を取得する際に特定した利用目的から大きく異なる利用目的に変更 することとならないよう、実効的な規律を導入することとする。」 22
  12. 12. 地婦連意見書 •第12回検討会 参考資料2 •「オプトアウト機会の提供により本人同意のない利用目的変更を可能とすると いう例示は、極めて不適切なものであり、かつ検討会において論議がされてい るとはいえず、大綱より削除すべきです」(以下示された理由) •1) 検討会でほぼ議論がないまま大綱に突然挿入されたものである •2) 既に目的外利用の潜脱事例が現れている •「「現時点で計画していない」などと記者会見等で述べていたにもかかわらず、その 1年後に突如プライバシーポリシーを一方的に変更して、オプトアウト方式で履歴情 報を第三者提供しようという行動をする者が現れています。大綱で目的外利用をオ プトアウトで認めれば、同様の「騙し討ち」事例が増加するのは自明であり、」 •3) 経済産業省の従来の取り組みと矛盾している •「目的外利用をオプトアウト方式で認めるということは、本人の同意を回避しよう という試みにほかならず、従来の自らの取り組みを放棄しています。」 •4) 大綱案における「制度の国際的な調和」の観点と矛盾する •5) 大綱案の「個人が特定される可能性を低減したデータの取扱い」と矛盾する •「事業者において「個人が特 定される可能性を低減したデータ」を用いるインセン ティブが生じません。」 23 解決策は •事業者の言う課題は何なのか •利用目的を変更できなくなってしまっている? •利用目的を事業者単位で特定し通知・表示しているから •利用目的をサービス単位にする •現行法は、事業者単位での利用目的しか求めていない •現行法でも、サービス単位での利用目的とすることは可 •利用目的変更前のデータと変更後データを区別して扱う •変更後のデータについてのみ新しい利用目的で使う •現行法で解決できることでは? 24
  13. 13. 第三者提供のオプトアウト例外は •名簿屋が商品購入者リストなどを売っている実態 •どこかで流出したものとみられる •オプトアウト手段の提供(利用目的に第三者提供を初めから掲げ ている事業者)で第三者提供が合法となるのが現行法 •安全管理措置で顧客情報を日々守っている事業者からすればやり 切れないこと •ビジネスの信頼をも揺るがしているのでは? •検討会では •名簿屋の第三者機関への届出制が提案された •勧誘電話の問題と、詐欺の幇助に使われる問題はそれで解決できるが •販売されること自体がプライバシー侵害となる名簿については何の解決に もなっていない •勧誘電話が本人にかかってこないのだから気づきようがない •検討会で委員から繰り返し指摘されたが、解決策が示されず 25 大綱に追記された •大綱検討会案で追記された記述 •「個人データの第三者提供におけるオプトアウト規定について は、運用上の問題が指摘されているところ、現行法の趣旨を踏 まえた運用の徹底を図ることとする。」 •「現行法の趣旨を踏まえた運用」とは? •ピンク本(現行法の起草者らによる逐条解説)p.150 •「取り扱われる個人情報の性質や利用目的等から、本人に重大 な権利利益の侵害をもたらすおそれのある分野、業種等につい ては、第三者提供に際して事前の本人同意を求める本条第1項 に立ち戻るなどの特別の施策や運用が図られることが望まし い。」 •これのことか?(これのことデスヨネー?) 26
  14. 14. その他 •現行法は取得を制限していない •不正な手段でなければ、公表するだけで無断で取得できる •取得に本人関与の機会を! •顔識別による無断トラッキング •NICTによる大阪駅顔識別ID化実験に市民団体が抗議 •万引き犯を顔識別してID化して店舗間で共有するシステムが登場 •Wi-FiのMACアドレスによる無断トラッキング •米国で中止になった事案 •AppleはiOS 7でprobe request信号のMACアドレスをランダム化へ •Webの行動ターゲティング広告のためのトラッキング •取得の委託モデルとして整理できる •取得に対するオプトアウトで許容されている(米国) •現行法との整合性を要検討 27 経済界の意見 •第9回 •参考人 新経済連盟 •参考人 一般社団法人モバイル・コンテンツ・フォーラム •参考人 アジアインターネット日本連盟 •参考人 一般社団法人インターネット広告推進協議会 •規制改革会議 創業・IT等WG提出意見 •第10回 •某勉強会(片岡総合法律事務所が事務局)提出意見 •ヤフー提出意見 •規制改革会議 創業・IT等WG提出意見 •日本ヒューレット・パッカード株式会社提出意見 •第12回 •某勉強会(片岡総合法律事務所が事務局)提出意見 28
  15. 15. 某勉強会の意見 •意見9「取得の際に特定した利用目的を変更する場合には、「あらかじめ 公表」又は「速やかに通知」した上で、オプトアウトの手続を定めるべ きである。」(以下、理由とされているもの) •「まず、実務上、当初想定しなかった目的にデータを利用したいというニーズ(過去 に取得したデータをその取得時の目的の範囲を超えて利用したいというニーズ)は事 業者において高く、利用目的の変更に同意が不要とされることによるパーソナルデー タの利活用の促進効果は高いものと思われる。他方、利用目的の変更について同意 を要しないとしても、取得時に同意を不要とした現行法と比較して利用者の保護に欠 けるものではなく、また、事後的にオプトアウトの手続を定めることにより、利用 者が意に沿わない利用目的の変更を回避する道も確保することが可能となる。 •「法第23条第2項では、個人データの第三者提供についてオプトアウトの手続を定め ているが、同項第1号の「第三者への提供を利用目的とすること」という要件につい て、個人情報の取得時に第三者提供を利用目的としていない場合には、取得済みの 個人情報に関する利用目的の変更が必要となる。そして、利用目的の変更には、上 記のとおり、本人の同意が必要になることから、結果として、第三者提供について本 人の同意を得る手続と同じとなり、現行法第23条第2項のオプトアウト手続が形骸 化する要因となっている。」 29 ヤフーの提案 (1/2) •データの取扱いについてデータ利活用に先立ちプライバシーポリシーを作成し、それを公表することを義務付 ける。 •プライバシーポリシーには「(仮称)準個人情報」を取得すること、その利用目的、第三者提供をする場合は その旨とその範囲を記載する。 •利用目的を追加・変更する場合には、プライバシーポリシーを改定することとし、消費者が認知し、サービス の利用について判断できるよう、一定期間前もってその旨を告知する。 •上記のほかにも、事業者は透明性を高める努力をし、消費者が自主的に当該事業者のサービスの提供を受ける かどうか判断できる工夫をする。 •事業者が上記義務に違反した場合、データ利活用停止、制裁的公表等の現行法には規定されていない制裁措置 を規定する。 •上記の条件を満たす限り、「(仮称)準個人情報」は、第三者提供、目的外利用を含み正当な範囲での利活用 を可能とする。 •「(仮称)準個人情報」の主体たる消費者の利益を害するような利活用を禁止する旨の規定を設ける。 •上記を担保するため、第三者機関は以下の権限を有する。 •事業者のプライバシーポリシー策定・公表義務の順守状況、公表しているプライバシーポリシーに反する行為 がないかの調査を実施し、主務大臣に報告。 •主務大臣の要請に応じて、情報の取扱いに関する調査を実施し、行政処分について主務大臣への答申を実施。 •調査にあたっては、必要に応じて立入検査を実施する。 •消費者等から苦情の受付、処理の実施。 30
  16. 16. ヤフーの提案 (2/2) •「容易照合性」の概念を残すことによって、実質的に「(仮称)準個人 情報」の概念が無意味に帰し、個人情報扱いされることがないよう「容 易照合性」の概念を整理する。具体的には、個人情報たるAデータベース と個人情報ではないBデータベース(「(仮称)準個人情報」などのデー タ)が存在する場合に、Aデータベースの情報との照合が、5000件(個 人情報取扱事業者を画定する際に個人の権利利益を害する恐れが少ない ものとの基準に用いたのと同等の基準)を超えて同時にできるなどの状 態にはない場合、もしくは、両データベースにアクセスできる者について、 アクセスログを取るなどの監視体制がしっかりしていることにより、容易 に正当な業務の必要性を超えて照合がなされないことが実質的に担保さ れている場合には、容易照合性があるとは認定されない、などという整 理をしてはどうか。 •??? 31 規制改革会議の意見 (1) 規制対象として新たなカテゴリーが追加されると、その外縁の不 確かさによって、却ってグレーゾーンが拡大される懸念がある。 (2) 現行法では規制対象となっていない「識別子」等が規制対象に含 まれる理由が定かでない。 (3) 規制対象となるパーソナルデータについては、例えば、現行法で 利用目的を特定する必要がないデータについて利用目的を特定す る義務を課すなど、現行法より強い規制を及ぼすべきでない。 (4) IT技術の急速な進歩を踏まえ、匿名化にあたっては現在の特定の 技術を用いることを義務付けることは避け、法令以外の手法を活 用するなど柔軟なルールとすべきである。 (5) ビッグデータの利活用による個人へのメリットをアピールするこ とも極めて重要である。 32
  17. 17. 4月の事務局案 ヤフーの提案 規制改革会議の意見謎の勉強会の意見 日経新聞の報道ぼくらが欲しかったもの できた大綱 鈴木委員の対案 33

×