「パーソナルデータの利用・流通」へのセキュアサービス研究グループからの意見。その要点。
-
- いいね!9
TAKAGI, Hiromitsu
@TakagiHiromitsu
国立研究開発法人産業技術総合研究所 サイバーフィジカルセキュリティ研究センター 主任研究員 (ツイートは個人の見解であり、所属研究所・研究部門等を代表するものではありません。)
パーソナルデータの利用・流通に関する研究会
TAKAGI, Hiromitsu
@TakagiHiromitsu
総務省の「パーソナルデータの利用・流通に関する研究会」報告書(案)が発表され、パブリックコメントの募集が31日締切で開始されています。 http://t.co/toCPJHmyF8
2013-05-20 18:15:27
TAKAGI, Hiromitsu
@TakagiHiromitsu
これに先立ち4月には「論点整理」に対する意見募集 http://t.co/jnMfZMEzHZ が行われており、我々、セキュアサービス研究グループは、この「論点整理」に対して意見を提出していました。その意見が以下で公開されました。 http://t.co/dc2un3aC2I
2013-05-20 18:17:20
TAKAGI, Hiromitsu
@TakagiHiromitsu
4月の論点整理では、「個人識別性を有する「個人情報」に限定することなく、広く「個人に関する情報」を「パーソナルデータ」と定義して、検討の対象とすることとし、その中で「保護されるパーソナルデータ」の範囲について検討するものである」(p.2)とされており、このことは、従来、…
2013-05-20 18:39:59
TAKAGI, Hiromitsu
@TakagiHiromitsu
…従来、ともすれば「住所氏名等さえなければ個人情報に当たらないのだから何の規制も受けない」とされがちであったことからすれば大きな前進であり、このような検討は歓迎するものであります。しかしながら、論点整理は、保護されるパーソナルデータの範囲の検討において、結局は、…
2013-05-20 19:16:03
TAKAGI, Hiromitsu
@TakagiHiromitsu
…結局は、「取得等の際に特定の個人が識別されなかったとしても、他のパーソナルデータと併せて分析されることにより、特定の個人が識別される可能性がある」(p.8)と、特定個人識別性の有無を保護対象の要件としてしまっており、個人情報保護法の言う個人情報の要件に依拠してしまっていました。
2013-05-20 19:24:25
TAKAGI, Hiromitsu
@TakagiHiromitsu
このことは他の方も感じられたようで、パブコメの別の提出者「匿名個人1」氏も、次のように、同じ趣旨の指摘をされていたことがわかりました。
2013-05-20 19:32:39
TAKAGI, Hiromitsu
@TakagiHiromitsu
匿名個人1:「…個人識別性に規律の根拠を求めるのは、この研究会が「個人情報」とは別に「パーソナルデータ」という語を用いて、「プライバシーの保護等に配慮した」利活用という検討を始めたことを無にするのではないか。」
2013-05-20 19:32:42
TAKAGI, Hiromitsu
@TakagiHiromitsu
まさしくその通りで、我々のパブコメ提出意見では、次のように指摘しました。 「このような論理構成は、結局のところ、現行法の言う「個人情報」に該当し得るかの観点で論じようとしているにすぎず、そもそも何のためにパーソナルデータを保護する必要があるかの議論に踏み込んでいない。特定個…
2013-05-20 19:39:41
TAKAGI, Hiromitsu
@TakagiHiromitsu
…特定個人識別性が獲得されるかの議論だけでなく、特定個人識別性がなくとも不特定個人識別性のあるデータについても対象に、保護するべきパーソナルデータに当たるかを論点とするべきであり、その際、不特定個人識別性とプライバシー権との関係を論拠とするべきである。」
2013-05-20 19:40:19
TAKAGI, Hiromitsu
@TakagiHiromitsu
なお、ここで言う「不特定個人識別性」とは、定着した用語ではなく、ここで定義した仮の用語であり、以下のものです。 「特定の個人は識別されない(個人は特定されない)が個人の識別は行われる(一人一人が区別・同定される)場合(以下、不特定個人識別性という。)」
2013-05-20 19:45:59
TAKAGI, Hiromitsu
@TakagiHiromitsu
同じ趣旨の指摘は「匿名個人1」氏も次のように指摘していました。 匿名個人1:「個人識別性を有しない情報であっても、ネット上の仮名(識別子を含む)のみで確立しているアイデンティティも存在する。」 これは、ネット上の仮名といっても、SNS等の表現の場に限らずの意味だと推察します。
2013-05-20 19:46:22
TAKAGI, Hiromitsu
@TakagiHiromitsu
特定個人識別性がなくても保護対象になり得るとしながらその根拠を「いずれ特定個人識別性を獲得するかもしれない」に置くこのような論法では、保護の必要性に疑念を抱く立場にある方がを説得することはできないと考えます。案の定、パブコメには新経済連盟から、以下の意見が提出されていました。
2013-05-20 19:59:10
TAKAGI, Hiromitsu
@TakagiHiromitsu
新経済連盟:「保護されるパーソナルデータの範囲の外延が不明である。個人識別性がなくても「実質的に特定の個人と継続的に結びつく」「特定の個人を識別することができるようになる可能性が高く」とあるが、プライバシーの観点からの具体的な保護法益レベルが必ずしも明らかになっておらず何が問題…
2013-05-20 20:00:36
TAKAGI, Hiromitsu
@TakagiHiromitsu
このような疑念は尤もなことでしょう。 なぜ保護するのか? → 個人情報保護法で保護することになっているから。 というのでは、どこまでいってもトートロジーから抜け出すことはできないでしょう。 そもそもなぜ個人情報保護法でそれを保護する必要があったのかに立ち返ることが不可欠です。
2013-05-20 20:08:42
TAKAGI, Hiromitsu
@TakagiHiromitsu
そのような整理をしないと辻褄が合わない状況が現にあり、それは不特定個人識別性のあるデータであり、cookie等を用いて蓄積される履歴がその一例です。昨年の米国消費者プライバシー権利章典でデバイスIDに紐づく情報が保護の対象とされたこと、英国におけるcookie規制と整合しません。
2013-05-20 20:26:40
TAKAGI, Hiromitsu
@TakagiHiromitsu
なお、不特定個人識別性のある(が特定個人識別性はない)データについて、特定個人識別性のあるデータと同レベルで保護するべきだとまでは思いません。後者では義務があるが前者では義務がないといった規律でよいと思いますし、行動ターゲティング広告の例を見れば、現にそういう運用になっています。
2013-05-20 20:33:54
TAKAGI, Hiromitsu
@TakagiHiromitsu
問題は、前者の義務に法的根拠がないことであり、無視する事業者が現れたときに、誰も止めることができません。現にそのような事業者は複数存在します。
2013-05-20 20:35:04
TAKAGI, Hiromitsu
@TakagiHiromitsu
産業競争力会議 http://t.co/94ioeOfpuq の4月17日の会議で、三木谷主査から配布された資料「ITを活用したビジネスイノベーション」http://t.co/ND4IyBXBlf に「パーソナルデータの利活用環境の整備」として以下の記述があります。
2013-05-20 20:40:53
TAKAGI, Hiromitsu
@TakagiHiromitsu
「EUに展開している日本企業が多大な負荷を負わないよう政府による交渉が必要」 「十分性認定/欧州委員会に十分な個人データ保護を認められた国への移転/日本は認定されていない」 「企業がビッグデータ…利活用を積極的に行えるようにするための、国内の法制度や運用解釈の整備」
2013-05-20 20:43:00
TAKAGI, Hiromitsu
@TakagiHiromitsu
まさしく、EUと対等な関係を築くには、特定個人識別性がないが不特定個人識別性のあるデータについての規律(具体例としてはcookieやデバイスIDに紐づいたデータに対する規律)を、彼らと同等に合わせていくことが欠かせないはずです。
2013-05-20 20:47:18