20140429個人情報保護法改正とパーソナルデータ論議について鈴木正朝教授ツイートまとめ

鈴木 正朝 @suzukimasatomo

現行法は改正しろ。でも新概念新用語の採用はイヤ、「個人情報」の定義は維持しろ。「個人データ」の定義の拡張はありえないという主張では、八方ふさがりな感じもします。なんか別に良い方法があるといいですが。意見書の内容はもっと改正の骨格についての具体の提言に踏み込むべき。

Shinji Kono @shinji_kono

@suzukimasatomo 要は企業が文句言われずにビッグデータというプライバシーにアクセスできるようにしろってことなんですよね。悪用に厳罰、被害者には手厚い補償、それ以外は自由ってのが良いが…

中川裕志 @hiroshnakagawa3

@suzukimasatomo ようするに、現行法を骨抜きにする方向で改正しろとの主張ではないですかね。彼らにとっては、個人情報保護法なんてないほうが良いものと考えている節が濃厚。業界人は常に法律が嫌いなものだというのは普遍的なことのように思えてきた。

鈴木 正朝 @suzukimasatomo

「特定個人の識別情報」（Personal Identifiable Information; PII）という概念が人格的権利利益（Right to Privacy）の保護に有効か。オンライン広告等で新たな手法が登場してくるとともに日米ともにそれが機能不全に陥ってきました。

鈴木 正朝 @suzukimasatomo

実は「特定個人の識別情報」（PII）の解釈を怠ってきたのではないかと反省しましたが、それは何も日本の学界だけではなく、米国もまた同様だったようです。もしかしたら、怠けていたのではなく差し迫った必要性に直面してこなかったのかもしれません。

鈴木 正朝 @suzukimasatomo

アメリカではすでに数年前から、一部にPII不要説も登場しているようですが、PII概念の再構成を模索する穏当なアプローチが支持されているのだろうと思います。日本でも、個人情報の定義において「特定個人の識別性」概念が不要だと正面から主張する説はないのではないかなと思います。

鈴木 正朝 @suzukimasatomo

個人情報の定義「特定個人の識別情報」の範囲は、米国、EUに比較しても日本は氏名がわかることといった感覚にひっぱられたのか狭くなる傾向にあったように思います。本人確認情報だけに限定する誤解も広がるなどしたので氏名、住所等を削れば非個人情報化という短絡した理解もあったかなと。

鈴木 正朝 @suzukimasatomo

日本の「特定個人の識別情報」と米国のPIIは、直訳すると同じですが、その範囲は異なっている。両国の個人情報の定義は同じという理解のままだと保護の対象情報のズレに無自覚になる。これはクロスボーダーに流通する個人データを保護し利用していくにはあまり望ましい状況ではないと思います。

鈴木 正朝 @suzukimasatomo

法体系の違いはいかんともしがたいのですが、せめて改正を機に、まずは日米間の対象情報と保護水準を可能な限り揃えていくべきでしょう。それが両国の執行協力体制の構築と強化の前提になります。そこからAPECやOECD等の場も活用しながら日米EUの合意形成を目指すべきように思います。

鈴木 正朝 @suzukimasatomo

昨今の議論の論点をまとめておこうと思います。 第１に、特定個人の識別情報（PII）に加えて、「保護すべきパーソナルデータ」は何かを見極めること。要するに現行法に追加する部分が何かを明らかにすることでしょうか。事務局案はそれに「準個人情報」という用語を与えてみたということでしょう。

鈴木 正朝 @suzukimasatomo

では、それを見極めるためにはどうするか。 （１）技術検討WGの報告書の成果をいただいて、「識別特定情報」と「識別非特定情報」に分類し、後者に着目して法的保護が必要な「識別非特定情報」とは何かを考えてみてはどうでしょうか。

鈴木 正朝 @suzukimasatomo

＊なぜ記名式Suica（識別特定情報）が問題になったのか。いや特定性はないという反論はあり得るところですが、米国やEUでは無記名式Suica（識別非特定情報）でも問題になり得るわけです。いやその理解事態が間違いか。いずれにせよ広くビジネスをするならこの問題意識は重要でしょう。

鈴木 正朝 @suzukimasatomo

（２）特定の個人を識別できる情報ではないが、プライバシーの権利（または本人の人格的権利利益）を侵害する情報について検討してみること。 クッキーやその他の識別子（識別非特定情報）を用いてプライバシーが侵害されるケースがないかを考えてみるといいと思います。さて位置情報はどうする？

鈴木 正朝 @suzukimasatomo

（３）本人に利用目的等を示し事前同意を得てから利用すべき情報とはどのようなものか。（位置情報はここ？）それから利用目的等を公表しオプトアウト手続を用意すれば同意なく取得し提供できる情報とはどのようなものか。と法的効果から考えてみる。

鈴木 正朝 @suzukimasatomo

（４）具体的に「行動ターゲティング広告」において用いる識別子等のパーソナルデータの取得及び提供等の法的ルールについて検討すること。また「プロファイリング」とは何か、どのような内容を最低限の禁じ手とすべきかを検討すること。

鈴木 正朝 @suzukimasatomo

（５）散在情報と処理情報（マニュアル処理情報とコンピュータ処理情報）の違いを再確認して、注力すべき範囲がどこにあるか検討すること。コンピュータ処理情報に集中していくべきでは？

鈴木 正朝 @suzukimasatomo

第二に、「特定個人の識別情報」に追加するだけではなく、現行法の主たる保護対象から外すべき情報はないかも検討しておくべきではないでしょうか。 （１）「散在情報」を改正個人情報保護法の保護対象とすべきか。 （２）「マニュアル処理情報」を法的保護対象とすべきか。

鈴木 正朝 @suzukimasatomo

第三に「機微情報」を導入すべきか。 それをどう定義すべきか。 第四に「低減データ」を導入すべきか。日本版FTC３条件を採用できるか。提供先の管理コストも念頭において検討すべきでしょうか。 第五に本人保護を図りつつ利活用を促進する新たな法的しくみを追加できないかも重要です。

鈴木 正朝 @suzukimasatomo

「対象情報該当」→「即禁止」という感覚はあるのかなぁと。その効果が本人同意を求められる規制なのか、オプトアウトに止まる規制なのかもあまり確認せずに禁止されるから過剰規制と筋肉反射的に反発する向きはあるのだろうなと。

鈴木 正朝 @suzukimasatomo

対象情報該当性は、個別義務規定の要件の一つですから、個々の義務規定の他の要件とその効果とセットで議論しながら、再度対象情報の吟味に戻るというあたりを一往復してみないと、意味のある反論、有意義な議論はできないかもしれません。全体構成、骨格をわかりやすく示す必要がありそうですね。

鈴木 正朝 @suzukimasatomo

本人同意で十分に仕事ができるという現場の声、広告識別子の利用に際して同意は無理だがオプトアウト手続に応じるだけなら十分に対応できるという現場の声もある。実は現場の仕事に精通していないところで、管理部門が企業を代表して過剰にのりしろをとったポジショントークをしているところはないか。

鈴木 正朝 @suzukimasatomo

名簿屋規制もそろそろ正面から議論した方がいい。詐欺の幇助等ギリギリの刑事規制だけでなく、カモリストによる高齢者被害、医療カルテ等機微情報の売買は行政規制でも対応すべき。企業の情報セキュリティ対策上も持ち出された個人情報の換金場所が堂々と存在しアクセス容易というのは極めて問題。

鈴木 正朝 @suzukimasatomo

あまり潔癖な運用をしすぎると地下にもぐったり、管理社会にふれすぎたりの問題はあるが、昨今の事例の中には、いくらなんでもおまえら・・・みたいな事例は野放しにはできない。PIAという言葉もはやっているが影響の大きさに着目した規制のあり方も議論していくべき時期では。