2013年7月21日

個人情報じゃなくてもパーソナルデータじゃない? #Suica履歴提供

Suicaの乗降履歴は個人情報じゃないから保護しなくていいのでしょうか?3人の方のツィートから考えてみました。
10

[お知らせ]

Suica履歴提供 については、9月25日までに除外の申出があったものについては、過去分に遡ってデータを削除するとされていましたが、それ以降もJR東が「今後の対応を決定するまでの間」、遡及して削除するとのことです。但し、時期未定ですので、除外希望の方はお早めに。

除外申出にはSuicaID 番号(Suica 裏面の JE から始まる番号)を伝える
・本文に記載して jogaiyobo@jreast.co.jp にメール
・03-5334-1655に電話
・10/1以降↓から
http://www.jreast.co.jp/suica/procedure/suica_data.html

詳しくは↓をごらん下さい。

Suica に関するデータの社外への提供における対応について
http://www.jreast.co.jp/press/2013/20130913.pdf

Suica に関するデータの社外への提供についてよくいただくお問い合わせ
http://www.jreast.co.jp/pdf/suica_data.pdf

 子どもをSuica定期券で電車通学させている方、ご一考ください。

JR東日本がSuica乗車履歴を日立製作所に渡し、日立製作所が顧客のオーダーによる統計分析をするサービスを7月1日に開始しました。

JR東日本の見解では
「SuicaのIDにはひも付いていないから、個人が特定できるようにはなっていない。つまり、個人を特定できないので、(販売しているデータは)個人情報に当たらない」
http://bizmakoto.jp/makoto/articles/1307/19/news141.html
とのことですが、本当にそうでしょうか?また、個人情報保護法上の個人情報には相当しなくても、プライバシー侵害が発生している懸念は無いのでしょうか?

個人情報の保護に関する法律
(平成十五年五月三十日法律第五十七号)

総務省は今年6月12日、ある研究会の報告書を公表しました。

「パーソナルデータの利用・流通に関する研究会」報告書の公表
http://www.soumu.go.jp/menu_news/s-news/01ryutsu02_02000071.html

「総務省は、本報告書を踏まえ、必要な施策を実施していきます。」とあり、関連の事業者は無視することが難しい報告書です。

「パーソナルデータの利用・流通に関する研究会」報告書(以下、単に報告書と表記します。)では個人情報とパーソナルデータについて、以下のように記述しています。

「 我が国のパーソナルデータの保護に関する法律としては、個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法があげられる。また、パーソナルデータの利活用については、統計法、電気通信事業法による通信の秘密の保護、知的財産権の保護、情報公開法による不開示情報の保護なども関連する。
 そのうち我が国の個人情報保護の基本法である個人情報保護法は、「個人情報」を同法による保護の対象としている。しかしながら、「個人情報」の「特定の個人を識別することができる」(個人識別性)の要件については、具体的な情報(例えば、端末ID、IPアドレス、クッキー等)が個人識別性の要件を満たすか否か、あるいは個人識別性がない情報であっても保護対象とすべきものがあるのではないかなど様々な議論が行われている。
 そのため、本研究会においては、個人識別性を有する「個人情報」に限定することなく、広く「個人に関する情報」を「パーソナルデータ」と定義して、検討の対象とすることとし、その中で「保護されるパーソナルデータ」の範囲について検討を行ったものである(第3章第1節2.参照)。」
※報告書5~6頁、ファイルとしてはP.7~8

物凄く乱暴に要約すると、個人情報保護法上の個人情報ではカバーしきれない部分をパーソナルデータとして検討したということです。

報告書の内容と #Suica履歴提供にどのような関係があるのか?3人の方のツィートをごらん下さい。

江井 祐司 @yuhkun

ビッグデータとプライバシー:Suica利用履歴販売、JR東は「個人情報に当たらない」との見解 (1/2) http://t.co/PKtZbxINf2 別のIDを振り直しても、長期間同じIDだったら意味ないよね。どうしてるんだろう?

2013-07-20 22:40:10
江井 祐司 @yuhkun

匿名と言っても同じIDを比較的長期間付けてたら、例えばある人がTwitterで「○○駅なう」みたいなことを言ってるのを幾つか集めて複数の条件でSuicaの乗降履歴を検索したら人を特定して、普段どういう行動しているか、ある日全く違う場所に行ってるかとかも分かっちゃうよね。

2013-07-20 22:43:04
江井 祐司 @yuhkun

なのでこの手のデリケートなデータは、個人を逆引きできる状態で使うことになってしまわないか、かなり慎重にならないといけないと思うのです。そういうのを一部の人が騒ぐだけみたいな話にせず、社外的なコンセンサスが得られるといいのだけど難しいなぁ。

2013-07-20 22:46:28
ROCA:)) #openCACAO #COCOAボランティアデバッグ @rocaz

.@yuhkun でまとめられたのが総務省「パーソナルデータの利用・流通に関する研究会」報告書です http://t.co/H8A2Uxkqo1 今回これに厳密に従っていないのではと言う批判にもなっています。 http://t.co/fxZG9lKKh9

2013-07-21 05:24:30

個人情報保護法上の「個人情報」に該当しないからいいという訳ではないのじゃないかと考えていらっしゃるようです。

ROCA:)) #openCACAO #COCOAボランティアデバッグ @rocaz

あああっ世の中に総務省パーソナルデータ研究会報告書の存在と内容を「わかりやすく」広く知らしめたいっっっ。どっかのメディアがちゃんとした分かりやすい記事を書いてくれないかな これ悪くないけど何を禁止すべきかの啓蒙が足りない気がする http://t.co/fxZG9lKKh9

2013-07-21 05:57:09
崎村夏彦『デジタルアイデンティティ』日経BPより発売中 @_nat

@rocaz この中の基準とか、FTCレポートから引っ張ってきてたりするわけですが、先方に問い合わせると、「気持ち悪いと思う人がいたらプライバシー侵害は起きている。」小手先の手段論ではなく、こう言う大元をおさえるのが重要かと。

2013-07-21 06:29:03
ROCA:)) #openCACAO #COCOAボランティアデバッグ @rocaz

@_nat なるほど、「印象」「感性」は重要だし、数値で計れるものではないからそれをどう汎化して具体化できるかですね。完全否定はしないけど、僕は「現行法の範囲でしかしない法律論」が「気持ち悪い」です ( ̄ー ̄)

2013-07-21 06:52:01

言及されているFTCレポートとは報告書参考資料8 米国FTC報告書「急速に変化する時代における消費者プライバシーの保護」“ Protecting Consumer Privacy in an Era of Rapid Change ” http://ftc.gov/os/2012/03/120326privacyreport.pdf を指すと思われます。

報告書は日本国内だけでなく、広く世界の動向を踏まえたものなのです。

「気持ち悪いと思う人がいたらプライバシー侵害は起きている。」

 定量的に被害を示すことは大事です。けれど、どこかおかしい、気持ち悪いといった感覚は、被害があるかどうかを見つける、大事な一歩だと思います。

あなたは、どう感じましたか?

コメント

A.Wada @senryoAIIT 2013年7月26日
まとめを更新しました。Suica履歴提供除外に関する緊急のお知らせを冒頭に追加しました。
0
A.Wada @senryoAIIT 2013年9月22日
まとめを更新しました。お知らせを更新しました。
0
Tsuyoshi CHO @tsuyoshi_cho 2013年9月22日
FTCレポートに「気持ち悪いと思う人がいたらプライバシー侵害は起きている。」という文言ってあるのでしょうか?探してみたかぎり解説的なところでそういうのが出てないのですが...。あとそれだと妄想の症状のあるひと一人いるだけで、すべて破綻するので、感覚として、というのと実態として、は別になると思うんですが。
0
A.Wada @senryoAIIT 2013年9月23日
tsuyoshi_cho https://twitter.com/_nat/status/358700104892424192 には文言としてではなく、問い合わせに対する回答として示されています。また、対応については他の条件を勘案して行われると思いますが。
0