ひろみちゅせんせとジュンコ
-
- いいね!26
TAKAGI, Hiromitsu
@TakagiHiromitsu
…それを今、何らかの形で日本でも法制化する必要があるわけですが、行動ターゲティング一般をカバーするとなると、共通IDが問題であるわけではないということになります。昨年の総務省パーソナルデータ研究会のパブコメのとき、FTCレポートの文意を理解するにつけその考えは明確になり、…
2014-04-17 14:30:53
TAKAGI, Hiromitsu
@TakagiHiromitsu
…なり、パブコメ意見には「不特定個人識別性」を検討するべき http://t.co/OVIs2nlk1G と主張しました。ここでは共通IDが問題なのではなく、一人ひとりが識別されていることそのものを対象にするべしとしています。
2014-04-17 15:04:59
TAKAGI, Hiromitsu
@TakagiHiromitsu
昨日の検討会でも、準個人情報にcookieは入りますか?との質問があり、事務局は最初は「入るとしてもよいのではないか」との回答でしたが、後に訂正され、「入らないということでよいのではないか」とされ、技術検討WGに問うことになりました。しかし、鈴木委員から指摘が入ったように…
2014-04-17 16:32:05
TAKAGI, Hiromitsu
@TakagiHiromitsu
…ように、異なる運営者のサイトが結託して、それぞれが持つcookie値が同じ人のものとして紐付ける「CookieSync」などと呼ばれるテクニックが広告技術業界で広まり、もはや、cookieという技術方式の仕組みだけ見ても足りず、事業者が何をしようとしているかの方が重要となって…
2014-04-17 16:35:51
TAKAGI, Hiromitsu
@TakagiHiromitsu
…なってきています。もちろん共通IDは問題ありですが、それは(そういう技術方式は避けましょうねという)技術設計の話であり、今必要とされている法制度設計においては、そこばかり注目してしまうと全体をカバーできない虞れがあります。
2014-04-17 16:46:56
TAKAGI, Hiromitsu
@TakagiHiromitsu
探してみたところ、2011年10月にこんなことを言っていたようです。 https://t.co/JwOQ7KBA5R
2014-04-17 16:48:16
TAKAGI, Hiromitsu
@TakagiHiromitsu
昨日の事務局案の資料を見ると、問題設定が、特定される蓋然性の高まりと、漏洩による被害の高まりとされています。その問題設定から導かれたのが、2者以上で共用される識別子のリスクであり、それを準個人情報と定義した格好になっています。しかし、鈴木委員、新保委員から指摘があったように…
2014-04-17 16:51:24
TAKAGI, Hiromitsu
@TakagiHiromitsu
…ように、この問題設定に、プロファイリングのことが入っていません。プロファイリングにより差別される等の問題は、2者で共用される前の段階から発生します。そのため、2者以上で共用される識別子を準個人情報とする事務局案では、プロファイリングの問題をカバーすることにはなりません。
2014-04-17 16:54:52
TAKAGI, Hiromitsu
@TakagiHiromitsu
事務局案に載っている利活用の例2つはいずれも行動ターゲティングではありません(パーソナルデータが加工されて提供先で統計情報として利用される例)。米国で自主規制の取り組みが進んでいる行動ターゲティングを利活用モデルに想定せずに、この大改正の論点を整理できるはずがないと思います。
2014-04-17 21:28:34
TAKAGI, Hiromitsu
@TakagiHiromitsu
総務省の第二次提言とスマートフォン・プライバシー・イニシアティブの取り組み領域が、この事務局案には全く検討に入っていません。それで国際的調和を図ることなどできるはずもないでしょう。例えば先月のJIAAのガイドライン。これが法律で裏打ちされるような改正が望まれているところでしょう。
2014-04-17 21:34:53
TAKAGI, Hiromitsu
@TakagiHiromitsu
米国の行動ターゲティングをこの改正案に当てはめたときどう規律されることになるか検討したのでしょうか。検討してみると早速綻びが見つかります。iOSとAndroidの広告識別子は共通IDなので、それと共に扱われる情報は準個人情報に当たります。それなのに第三者提供時の義務を見ると…
2014-04-17 21:38:30
TAKAGI, Hiromitsu
@TakagiHiromitsu
…見ると、非共通IDに変換しなければならない(個人特定性低減データへ加工)ことになっています。そして、オプトアウトに応じることを条件にした加工なしの提供は認められていません。なぜなら、特定の個人が識別されなければ本人からのオプトアウトが実現不可能だからとされています.それはない。
2014-04-17 21:44:10
TAKAGI, Hiromitsu
@TakagiHiromitsu
昨年の総務省パブコメ http://t.co/OVIs2nlk1G で、行動ターゲティングを例に、不特定個人識別性とプライバシー権の関係を明らかにせよとしていたのは、プロファイリングによる評価を受けない権利のことであったと今なら言えます。このときは、「不特定個人識別性」なる語を…
2014-04-17 22:01:42
TAKAGI, Hiromitsu
@TakagiHiromitsu
…語を仮に作りましたが、その時点では、それをどう規律すればよいかはのーアイデアでした。共通IDに限定するのは筋悪と気づいていたので、この語を作ったのですが、「個人に関する情報」の全部としてしまうと、あらゆる情報が対象となってしまい、それを保護するわけにはいかないことはわかって…
2014-04-17 22:03:26
TAKAGI, Hiromitsu
@TakagiHiromitsu
…わかっていました。それが、その後の鈴木正朝先生との共同研究や他の研究者の方々との議論、文献をあたる勉強を通じて、散在情報と処理情報の概念を知るに至り、散在情報を義務対象から完全に外せばよいことに気づきました。しかも、現行法でも散在情報は民間に対して義務がかかっておらず、…
2014-04-17 22:07:39
TAKAGI, Hiromitsu
@TakagiHiromitsu
…おらず、単に法技術的な都合でやむを得ず「個人情報」の語が義務対象に出ているに過ぎないことを知りました。散在情報が義務の対象外であれば言論の自由と衝突することもほぼありません。これも既に10年前の国会で議論されていたことでした。義務の対象を処理情報に限定してみると、解決方法が…
2014-04-17 22:12:04
TAKAGI, Hiromitsu
@TakagiHiromitsu
…方法がスッと見えてきました。識別非特定情報と識別特定情報を処理情報として保護対象にすればよいのです。それを「個人データ」として再定義すればよいのです。技術検討WGの方々の定義はわかりませんが、識別非特定と特定情報は、処理情報に一致するものと捉えればよいと思えてきました。つまり…
2014-04-17 22:16:00
TAKAGI, Hiromitsu
@TakagiHiromitsu
…つまり、識別非特定/特定情報の(非識別情報と区分する)要件を「個人情報データベース等」の定義条文として書き下せばよいのです。現行法で「個人情報を含む情報の集合物であって」となっているところから「個人情報」を削って、「一人ひとりの個人に関する情報の集合物」のような定義を編み出せ…
2014-04-17 22:19:41
TAKAGI, Hiromitsu
@TakagiHiromitsu
…編み出せばよいと思われます。そして、個人情報データベース等から取り出した出力帳票が個人データであるのと同様に、個人情報データベース等に入れる前の入力帳票も個人データであるとなるように定義すれば、民間部門の義務規定から完全に「個人情報」の語を消滅させることができます。あとは…
2014-04-17 22:21:22
TAKAGI, Hiromitsu
@TakagiHiromitsu
…あとは、そのような「個人データ」について、その内容次第で義務の強弱を付けることになり、その区分の定義が必要となり、そこに、今議論されている「何が準個人情報に入るか」といった基準が反映されることになるでしょう。
2014-04-17 22:25:40
TAKAGI, Hiromitsu
@TakagiHiromitsu
こうした考えを書いたのが、先日公開したメモ https://t.co/c2QQaQD1zE であり、早い段階の構想が、12月の堀部研での講演でした。http://t.co/TCVaNAWRRm
2014-04-17 22:27:10