顔情報の共有

pmark-anchor 2014年4月12日 土曜日
4/5に読売新聞が報じた
客の顔情報を「万引き対策」として首都圏や中京圏のスーパーやコンビニなど
50事業者計115店舗で無断共有していたというニュースには驚いた。
これは防犯カメラで撮影された映像のうち
万引きされたり、理不尽なクレームをつけられた客の顔情報を
データ化して事業者間で共有するというものらしい。

記事によると
顔情報は「万引き犯」「クレーマー」といったカテゴリーで区分され
加盟する店舗で顔情報が一致した場合には警報が鳴る仕組みとあり
顔情報はシステム会社のサーバに蓄積され照合されているようである。
システムを導入している店舗では
「顔認証監視カメラ設置」というシール貼って撮影しているようだが
他店舗との顔データの共有については周知されていないとある。

これが事実だとすれば違法である可能性が極めて高い。
当然ながら、顔情報は個人情報の中でも個人識別性が高く
本人が知らないうちにブラックリストのような扱いを受けているとすれば
プライバシー侵害に当たる可能性もある。
万引き被害が深刻化する中での対策の一環と思われるが
115店舗まで拡大する前に何故問題にならなかったのか。
他にも同じようなシステムがあるのではないかという疑念が拭えない。

近年、街中に防犯カメラが設置されたとにより
犯罪の抑止力として、また犯罪の早期解決に有効であることは証明されたが
一方で、常に監視されているという居心地の悪さもある。
安心・安全とプライバシー保護の軽重を一概に断じることはできないが
今回のケースは早急に見直されるべきであろう。

パーソナルデータ事前相談評価

pmark-anchor 2014年4月4日 金曜日

3月26日に経済産業省は
 「消費者に信頼されるパーソナルデータ利活用ビジネスの促進に向け、
  消費者への情報提供・説明を充実させるための基準」
http://www.meti.go.jp/press/2013/03/20140326001/20140326001.html
というものを公表した。
これは昨年9月に「事前相談評価」の事業者募集があったので
http://www.meti.go.jp/press/2013/09/20130920005/20130920005-1.pdf
その結果だと思われる。

発表された資料の中には
“「分かり易さに関する 手法・アプローチ」に係る ベストプラクティス集”
というものがあり、相談があった事業者の取り組み内容について
どのような評価がなされたか具体的に書かれているが
評価ありきで取り組むとこうした形式になるのは仕方がない側面もある。
評価委員の顔ぶれは、いわゆる専門家が多く
一般消費者視点という設定の人も1名含まれてはいるが
本来の目的である消費者は含まれていないようである。

ベストプラクティス事例の記載内容については各社で表現は異なるが
少なくとも以下の要件を満たしていることが前提となっている。

 1.記載事項
 (1)必要十分な記載事項
   1.パーソナルデータの取扱いに関する情報として、
    以下の7項目が記載されていること
    ① 提供するサービスの概要
    ② 取得するパーソナルデータと取得の方法
    ③ パーソナルデータの利用目的
    ④ パーソナルデータやパーソナルデータを加工したデータの第三者へ の提供の
      有無及び提供先
    ⑤ 消費者によるパーソナルデータの提供の停止・訂正の可否及びその方法
    ⑥ 問合せ先
    ⑦ 保存期間、廃棄

 2.記載方法
 (1)取得するパーソナルデータとその取得方法に係る記載方法
   2.取得するパーソナルデータの項目とその取得方法について、
     可能な限り細分化し、具体的に記載していること
   3.取得するパーソナルデータの項目やその取得方法のうち、
     消費者にとって分かりにくいものを明確に記載していること
 (2)パーソナルデータの利用目的に係る記載方法
   4.取得するパーソナルデータの利用目的を特定し、具体的に記載していること
   5.パーソナルデータの利用目的が、取得するパーソナルデータの項目と対応して
     記載されていること
   6.取得するパーソナルデータの利用目的のうち、
     消費者にとって分かりにくいものを明確に記載していること
 (3)第三者への提供の有無及びパーソナルデータやパーソナルデータを加工したデータ
    の提供先に係る記載方法
   7.事業者が取得するパーソナルデータやパーソナルデータを加工したデータを
     第三者に提供する場合、その提供先(事後的に提供先を変更する場合は
     提供先の選定条件を含む)及び提供目的が記載されていること
   8.事業者が取得したパーソナルデータを加工したデータを第三者に提供する場合、
     その加工方法が記載されていること
 (4)消費者によるパーソナルデータの提供の停止の可否及びその方法に係る記載方法
   9.消費者が事業者によるパーソナルデータの取得の中止又は利用の停止が可能で
     あるかが記載され、可能である場合には取得の中止方法又は利用の停止方法を
     明示して記載していること

正直なところ「標準化」が難しいことが改めてわかった。
いわゆるテンプレート方式にするには
事業規模、事業形態、パーソナルデータの取得方法、利用目的、第三者提供の有無等
個々の事業者によってパーソナルデータの取り扱いが異なるため
標準化というアプローチには限界があるだろう。
また現段階では強制力のある法律・ガイドラインもないため
あくまで事業者の自主的な取り組みにならざるをえない。
すでに総務省から
 「スマートフォン プライバシー イニシアティブ ―利用者情報の適正な取扱いと
  リテラシー向上による新時代イノベーション―」(2012年8月7日)
も公表されているが、こちらとの整合性はどうだろうか。
今後、JIS化、ISO化も視野にあると書かれているが一層の困難が予想される。

今後も個人情報保護法制の見直しが進む中
さまざまな検討・模索が続くものと思われるが
こうした取り組みが事業者の免責事項にならないよう
利用者もパーソナルデータの取り扱いについて
手間を惜しまずしっかりチェックする必要があるだろう。

対岸の火事

pmark-anchor 2014年3月28日 金曜日

元従業員による不正な情報持ち出しといえば
今月は東芝の提携先SanDisk日本法人の元社員の事件だろうか。
結局、不正競争防止法の営業秘密侵害容疑で逮捕された。
機密情報の開示先は韓国の半導体メーカー(SKハイニックス)だが
技術開発競争が熾烈な業界だけに
“情報”を売りたい側と、買いたい側の思惑が一致したのだろう。

逮捕された容疑者は52歳。
5年勤めたSanDisk日本法人を退職し、2か月後には転職。
年齢的にも余程の“何か”がないと転職は難しい状況だったことは
容易に想像できるが、理由はどうであれ違法であることは言うまでもない。
元社員は機密情報にアクセスできる権限を持っていたと思われるが
何故、不正コピーが検知されなかったのだろうか。

誤解を恐れず言えば、盗まれた側にも相応の責任がある。
NAND型フラッシュメモリーでサムスンと鎬を削る東芝にとって
今回の情報は最高機密に該当するものであったと思われるが
提携先のSanDisk日本法人ではどのような管理がなされていたのか。
機密データへのアクセスは当然モニタリングされていたはずであり
アクセス権限者のデータコピーも制限されていたと思うが
こうなってはすべて後の祭りである。
すでに東芝は1000億近い損害を受けたとして提訴に踏み切ったが
SanDiskもアメリカで訴訟を起こしたようである。
これを受けてSKハイニックスがどう出るか訴訟の行方も気になるが…。

こうした事件は今に始まったことではない。
元社員による不正な情報持ち出しと開示といった事件は
法的な罰則を強化してもなかなか沈静化しない。
不正行為に至った原因はいろいろと予想されるが
必ず動機があり、また不正が可能な機会があったことだ。
今回の場合も最高機密にアクセスできる権限があり
競合他社に転職した事実だけ見ればよくある事件である。

筆者は営業秘密の保護が重要であることを
もう10年以上も言い続けているが
こうした事件を見ると法改正が抜本的な解決になっていないことを改めて認識させられる。
知的資産は企業競争力の源泉であり
競争優位性を維持するためにも万全の管理が必要である。
リスクマネジメントの基本はまずリスクの存在を認めることである。
決して対岸の火事ではない。
結果的にリスクに向き合うか、今リスクに向き合うかの違いだけである。

報道と個人情報

pmark-anchor 2014年3月15日 土曜日

STAP細胞論文の是非をめぐる報道が
一人の女性研究者のプライバシーを暴きたて
“報道”という名のもとに、まるで魔女狩りの様を呈している。
ひとりの視聴者として、これには不快感がある。
報道すべき問題の“本質”は何であろうか。
画期的な研究成果として称賛されてからまだ日も浅く
その反動もあり注目されるのは仕方がないが
所属組織もマスコミもまるで確信犯のような扱いである。
まだ真実が明らかになっていない段階で
こうした風潮を煽り、個人のプライバシーまで否定される状況は
さすがに度を過ぎているのではないだろうか。

保護法において報道機関は適用外とされることは
憲法で保障される表現の自由や国民の知る権利に基づくが
それだけに高い倫理観を持って、客観的かつ緻密な取材に裏付けされた
事実の積み重ねによるものでなければならない。
多くの報道機関は個人情報保護の重要性と社会的責務を謳っているが
今回の一連の報道の在り方は、果たして適正なものなのか。

筆者が個人的に驚いたのは理化学研究所調査委員会の中間報告である。
http://www.riken.jp/pr/topics/2014/20140314_1/
リスクコミュニケーションにおいては発生した事実、経緯、原因の究明及び
再発防止に向けた取り組みなどを公表することが多いが
質疑においてまるで理化学研究所も被害者であるかのようなコメントがあった。
こちらも問題の“本質”をはき違えている印象を受けた。
これでは組織のリスクマネジメントは達成できないだろう。

保護法と匿名化

pmark-anchor 2014年2月27日 木曜日

パーソナルデータの匿名化について議論が進む中
昨年末に消費者庁の個人情報保護法における見解がQ&Aに追記されたが
この説明でどの程度理解が進んだのだろうか。

 個人情報保護法に関するよくある疑問と回答

 6 個人情報の匿名化に関するルール(いわゆるビッグデータの利用が進められる中、
   その際の個人情報の取扱いに関する疑問が出てきていることから、個人情報の匿名
   化に関する考え方を説明します。)

 Q6-2 匿名化のために、どのような加工等をすればよいのですか。
 A 個人情報を匿名化する場合、全体として特定の個人を識別できないように加工する
   必要があります。具体的にどの程度の加工等が必要かについては、一律に定まるも
   のではありませんが、個人情報の内容・性質などを勘案し、特定の個人が識別でき
   ないよう適切な措置を採ることが必要と考えられます。

 その際、本人が特定される危険性を下げるために一般的に有効な手法として、例えば
 次のようなものが考えられます。
  ○ 特定の個人との結びつきや匿名化した後の利用目的に応じ、情報を削除又は修正
    (例)氏名、住所、生年月日、性別、職業、収入等を削除又は修正する
  ○ より広範な分類等への変換
    (例)住所を都道府県単位とする、年齢を年代別(「20~29歳」)とする、購入
       時間の分・秒を削除する等
  ○ 同様の属性を持つ者が少ない個人の除外
    (例)希少な商品の購入者を除外する等

 なお、上記のような匿名化のための加工を行い、これにより「個人情報」ではなくなっ
 たとしても、大量の情報が取り扱われる中で、集積された情報同士が照合できてしまう
 など、当初予期しない形で誰に関する情報であるか特定されてしまう可能性が全くない
 わけではありません。そこで、上記のような匿名化のための加工を行った上で、本人の
 権利利益の保護を更に進める観点から、例えば、次のような自主的取組も考えられます。
  ○ 加工した情報について、他のデータとの照合等により意図的に個人を特定しよう
    とする者を想定したテストなどのリスク分析を行う
    (例)
     ・匿名化情報をソーシャルネットワーキングサービス利用者のプロフィール等
      とつなげて個人の特定が可能かどうかの分析
  ○ 情報の取扱い方法等について、ホームページ等で、一般的な用語で分かりやすく
    説明する
    (例)
     ・匿名化のために施した加工の手法の説明
     ・匿名化(利用)されることを希望しない者の情報は除く旨を公表し、本人か
      らの求めに応じて当該措置をとっておくこと

 Q6-4 保有する個人情報を匿名化する場合や、匿名化された情報を利用する場合、
  その旨を利用目的として特定し、改めて本人への通知や公表を行う必要はありますか。 
 
 A 個人情報保護法では、個人情報の不適切な取扱いによる本人の権利利益の侵害を防
 止するため、個人情報の利用目的の特定(法第15条)、本人への通知(法第18条)など
 が定められています。
 一方、個人情報の匿名化は、誰に関する情報であるか分からなくするための加工であり、
 本人の権利利益の保護につながるものです。本人の権利利益を侵害するおそれが小さく、
 法律上の「個人情報」にも当たらなくなることから、個人情報を匿名化することや匿名
 化した情報を利用することを利用目的として特定し、本人に通知又は公表することまで
 求めるものではありません。  
 ※なお、本人の権利利益の保護を図る自主的取組として、情報の取扱い方法等について、
 ホームページ等で、一般的な用語で分かりやすく説明することが考えられます。

匿名化については「パーソナルデータに関する検討会」でも議論されているが
現時点でまだ結論には至っていない状況である。
そんな中、NTTが「パーソナルデータ匿名化システム」を独自に開発したと発表した。
http://www.ntt.co.jp/news2014/1402/140207b.html
資料によれば、匿名性と有用性のトレードオフ関係を解決するもので
今後半年以内に同グループを通じて事業者に提供される予定とある。

こうした動きはさらに加速されていくと思われるが
どの程度の処理を行えば「匿名化情報」となるのか。
匿名化技術の体系的な整理とともに、提供先での再識別化をいかに規制するか。
ビジネスチャンスと捉える事業者とパーソナルデータの情報主体である本人が
どのように折り合いをつけるかについても明確ではない。
果たしてパーソナルデータの利活用における法整備は追いつけるのだろうか。

ICTサプライチェーン

pmark-anchor 2014年2月23日 日曜日

クラウドサービスの導入が本格化する中
サービスを提供する事業者の形態も多様化が進み
これまでの単独事業者によるサービス提供だけでなく
複数の事業者が連携(協業)してサービスを提供するケース
つまり、ICTサプライチェーンの編成によるクラウドサービスの提供が
現在の主流となってきた。

こうした状況を受けて総務省は2月21日に
新しいガイドラインのパブリックコメントの受付を始めたようである。

「クラウドサービス提供における情報セキュリティ対策ガイドライン」(案)に対する意見募集
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000070.html

尚、このガイドラインが措定する対象者としては

 ISO/IEC 27002に基づく情報セキュリティマネジメントを行うための
 知識を有しているクラウド事業者を読み手として想定している。
 そして、この読み手が、クラウド利用者及びICTサプライチェーンを構成する
 他の供給者との間で十分な信頼と協力関係を築き上げ、
 安全・安心なクラウドサービスを提供することができるよう
 実践するべき利用者接点の実務を理解するために読んでいただきたい。

とあり、ISMS認証事業者及びそれに準じる情報セキュリティマネジメントシステムを
実践又は構築中の事業者になっているようで要求レベルは高いと思われる。

また同ガイドライン55Pには以下のような記述がある。

 15.1.3  ICTサプライチェーン

 【管理策】
 供給者との合意には、情報通信技術(以下、ICTという。)サービス
 及び製品のサプライチェーンに関連する情報セキュリティリスクに
 対処するための要求事項を含めることが望ましい。

 【クラウドサービスの提供において特に留意すべき課題との関係】
 ICTサプライチェーンを構成して提供されるクラウドサービスにおいて、
 一部の供給者が提供するサービスにおいて情報セキュリティ要求事
 項が満たされないことにより、ICTサプライチェーン全体のサービス
 継続性が損なわれ、あるいは不測のセキュリティホールが生じる等
 のリスクがある。

 【利用者接点とサプライチェーンにおける実務のポイント】
 ICTサプライチェーンを構成して提供されるクラウドサービスにおいて、
 一部の供給者が提供するサービスにおいて情報セキュリティ要求事
 項が満たされないことを防止するために、供給者間で、情報セキュリ
 ティマネジメントに関する要求事項に係る合意を形成することが求め
 られる。そこで、実務上以下を実施することが望ましい。

(a)      ICTサプライチェーンを構成して提供されるクラウドサービスに
    おいて、サービス継続に必要な情報セキュリティ要求事項に関し、
    供給者間で合意を行うこと。
(b)      ICTサプライチェーンを構成して提供されるクラウドサービスに
    おいて、供給者間でクラウドサービスの接続に関する情報セキュ
    リティマネジメント上のリスクを明確にし、その管理策及び管理
    責任の内容・範囲や役割分担等を明らかにすること。
(c)      供給者以外が提供するサービスを、クラウド利用者がクラウド
    サービスと併せて利用する場合、供給者以外が提供するサービス
    に係る情報セキュリティマネジメント上の要求事項についての管
    理責任の範囲やクラウド事業者の免責の範囲を、利用規約等を
    通じてクラウド利用者と合意すること。

事業連携によるサービス提供を実施する場合は
自社はもとより、サプライチェーンを構成する事業者間等の
情報セキュリティに関する責任の所在を明確にした上で
クラウド利用者と合意することが求められる。

利用者目線で見れば、もっともなことであるが
こうしたICTサプライチェーンによるサービスを契約する場合に
委託先の評価、選定、契約においては慎重にならざるを得ない。
近年、こうしたガイドラインが数多く発行され
全体の整合性や要求レベル、あるいは適合性のチェックなど
ハードルがどんどん高くなってきている。
利用者にとってインシデント発生によるサービス停止や情報漏えいは
事業継続をも脅かす大きなリスクであることは間違いない。
“選別する確かな目”は利用者にも求められる

特定個人情報保護

pmark-anchor 2014年1月28日 火曜日

本年、1月1日付けで行政手続番号法(マイナンバー法)において
個人情報の保護などを目的とする特定個人情報保護委員会が設置された。
すでにホームページも公開されているが、平成26年度中は委員長1名、委員2名の3名体制のようだ。
最終的には委員長ほか委員6名の計7名による合議制での運営となる。

 

では特定個人情報保護委員会とはどのような組織なのか。

 

 特定個人情報保護委員会は、個人番号その他の特定個人情報の有用性に配慮しつつ、
 その適正な取扱いを確保するために必要な措置を講ずることを任務とする内閣府外局の
 第三者機関です。

 

とあり、行政手続きにおいて利用される特定個人情報の
適正な取扱いを監視・監督等を行う機関となる。
現在、政府では「行政手続における特定の個人を識別するための番号の利用等に関する
法律施行令案(仮称)」に関する意見募集(パブリックコメント)を受付中で
2014年2月23日が締め切りとなっている。

 

この法案は、個人情報の保護に関する法律等の特例を定めることを目的として
行政手続番号の利用に関して、効率的な情報の管理及び利用並びに
他の行政事務を処理する者との間における迅速な情報の授受や
申請、届出その他の手続を行う国民の手続きの簡素化による
負担の軽減や本人確認の簡便化をするための必要事項を定めるとある。

 

また新たな定義として
 【特定個人情報】
  この法律において「特定個人情報」とは、個人番号(個人番号に対応し、当該個人番号に
  代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。
 【特定個人情報ファイル】
  この法律において「特定個人情報ファイル」とは、個人番号をその内容に含む個人情報
  ファイルをいう。
などが明文化されている。

 

次に気になるのが特定個人情報保護評価である。
番号法における個人情報保護の仕組みは以下で確認できるが
http://www.cao.go.jp/bangouseido/ppc/pia/pdf/kojinjoho.pdf
番号法第27条において、行政機関の長、地方公共団体の長等は
特定個人情報ファイルを保有しようとするときは「特定個人情報保護評価」を実施することが
義務付けられている。いわゆるプライバシー影響評価(PIA)に相当するものだが
保有することでどのようなリスクがあり、そのリスクをどのようにして軽減・緩和してるのかを
自ら評価し、公表するものである。
また1年ごとに評価記載事項の確認・修正をし、5年ごとに再評価をする必要もある。

 

今回の特定個人情報保護評価で興味深いのが“しきい値”という考え方である。
しきい値の判断は、保有する特定個人情報の件数や取り扱う職員数・外部委託先の
人数(従業者数?)、あるいは過去1年以内に漏えい等の事故の発生がないか等により
4段階に区分されるようだ。
しきい値評価の結果、プライバシー等に影響を与える可能性が高い場合は全項目評価。
続いて重点項目評価、しきい値評価のみ、情報保護評価義務付け対象外の順となる。

 

こうしてみると特定個人情報保護委員会の役割が重要であることがわかる。
特に評価書の承認においてはより厳格なチェックが求められる。
マイナンバーの漏えい、改ざん、目的外利用等は1件たりとも発生してはならないが
利便性や効率性に潜むリスクの中で、人的リスクをどう評価し、対策するか。
透明性のある、客観的な評価を切に願いたい。

Pマーク担当向け教育更新コラム:事業の用に供する個人情報

pmark-anchor 2014年1月20日 月曜日

昨日は、今年初めての積雪となった。

といっても数センチ程度だが昨夜のうちに降り積もったようである。

早朝は人の気配も無く、見慣れた景色も新鮮に映った。

 

本日、JIPDECより「顧客から預かる情報の取扱いについて」という解説がアップされた。

PMSガイドライン第2版の、1.適用範囲の注意事項にある

いわゆる事業の用に供していない個人情報の取扱いに関して

「事業の用に供する個人情報と同等に取り扱う情報」として

委託者、受託者が取り組むべき事項をまとめたものである。

何故、このタイミングなのかは書かれていないが

一昨年の大手レンタルサーバ事業者の大量データ消失事故の影響もあるのかも知れない。

 

「事業の用に供する個人情報と同等に取り扱う情報」について

個人情報としての特定は不要だが、リスク分析と安全管理措置は必要とあるが

特定に関しては顧客から預かる情報を一つにまとめる等により

個人情報として管理台帳に登録する必要があると説明されているので

結局、事業の用に供する個人情報と同じ扱いをするのがベターと思われる。

Pマーク事業者の中で、これまで“事業の用に供していない”としてきた

倉庫事業者、廃棄事業者、ハウジング・ホスティング事業者、クラウド事業者等について

受託者、委託者ともに、見直しが必要なケースが出てくる可能性もある。

 

また、1月14日にもJIPDECよりスマートフォン等のアプリケーション配信事業者対象として

「利用者情報の取扱い、アプリケーション・プライバシーポリシーについて」が公表され

アプリケーション利用者情報(パーソナルデータ含む)について

事業の用に供する個人情報と同等の情報としての管理が求められるほか

アプリケーション・プライバシーポリシーの通知又は公表が必要となるため

併せて確認しておくのが望ましいと思われる。

Pマーク担当向け教育更新コラム:もうひとつの視点

pmark-anchor 2013年12月29日 日曜日

今年も残すところあと3日となった。

ちょうど1年前のコラムで以下のようなコメント書かせてもらった。

 

 

 今年は“利活用”という言葉をよく目にする1年だった。

 事業者目線でみれば、個人情報の有用性に関して、

 個人情報の利活用は推進されるべきとなるのだろうが、

 本人(消費者)からすれば、利活用に潜むリスク(目的外利用や漏えい)について

 十分な説明がなければ到底納得できるものではない。

 今回の“匿名化”についても同様である。

 何を基準に匿名化が達成されたと判断するのか。また誰が確認するのか。

 パーソナル情報と再連結されるリスクを完全に排除できるのか。

 これまで匿名化したつもりが個人を特定され

 本人より重大なクレームが発生した事故も少なくない。

 “利活用”が、真に消費者本人にとっての“利活用”になるよう願いたい。

 

 

きっかけは2012年9月18日に経団連より出された「2012年度経団連規制改革要望」において

ビッグデータの潜在的可能性を妨げているのは個人情報保護法だというものであった。

 

 

 7.情報・通信、放送分野

 (2)個人情報の利用制限に関する見直し②

   規制の根拠法令:個人情報保護法第16条1項

   要望の具体的内容:個人情報の利用制限について見直しを行い、収集した個人情報について

    個人を特定できない状態にした場合には、法の制限対象とはせず、第三者への提供や自由

    な目的での利用を可能にすべきである。

   要望理由:

    ・個人情報は、あらかじめ利用目的や提供先を特定して収集することが求められ、それを

     越えた第三者提供や利用は認められていない。

    ・一方、POSデータの購入履歴等はビッグデータとして大きな価値を持つと考えられる

     (2020年度には1兆円に達する(矢野経済研究所))。

    ・しかし現状では個人情報と紐づけられて収集されたために、単体では個人を特定できな

     いと考えられるこのような情報にも厳格な管理が要求される。そのために情報保有者の

     内部にとどまっている。

    ・ビッグデータビジネスは、さまざまな分野のデータの蓄積、組み合わせによって新たな

     価値を創出しようとするものであり、できるだけ自由に情報が流通できる環境が望まし

     い。個人を特定できなくした情報については、その他一般的な情報と同様に自由な流通

     を促進し、情報産業の活性化を図ることが不可欠である。

 

 

あれから1年上以上が経過したが状況はどうだろうか。

JR東日本のSuica履歴問題でも改めてプライバシーへの関心が高いことが示された。

事業者にとって収集・蓄積した膨大なデータを解析することで

新たなビジネスチャンスを切り開く可能性があることは繰り返し話題となったが

パーソナルデータを含む情報については来年以降に持ち越しとなった。

 

 

法の不備、匿名化、プライバシー保護、グローバル化対応など

解決すべき課題は多いが、個人情報保護法制の根幹に係るテーマだけに

着地点を見極めるにはもう少し時間が必要だろう。

根底にあるのは、合法か違法かの問題ではなく

プライバシーリスクというもの実態が見えにくいことではないだろうか。

誰しも自分のプライバシーは守りたいと考えるのが当然であり

その権利を脅かす可能性があると言われれば否定的になっても仕方がない。

言い換えればリスクに見合う“納得”が必要なのだ。

 

 

個人的にはビッグデータの利活用を推進することは賛成である。

特に医療分野においては公共性、公益性も高く

医療における様々な問題を解決する糸口になる可能性もある。

消費者にとって利活用のメリット、恩恵とは何か。

この根本的なテーマに向き合うことが

社会的コンセンサス形成に向けての第一歩ではないだろうか。

Pマーク担当向け教育更新コラム:トレードオフ

pmark-anchor 2013年12月11日 水曜日

12月10日(火)に第5回 パーソナルデータに関する検討会が開催された。

これまでにも議論されてきたことだが

パーソナルデータの匿名化とビジネスにおける有用性のバランスを図るには

“プライバシーへの配慮”という大きな壁をどの高さに設定するのかが課題となっている。

個人情報の再識別化リスクをゼロにすることは現実的には難しいと思われるが

過剰に非識別化措置を講じれば、データとしての価値を失いかねない。

 

 

技術検討ワーキンググループの資料では匿名化に関わる技術と限界として

 「いかなる個人情報に対しても、識別非特定情報*1や

  非識別非特定情報*2となるように加工できる汎用的な方法は存在しない」

と結論づけた上で、新たな法整備によりこの技術的課題に対応してはどうかという

検討を進めていくようである。

 

 

*1識別非特定情報・・・一人ひとりは識別されるが、個人が特定されない状態の情報

*2非識別非特定情報・・・一人ひとりが識別されない(かつ個人が特定されない)状態の情報

 

 

経済産業省はパーソナルデータ取得時の手続きについて標準化することが重要として

①標準的な取り組みを示す「基準の策定」

②当該基準を用いたパーソナルデータの利活用を進める事業の取組の「評価と試行」

を同時並行で実施する検討を進めている。

 

 

パーソナルデータ取得時の手続きの標準化、利活用における匿名化措置の技術的解決

さらに、個人情報保護法制の見直しによる運用面での規範づくりなど

利活用を促進することのメリットが大きい事業者のニーズとは相反して

筆者を含む一般消費者にとっては着地点がなかなか見えてこないというジレンマがある。

日々、膨大に蓄積されるデータにどんな可能性があるのか。

パーソナルデータの利活用が我々に与えるプラスの影響は何か。

それらにはリスクテイクするに見合う価値が存在するのか。

まだまだ判断できる段階には達していないが

個人情報を取り巻く環境が大きな変革期を迎えていることだけは確かなようである。