「ビッグデータ時代の個人情報の収集・活用実務」勉強会レポート

大井哲也さん

平成27年9月に改正個人情報保護法が公布されました。ビッグデータ時代に欠かせない法律であるにもかかわらず、そのキャッチアップは難しすぎる!ということで、今回は、TMI総合法律事務所 弁護士の大井哲也さんにレクチャーしていただきました。

 

まず知る、改正個人情報保護法

改正個人情報保護法は、「どこまでが個人情報で、どこまでが個人情報でないのか、しっかり定義しましょう」というのが大きな目的、と大井さん。その背景としては、情報通信技術の進展により、膨大なパーソナルデータが収集・分析されるビッグデータ時代が来たこと。

一方で、個人情報として取り扱うべき範囲の曖昧さ(グレーゾーン)のために、企業が利活用を躊躇しはじめていること。加えて、いわゆる名簿屋問題(たとえば大手教育出版系企業の個人情報大量流出)により、個人情報の取り扱いについて一般国民の懸念が高まっている、ことなどがあげられるのだそうです。

要するに、「ビッグデータを活用しましょう!」「一方で個人情報の漏えいには十分注意しましょう!」というのが改正法の趣旨のようです。ご参考まで、ビッグデータの活用は、ヘルスケア、車、アプリあたりがホットな領域なのだそうです。

 

ビッグデータを扱う際のキーワード「匿名加工情報」

個人を特定できないようにするために加工を加えた個人情報のことを「匿名加工情報」といいます。

もう少し詳しく説明すると「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であり、当該個人情報を復元することができないようにしたもの」とのこと。すなわち、特定加工情報は「個人情報ではない!」わけですので同意取得も不要、ということになります。

ここで問題点というか、活用サイドが“もやっと”してしまうのが、「具体的にどの程度まで情報を加工すべきか」という点。物理的にも技術的にも、客観的に復元不可能であるということをどう証明すれば良いのか、匿名加工を行う側と、個人を識別しようとする側のあいだのせめぎ合いもあり、極めて難しい点なのだそうです。

「様々なデータセットを組み合わせることで、技術的には復元不可能な情報など存在しないともいわれているんです」、と大井さん。ビッグデータの利用に慎重になるのもうなずけます。

 

鉄道乗換情報の活用事例 ~いわゆるSuica事件~

Suicaは交通機関をはじめとする、あらゆる決済で使用されていることは皆さんもご存じの通りです。

さて、ここで問題です。Suicaから得られた個人情報をIDに置き換えた上で、乗降情報が第三者に提供されました。これは違法でしょうか? 適法でしょうか?

まず、何が起きたかについてご説明しますね。事業者サイドは「個人情報ではないから、本人の同意は不要」との認識のもと、第三者に情報を提出しましたが、1週間で約9,000件のオプトアウト申請がありました。明らかに炎上ですね。

<法的な解釈>

法的な観点ではどうでしょう。「適法であったかどうかは、明確ではない」という見解が公式に発表されています。「個人情報の定義における特定の個人の識別性の論点については、専門家の間でも解釈に幅がある」のだそうです。

具体的に考えられるリスクは、①他の情報との照合により個別識別性が生まれるリスク、②データ取得時と異なる目的での利用によりプライバシー侵害が発生するリスク、の2つ。

<法的な側面以外の要因>

仮に適法だったとしても、短期間の間に多数のオプトアウト申請があった、その意味とは? 「Suicaを申請するとき、消費者は氏名がID化されているとしても、その情報が他へ売られるとは思っていないんですね。全く想定外の状況をつくってしまったということ。そこへの配慮が足らなかったわけなんです」、と大井さん。

結果として個人が識別されなくても企業や商品への信用は揺らぐことになってしまいます。個人情報保護のプロセスの信頼性の確保、その結果個人が特定されないことに加えて、消費者インサイトに対する肌感覚や配慮が必要、ということのようです。

 

難解な改正個人情報保護法とビッグデータについて、わかりやすく教えてくださいました。大井さん、どうもありがとうございました!

皆さんお待ちかねの当日のグラレコはこちら↓

参加者さんの声(アンケートより)

  • 大井弁護士が超絶クールすぎた。
  • 匿名加工情報の概念、内容、その基準や事例について聞けて良かった。
  • ビッグデータの規制や過去の事件のポイントなどについて受講できてよかった。
  • 情報の入手、管理、提供のそれぞれの段階で注意すべきことがあることについて知れてよかった。

 

大井さんのプロフィールはこちら↓

TMI 総合法律事務所パートナー弁護士 大井哲也

  • 経済産業省商務情報政策局情報セキュリティ政策室有識者ワーキンググループ委員
  • クラウド利用促進機構(CUPA)法律アドバイザー
  • プライスウォーターハウスクーパース株式会社
  • サイバーセキュリティセンターアドバイザリーボード
  • Web site: www.tetsuyaoi.com

 

※ディスクレーマー
本レポートに基づく法律の解釈で生じた不利益については、恐縮ですが責任を負いかねます。そういう自体に陥る前に、早めに大井さんのような専門家にご相談いただくようお願いいたしますね。

 

2017/3/8
於:株式会社D2C
(記 山口)

勉強会の開催情報は…

Facebookページから発信しています。