第541号コラム:小向 太郎 理事(日本大学 危機管理学部 教授)
題:「データポータビリティに求められる技術的対応」

早いもので、EU一般データ保護規則(GDPR)が2018年5月に発効してから、半年が過ぎようとしている。GDPRには、クラウド、ビックデータ、AIといった新しい技術の急速な進展を強く意識した、データポータビリティやプロファイリング規制等の全く新しい制度が盛り込まれている。特に、データポータビリティの権利は、データ主体に自分に関する情報をより積極的にコントロールする権利を認めるための、今までにはなかった全く新しい規定であるといわれている(データポータビリティの概要については、小向太郎「データポータビリティ」ジュリスト1521号(2018年7月)26-31頁をご参照いただきたい)。

ネットワークサービスのクラウド化は急速に進んでおり、サービスの提供者側に膨大な情報が集積されている。利用者が別のサービスに切り替えようとするときには、自分がサービスに溜め込んでいた情報を持っていけるのかという問題に直面する。Webメールを別のサービスに変えたら、メールの履歴も送信先の情報も全部消えてしまうのでは、移る気がしないだろう。しかし、もし今よりも便利なサービスが出てきたら使いたいし、どんなに良いサービスでも縛られるのは嫌なものだ。データポータビリティは、こういった希望を個人情報に対する本人のコントロールを強めることで、かなえようというものである。

利用者の立場からすればデータが持ち運べる(ポータブルである)方が良いに決まっているが、事業者がデータポータビリティを実際に実現しようとすると、何をどこまでやったら良いのかが問題になってくる。GDPRには、データポータビリティを実施する際のデータフォーマットについて、個人データを「構造化され、一般的に利用され機械可読な形式」で提供しなければならない(GDPR第20条第1項)」という規定があり、EUの個人情報保護に関する諮問機関(第29条作業部会)のガイドラインでは、「データポータビリティを可能にする相互運用可能なフォーマットを開発する」ことが推奨されている。

「相互運用可能な(interoperable)」という言葉は、相互運用性に関するEU指令において「異種及び多様な組織が、組織間の情報及び知識の共有を含む互恵的かつ同意された共通の目標を目指し、各組織が支援する事業プロセスを通じ、各ICTシステム間でのデータ交換手段を用いて、相互に交流できること(個人情報保護委員会『データポータビリティに関するガイドライン(仮日本語訳)』)」と定義されている。要するに「情報をさまざまな環境に移植して利用できる」ということである。ただし、データポータビリティがもとめる「相互運用性」は、単にデータの移転が可能ならよいわけではなく、メタデータ等も利用できる一般的なフォーマットで提供すべきであり、例えば、電子メールのメールボックスをPDFで提供しても、ポータビリティの要請に応えたことにはならないとされている(ガイドライン18頁)。

 そしてGDPRは、「技術的に実現可能な場合」には、移転先に当たる事業者に、データを直接伝送できるようにすることも求めている。確かに、これができれば利用者の手間はかなり軽減される。この「技術的な実現可能性」についてガイドラインは、「ケース・バイ・ケース」で評価すべきであるとして、基準を示していない。さすがにはっきりしたことを何も言わないのは気がひけるのか、GDPRの前文に書かれている「データポータビリティは、相互運用可能(interoperable)なシステムを生み出すことを目指すものであり、互換性のある(compatible)システムを目指すものではない」ということを繰り返し述べ、太字にもして強調している(ガイドライン17頁)。

ところで、「相互運用性」と「互換性」はどのように違うのであろうか。ガイドラインには、「互換性」が何を指すのか説明されてないが、両者の違いが定義なしにわかるほど自明なことであるとは思えない。互換性とは、一般的にソフトウェアやそのソフトウェアで使用されたデータ等が、環境Aでも環境Bでも同じように使用することができ、通常は両方の環境で継続して使えることをいう。1990年代にPCやゲーム機を使っていた人なら、PC/AT互換機(IBM互換機)やゲームの互換機を連想するのではないか。だだし、互換性という言葉は、完全な相互互換だけを指すのではなく、様々なヴァリエーションがある。クラウドサービス間のデータ移行に、完全な相互互換を求める(例えば、gmailから他のwebメールに移行したあと、gmailでも同じようにメッセージのやり取りができるようにする)というのは、そもそも現実的ではない。

恐らく、「互換性は求めていない」ということには、「あまり厳しいことは要求していない」という以上の意味はない。例えば、データの直接移転は、サービス事業者間のインターフェースが確立していないとできないが、こうしたインターフェースを新たに作ることまでは要請されないということであろう。ただし、データ管理者は、他のデータ管理者へ転送要請に応じない場合に、「技術的実現可能性」がないことについての説明責任を負うため(GDPR第12条第4項)、その理由は説明できるようにしておかなければならない。

このように、データポータビリティのために、どのような技術的な対応が求められるかは、現段階ではよく分からない事が多い。もちろん、これから具体化されていくものであり、試行錯誤が必要なのは間違いがないが、データポータビリティへの対応は、厳しい罰則の対象になりうる法律上の義務でもある。もし実際に法執行等が行われるのであれば、さらに明確化が必要であることは言うまでもない。そして、この議論では、技術的な要件を制度の解釈に取り込んでいくことの難しさが浮き彫りになっている。実際のデータ移転等が増えてくると、さらに論点が上がってくるはずである。デジタル・フォレンジックとの関係でも、データが移転する際のフォーマットや移転後のデータ消去によって、実務的な影響がありそうに思える。法律と技術の両面から、出来るだけ理解を共有する一層の努力が必要であろう。

【著作権は、小向氏に属します】