第272号コラム:佐藤 慶浩 理事
(日本ヒューレット・パッカード株式会社個人情報保護対策室 室長)
題:「ビッグデータ時代におけるパーソナルデータを保護する義務と活用する責任」

 『保護する義務』

不明瞭なカタカナ言葉を使うのは好きではないが、本稿のお題には、あえて世の中で使われているカタカナを並べてみた。ビッグデータの説明は字数の都合で省く。いわゆるビッグデータだ(笑)。パーソナルデータという用語は個人情報と言えば本来済むべきところ、個人情報保護法が定義している個人情報より広い範囲で、個人に関する情報を議論するときに使われている、いわば机上の用語だ。「個人情報」は同法第2条で「特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」と定義されており代表例は「氏名」だ。そこで、パーソナルデータは、それに加えて、その定義からはずれるが個人に関する情報も含めたものとなる。たとえば、購買履歴などが含まれることになる。「個人情報」と「個人に関する情報」を区別して文章にすると紛らわしいので、「個人情報」を「識別情報」と言い、それ以外の「個人に関する情報」を「属性情報」と言うことにする。すわなち、「パーソナルデータ=個人に関する情報∋識別情報|属性情報」という関係だ。その中には、位置情報などは、識別情報にも属性情報にもなり得るため、識別情報と属性情報は排他的な関係ではない。また、一般的には、ある識別情報と関係する属性情報は何かひとつの値を持つわけではなく、空間的にも時間的にも多くの値と関係することになる。たとえば、ひとつの「氏名」に「購買履歴」としては、いろいろな店や、同じ店でも違う日の購買履歴が結びつくことになる。

このとき、属性情報が識別情報から切り離されると、その属性情報はもはや個人に関する情報ではなくなるのではないかと思えるかもしれない。しかし、その是非は「切り離される」という表現の解釈による。このことを一般に「匿名にする」又は「匿名化」と言うが、これにはいくつかの方法がある点に注意しなければならない。
「匿名化(anonymize)」には、「無名化(de-identify)」と「仮名化(pseudonimize)」がある。無名化とは属性情報から識別情報をたどれない状態にすることだ。一方で、仮名化とはそれだけでは識別情報をたどることはできない状態にするものの、そこに管理番号を付けるなどして、その管理番号を使って別の対応表などと突き合わせると識別情報をたどることが可能な状態にしていることを言う。

購買履歴の例で言えば、無名化とは、何時に何をいくらで買ったかだけを記録することであり、仮名化とは、顧客ごとに販売者だけがわかる顧客番号を付けて、その顧客番号と一緒に記録することになる。それぞれを無名履歴と仮名履歴と言うことにしよう。
無名履歴をパーソナルデータとして取り扱う必要はなさそうだ。一方で、仮名履歴はどうだろうか?この履歴をどの顧客番号が誰かをわからない人が見るときには、無名履歴と同じになり、パーソナルデータではないかもしれない。しかし、どの顧客番号が誰かがわかる人が見るときには、識別情報と切り離されたことにはならずパーソナルデータとなる。仮名履歴は、それを誰が参照するかによって、パーソナルデータになるか否かが変化することがわかる。

このとき、「どの顧客番号が誰かがわかる人」とは、顧客番号名簿を見れる人だけだろうか?逆に言うと、顧客番号名簿を見れない人であれば、仮名履歴はパーソナルデータではないことになるのだろうか?答えは、必ずしもそうではない。たとえば、名簿を見れなくとも、あるひとつの顧客番号が誰かがわかることはあり得る。たとえば、知り合いが、ちょうど何かを買う場面を目撃したとすると、目撃した人は、「何時に何をいくらで買ったか」の仮名履歴を見ることで、その知り合いの顧客番号を知ることができる。そして、その顧客番号によって、別の日にその知り合いが「何時に何をいくらで買ったか」を調べることができるようになる。
そのように使うことができる仮名履歴をパーソナルデータではないとすることは難しい。
最後に示した例は、顧客番号名簿を見れない人は、仮名履歴にある顧客番号から仮名化前の識別情報を特定することはできないが、別の情報(この場合だと知り合い関係ということ)から実名を特定することができる。また、仮に実名を特定できなくとも、「あの商品を買った人は、以前にこの商品を買った」などということを知ることができる。このように、誰かはわからないが同一の人であることはわかるということを「同定」できると言う。

ここで、法第2条の個人情報の定義をもう一度見てみよう。「特定の個人を識別できるもの」
となっているので、特定できず同定だけできる場合は、「特定ではない個人を識別できるもの」ということになり、法で保護される「個人情報」には該当しないという解釈があり得る。
しかし、先の例にあるように、同定が特定に至るか否かは、見た人次第にしかならない。
このことは、識別情報を本人から取得した事業者内で処理する限りにおいてはどちらでもよいことだが、これを事業者以外の第三者に提供するときには、大きな問題となる。
すなわち、「特定の個人を識別できるもの」を「個人情報」と定めた上で、法第23条の「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。」とする「第三者提供の制限」において、誰の視点で特定の個人を識別できるか否かを判断するのかによって、仮名履歴を第三者に提供する際に、本人の同意を得る必要があるか否かが変わってくる。

このように識別可能か否かを、情報の提供者を基準とするのか、受領者を基準とするのかの違いがあるが、経済産業省などは、提供者基準という解釈を示している。つまり、受領者が識別不可能だとしても、提供者が識別できるならば、「第三者提供の制限」に該当し、あらかじめ本人の同意を得る必要があるとしていることになる。
その場合だと、仮名履歴については、その仮名化処理とは無関係に、もとの顧客名簿がある限りは制限されることになる。これはビッグデータの活用が制限されかねない。しかし、仮に受領者基準でよいとすることにした場合には、法律上の活用はしやすくなるが、実務上の問題として、提供者はどうやって受領者の識別可能性を事前に判断し確認することができるのか?また、提供時に受領者側では識別不可能と判断して提供したが、結果的に受領者が識別できた場合には、「第三者提供の制限」違反になることをどう回避できるのか?提供時の契約条件にすることが方策として考えられるものの、それでは提供先の契約違反によって、自らは違法行為になるということで回避できていると言えるのか?などの様々な問題が見えてくる。

このことは、米国のFTC事例にならって、受領者側での再識別化を当事者間の契約条件に委ねるだけでなく、受領者が無断で再識別しないことの義務付けを強化したらどうかという議論があるが、これの実務上の実効性については、個人的に疑問がある。(が、これについては字数の関係で本稿ではなく別の機会に述べる)
さらには、個人情報保護法は、提供者に識別性がなければ、受領者に識別性があっても、法第23条の適用はない。これは個人情報が取得から始まることからして当然のことであるが、特定はしないが同定だけできる状態で管理しているものを、それを特定できる受領者に渡すことを、様々な履歴情報などの属性情報の某大な相関分析が技術的には可能となったビッグデータ時代にどう考えるのかという新たな問題も見えてくる。(ビッグデータの説明は省きつつ、本稿のお題に「時代」を付けたのは、データ処理環境の変化がむしろ重要と考えたからである。)
このように考えてくると、「匿名化」のためには「無名化」であれば問題を生じる可能性はかなり低く、「仮名化」にとどめた場合には、予期せぬ又は管理不能の問題を生じる可能性が少なからずあることがわかる。

このようなビッグデータ時代において、パーソナルデータの保護は、少なくとも個人情報保護法を遵守するというコンプライアンス上は必要であり、その保護は義務であろう。その他に、法的な要求はなくとも、本人に「気持ち悪い」とか不安に思われないための道義的な保護をする必要がある。

『活用する責任』

ここまで保護のことについて説明してきた。そこから得られる一つの解は、ビッグデータは活用しないか、活用するためには、無名化をすることであるが、本稿の趣旨はそうではない(笑)。

ビッグデータの活用手段のひとつは、たとえば、購買履歴から統計処理をしてマーケティング情報に役立てることなどが考えられる。
このとき、国内で主として想定しているのは、消費者の購買履歴というビッグデータの保有事業者→データの分析処理事業者→広告代理店事業者を経て、広告主が消費者に販促活動を行なうという、従来型のビジネスモデルになっている。
このとき、広告主以外に事業者が3者登場するために、この事業者間に、個人情報の第三者提供制限の問題が存在する。その問題を、本稿の前半で述べた。
しかし、消費者の購買履歴というビッグデータの保有事業者が、消費者に自ら販促活動する又は、広告主の依頼で販促活動する場合には、個人情報の第三者提供は一切生じない。最初の取得時点の利用目的に何らか加える必要はあるだろうが、あらかじめの同意を得るという第三者提供制限のハードルには至らない。

この購買履歴を活用した販促活動において、従来型のビジネスモデルである情報流と商流は既定条件なのかについて考えてみたい。
ビッグデータを活用した販促活動の事例を米国に見ると、1社完結型が多い印象を受ける。彼らにとって、ビッグデータは、生データを仮名化して売却するようなものではなく、自社にとっての最重要の財産だと考えているかのように思う。それを自社利益に最適化して活用するか、または自社が直接統計処理などして解析することで広告主などのために活用しているように見受けられる。

日本において、従来型ビジネスモデルを踏襲して、ビッグデータ時代を渡るとすると、その貴重な生データは、第三者提供の同意を得ずに仮名化などをされてから統計処理などの解析をされるか、第三者提供の同意を得ることで不許諾のデータが欠落してから解析されることになる。この解析結果で、1社完結ならばできる実名情報までも使った全件解析処理結果と勝負できるのだろうか?
ビッグデータ時代に必要なことは、いまいちど、情報を取得する者と、それを活用する者までの情報流を整理し、そのための商流が時代に見合っているのかどうかを見直すことではないだろうか。
ビッグデータに相当する情報を取得する事業者が、それを活用するか否かは、その会社の事業判断だと言ってしまえばそれまでだ。本稿の前半で述べたような問題を回避するために、まったく保守的に一切活用しないということは当然違法とはならない。しかし、それを活用することで経済的価値がある情報を活用しないことは、自社のみならず、それを活用できる経済全体への損失となってしまうのではないか。ここでは、使った事例から経済的価値としたが、医療情報などは経済的とは異なる社会的価値もあることになる。

すなわち、ビッグデータ時代におけるパーソナルデータの問題を自社のリスクを回避や軽減することだけに着目し、自粛するべきではなく、それらを活用することには社会的責任があると捉えて、本人が安心できるようなリスク軽減策にも十分配慮し、そのためにあるべき安全措置の導出にしがみついて、この問題に取り組むべきだろうと思う。
グローバルに見れば、このような安心・安全なパーソナルデータの活用方策の模索を日本があきらめ、活用度合いを下げれば、グローバルな活用の輪から日本は排除され、国内産業はそれを活用できず、海外産業からはビッグデータを使えない市場として見限られるということにもなりかねない。

ビッグデータ時代においては、パーソナルデータを保護する法的・道義的義務だけではなく、さらには、活用する社会的責任もあるという視点と意識が必要だと思う。

【著作権は佐藤氏に属します】