ぼちぼち改正個人情報保護法を読む-Suica乗車履歴販売のケースはどうなる?
改正個人情報保護法については、様々な解説書が出ているのですが、どれを読んでもピンとこないのが匿名加工情報の説明です。というのは、改正前の個人情報保護法の下でも、特定の個人を識別することができない情報に加工した上で、本人の同意なく第三者に提供することは許されていました。
改正により、匿名加工情報を第三者に提供する際には、個人に関する情報の項目を公表し、匿名加工情報であることを明示することになっています(法36条4項、37条)。
それじゃあ、かえって第三者提供で行う規制が厳しくなり、ビッグデータの利活用という改正の背景と矛盾するのではないの?と感じる向きもあるのではないでしょうか。
Contents
国会審議での疑問提起
実際、国会の審議では次のような議論がなされています(第189回国会衆議院予算委員会第1分科会議録第1号・平成27年3月10日)。特に目を引く発言部分に下線を引きました。
○高井分科員 ありがとうございます。
それでは、続きまして、次の問題に行きたいと思います。今度は、匿名加工情報についてでございます。
これは、個人情報に一定の匿名化を施す、それによって匿名加工情報というものにして、これは本人の同意がなくても第三者に提供できるようにするという一歩進んだ規定になっているわけです。
しかし一方で、では匿名加工情報というのをどうやって加工するかみたいな規則については、今後、個人情報保護委員会で決めていくということになっていると思うんですが、今の法案は見ていないんですけれども、復元できないように加工しなければならないと。復元できないとまで言うと相当厳しい基準になるおそれがあって、そういう厳しい基準を課されると、逆に匿名加工情報というものがうまく使えない、流通できないということになってくると思うんですけれども、そのあたりはいかがでしょうか。○向井政府参考人 お答えいたします。
今回新たに設けます匿名加工情報は、特定の個人を識別できないようにするとともに、作成のもととなった個人情報を復元することができないように加工を行うものとしてございますが、この措置は、利用目的の限定なく、また本人の同意なく第三者に提供することが可能となりますので、データビジネスにおいて、特に有用性の高いパーソナルデータの利活用及び流通を確保する環境を整えるものでございます。
そういうものでございますので、事業者から負担が大きいと言われております個人情報の取り扱いに関する義務を適用しないとするものでございますが、具体的な加工方法につきましては、先生の御懸念は多分、復元できないというと、今のいろいろな技術を使ったら、およそ復元できないものなんてないんじゃないかという御懸念ではないかと想像いたしますが、そこまで厳しいことを考えていることは当然ございません。
この措置は、あくまでビッグデータの利活用を推進するための措置でございますので、ビッグデータの利活用にならないほど匿名化が必要になるような措置は考えてございませんので、当然、通常復元できないぐらいのイメージかというふうに考えてございます。○高井分科員 通常復元できないというのがなかなか曖昧でして、関係者からは非常に心配なところなんですが。
では、もう少し具体化しますと、今は民間企業が既にもうやっているわけですね。そういった加工技術というのは、通常、企業がいろいろ試行錯誤しながらやって、それがいずれベストプラクティスとなって積み上がっていくんだろうと思います。
昨年の六月に決めた大綱の中には、企業のベストプラクティスを共有するというような記述があったり、あと、マルチステークホルダー、企業を含めていろいろな関係者の方の意見を聞きながらこういう制度をつくっていくというのが、もともと大綱にもあり、そういう精神でつくってきたと思うんです。これが、実は今回の、十二月十九日の法律案の骨子ではなくなっていますし、それから、ちょっと法律は、きょうもらったので全部読めていませんけれども、恐らくそういった視点はないんじゃないかと思いますが、これはどういう理由でしょうか。○向井政府参考人 今回の法律では、実は書いてございます。
匿名加工情報の加工方法につきましては、個人情報保護委員会規則において、氏名を削除する、住所の市町村以下を削除する、あるいは生年月日を年代に置きかえる等の、匿名加工情報を作成する事業者全てに共通する最低限の記述について定めることとしております。
その上で、このような個人情報保護委員会規則に加えまして、事業の特性、あるいは取り扱いデータの内容に応じた詳細なルールが必要となると考えるところ、これらにつきましては、事業者の自主的なルールに委ねることを想定しております。それらのルールにつきましては、消費者、その他関係者の意見を聞いて加工方法を作成して、個人情報保護指針という形で民間団体の指針をつくっていただくというふうなことを想定しているところでございます。
この国会審議をおおざっぱにまとめます。
- 匿名加工情報は、特定の個人を識別できないようにするとともに、作成のもととなった個人情報を復元することができないように加工を行うものをいう。
- 加工については、ビッグデータの利活用を推進するための措置なので、ビッグデータの利活用にならないほど匿名化が必要になるような措置ではなく、通常復元できないぐらいの程度のものとなる。
- 個人情報保護委員会が加工についての規則を定めるが、最低限のルールに止まる。
- 事業の特性や取扱いデータの内容に応じた詳細なルールは、事業者の自主的なルールに委ねる。その際、消費者その他関係者の意見を聞き、加工方法を作成し個人情報保護指針を策定する。
ポイントは、個人情報保護委員会の規則や民間事業者の自主的なルールを守って、匿名加工情報にきちんと加工して復元できないようにすれば、利活用が可能ということのようです。
個人情報と匿名加工情報と取扱いの違いはどこにあるの?
個人情報と匿名加工情報との取扱いの違いはどこにあるかを、具体例で考えてみます。
個人情報保護法の改正にある意味一役買ったことになったJR東日本のSuica乗降履歴販売のケースを取り上げます。
Suica乗降履歴販売とは
事案を振り返りましょう。
JR東日本は、Suicaカード利用者の乗降履歴データについて、氏名・電話番号・物販情報を削除し、生年月日を生年月に変換し、SuicaID番号を不可逆な別のIDに置き換えたデータを作りました。2013年6月に、日立製作所がSuicaの乗降履歴を使った分析サービスを発表したことから、JR東日本が日立製作所にデータを販売することが分かりました(実際の提供は7月)。JR東日本と日立製作所は、特定の個人を識別することを禁止する契約を締結していたとのことです。
7月中旬、国土交通省が、JR東日本に対し「事前に利用者に説明すべきだった」と注意したとの報道がなされると、多数の憤りのTwitterのツイートがなされるなど、大騒ぎとなりました(日本経済新聞「Suica乗降履歴販売」失策の教訓 パーソナルデータ活用6つの勘所)。
利用者からは、個人情報の保護、プライバシーの保護や消費者意識に対する配慮が欠けているのではないかという声が出されました。7月下旬、JR東日本は、オプトアウトによる第三者提供を行うことを発表し、受付を開始しました。利用者から寄せられたオプトアウトの申出は10月初頭で約5万5000件でした。
JR東日本は、9月に有識者会議を設置して、翌年2014年2月に「Suicaに関するデータの社外への提供 中間とりまとめ」を、2015年10月に「Suica に関するデータの社外への提供について とりまとめ」を公表しています。
改正前の個人情報保護法における3つの問題点
改正前の個人情報保護法の規定と照らし合わせて、問題点をあげました。
問題点①提供したデータは提供元で特定の個人が識別できるデータだった。
問題点②利用規約の中に乗降履歴の販売・譲渡の記載がなく、利用目的が利用者に伝わっていなかった。
問題点③第三者提供について本人から同意を得たり、オプトアウト手続を取ったりしていなかった。
問題点①
最初の問題点①は、提供したデータが提供元であるJR東日本で特定の個人が識別できるデータだったのではないかということです。Suicaカードは、「Suicaに関するデータの社外への提供 中間とりまとめ」によれば、次の情報を記録しているとのことです(図1)。これらの情報は、当然のことながら、個人に関する情報で特定の個人を識別することができる情報ですので、個人情報保護法上の「個人情報」(2条1項)にあたります。
そして、JR東日本が日立製作所に提供した乗降履歴データは、次のようなものでした(図2)。
SuicaIDは不可逆の別のIDに変更され、その対応表は消去され、氏名、電話番号、物販情報は削除されていましたが、生年月日は日のみが削除されただけで、その他の性別、乗降駅名、利用日時、利用額はそのままだったようです。
JR東日本は、このように加工したデータは個人情報保護法の「個人情報」に当たらないと解釈していました(中間とりまとめ11頁)。
これに対して、提供元であるJR東日本で、これらの情報をもとにデータベースを検索すれば元の特定の個人を識別することができたと推測されるという指摘がなされました。この問題は、個人情報保護法上、個人識別性は、提供元あるいは提供先で判断するのかという論点と関係します。なお、改正法の議論で、提供元で個人識別性の判断をすることが明確になっています。
個人識別性を提供元で判断する立場に立ち、かつ実際にも元の特定の個人を識別することができるデータだったならば、上記の提供データは、個人情報保護法上の「個人情報」といわざるを得ません。
個人識別性が認められるならば、利用者の乗降履歴という情報の集合物は、特定の個人情報をコンピュータを用いて検索することができるように構成されている「個人情報データベース等」であり、各乗降履歴はこのデータベースを構成している個人データにも該当していたはずです。
したがって、個人情報、個人データに関する個人情報取扱事業者の義務(改正前の個人情報保護法15条から31条まで)をJR東日本は負っていたことになります。
問題点②
問題点②は、利用規約の中に乗降履歴の販売・譲渡の記載がなかった点です。個人情報保護法15条と16条および問題点③に関わります。
提供した乗降履歴データが、個人情報であることを前提にすると、15条1項(改正後も変更はありません)によれば、JR東日本は、利用の目的をできる限り特定しなければなりません。
利用規約の中に、乗降履歴の販売・譲渡の記載がなかったとのことですので、利用目的の特定に関する義務が果たされていたのかという疑問が生じます。
利用規約にない利用をしているわけですから、利用目的の変更にあたりますが(15条2項)、その場合には、「変更前の利用目的と相当の関連性を有すると合理的に認められる範囲を超えて行ってはならない」ので、乗降履歴の販売・譲渡が果たして、変更前の利用目的と相当の関連性を有すると合理的に認められる範囲の中に入っていたかが問われます。
そして、個人情報保護法は、16条1項で、あらかじめ本人の同意を得ないで、15条1項の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない」としていますので、この条項にも違反していた可能性も提起されます。
問題点③
問題点③は、個人情報保護法は、個人データを第三者に提供する場合には、個人情報取扱事業者(本事案ではJR東日本)は、原則としてあらかじめ本人の同意を得なければなりません(23条1項)。この義務は「個人データ」の提供について課されるものですが、前述したとおり、乗降履歴は個人データに該当すると捉えることができますので、JR東日本は、第三者(本事案では日立製作所)に提供する場合には、原則として本人の同意を得なければなりませんでした。
ただし、個人情報保護法は、個人データについてオプトアウト手続による第三者提供を認めています(23条2条)。そこで、JR東日本が、利用者に対して、所定の事項を「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき」には、日立製作所への提供ができました。
所定の事項とは、
- 第三者への提供を利用目的とすること
- 第三者に提供される個人データの項目
- 第三者への提供の手段又は方法
- 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること
です(改正前の条文)。
しかし、JR東日本は、オプトアウト手続による第三者提供に関し所定の事項を、本人に通知していませんでしたし、インターネットに掲載するなど本人が容易に知り得る状態に置いていませんでした。したがって、第三者提供の制限に関する義務に違反しているのではないかという指摘がなされたのです。
改正法ではどうなる?
さて、改正法であっても、問題点①をクリアしない限り、利用目的の特定や第三者提供の問題はついて回ります。
乗降履歴について、特定の個人を識別できないようにするとともに、作成のもととなった個人情報を復元することができないように加工を行って、改正法の定める匿名加工情報にすれば、①の問題がクリアできます。
①の問題がクリアできれば、実は、②の問題と③の問題も同時にクリアできるのです。
個人情報の利用目的の特定の義務(15条1項)は、あくまで個人情報に関する義務です。匿名加工情報は、個人情報から除外された新たな類型の情報ですので、個人情報について特定した利用目的とは異なる利用目的で匿名加工情報を利用しても、個人情報保護法上は何ら問題は生じません。
また、第三者提供に同意を必要としたり、オプトアウト手続を取るのは、個人データについてです。匿名加工情報は特定の個人が識別されない情報で、個人情報にも個人データにも該当しませんので、本人の同意もオプトアウト手続も不要となります。
消費者に対する対応は
以上は、個人情報保護法の条文に照らした検討ですが、消費者に対する対応は別途行う必要があるかもしれません。昨年(2016年)11月に、株式会社NTTデータ経営研究所で、NTTコムリサーチの実施した「パーソナルデータに関する一般消費者の意識調査」が公表されています。そこでは大変興味深い結果が出ています。
まず、企業が消費者のWEB閲覧履歴や購入履歴などを収集し、マーケティング活動や広告ビジネスなどに利用していることへの印象について、「知っており、不快である」および「知らなかったので、不快である」の合計が70%以上となっています。この調査結果は、企業が利益を得る目的で消費者のパーソナルデータを利用していることについて一定の否定的な態度があることを示しているといえるでしょう。
また、「金銭やポイント等の対価を得る条件で」提供する場合、その対価として最も多かった回答は500円以上1000円以下でした。一方、パーソナルデータを利用した見守り安心・安全サービスについては55.9%がサービスの利用に肯定的です。消費者のパーソナルデータを企業が利用することに対しては、消費者自身が何らかの利益を得られるのであればよいものの、企業が消費者に還元をせずにデータを利用することについては消極的であるように思われます。
さらに、WEBアクセス履歴、位置情報は、半数以上の回答者が匿名化にかかわらず「どのような条件であっても提供したくない」と回答しています。Suicaの乗降履歴は位置情報の一種ともいえ、そうであるならば、JR東日本は、乗降履歴は消費者にとって相当程度知られたくないという情報であることを意識していなかったことになりましょう。
個人情報を匿名加工情報に加工した場合、復元が禁止されていますので、通常の方法では元の個人を識別することはできなくなります。
ただし、パーソナルデータの利用を必ずしも消費者が望んでいない実態が、上記の調査によって垣間見えます。匿名加工情報の第三者提供に際して、個人に関する情報の項目を公表するだけではなく、提供によって消費者にもたらされる利益について説明し理解を求めることも大切といえましょう。個人情報保護法1条の「有用性」ともかかわりますが、有用性が企業の側にしかない場合には、消費者の目は厳しくなることに留意しておく必要があります。
なお、JR東日本は、中間とりまとめで、Suicaデータの有用性について詳しく説明しています(13~14頁)。
この 作品 は クリエイティブ・コモンズ 表示 – 非営利 – 改変禁止 4.0 国際 ライセンスの下に提供されています。