おはようございます。
春の訪れを感じる今日この頃、いかがお過ごしでしょうか。

記者としての誠実な姿勢で書かれた記事を目にしました。
ここに転載します。彼の知性と教養が素的ですね。
改正個人情報保護法は「ビッグデータ活用」に役に立つのか
(2015/03/13 大豆生田 崇志=日経コンピュータ)
 政府は、個人情報保護法の改正案を閣議決定した。今国会で審議が始まる。この改正案は、「ビッグデータ」を有効活用するためと報じられている。だが、データを本格活用したい企業は、法改正とは別に、国際規格を基にプライバシー保護の仕組みを実装する方が近道になるのではないだろうか。
 個人情報保護法の改正については、政府のIT総合戦略本部が2013年9月から2014年12月にわたってパーソナルデータ検討会を計13回開き、有識者の意見を集めた(写真)。その後、紆余曲折(うよきょくせつ)を経て、改正案を国会に提出した。
 法改正案の目玉は大きく3つある。1つは、何が個人情報に当たるかという「グレーゾーン」の解消だ。改正案や要綱によると、「個人情報」の定義に「個人識別符号が含まれるもの」を加え、今後の政令で定める。
 コンピュータで大量のデータを処理する際に割り振る識別子(ID)にひも付ける情報によって、プライバシーへの影響は異なる。それを政令で定めていくとみられる。
 法改正の目玉の2つめは、「個人情報保護委員会」の新設だ。業界ごとに所管省庁の大臣が分かれていた権限を一元化して、国家公安委員会や公正取引委員会と法的に並ぶ独立した組織となる。委員会は、企業に報告や資料提出を求められるほか、立ち入り検査もできる。また、こうした権限を所管大臣に委任できる。

「匿名加工情報」の活用は委員会次第
 目玉の3つめは、世界でも初めてのデータ類型である「匿名加工情報」の新設だ。個人を識別できないよう加工して、なおかつ個人情報を復元できないようにしたデータだ。企業が集めた顧客のデータを、本人の同意がなくても他社に提供できる枠組みとして作られた。
 匿名加工情報は、IoT(Internet of Things、モノのインターネット)などで、センサーが自動的に集めたデータなどへの適用が想定されている。個人にとっては知らない間に収集されるデータもあり、実際問題として同意を得にくい場合もある。そこで本人の同意の代わりに、データを匿名加工情報にすれば第三者に提供できる。こうした企業のニーズに応えようとするものだ。
匿名加工情報を利用する企業は、委員会規則の基準に従ってデータを加工する。加工方法などの漏洩を防ぐなどの安全管理措置を講じて、本人を識別するために他の情報と照合してはならない。
 さらに、匿名加工情報を作成したり第三者に提供したりするときは、委員会規則に基づいて「匿名加工情報に含まれる個人に関する情報の項目」や「提供の方法」を公表すると決められた。
 匿名加工情報が広く使われるようになるかは、委員会の規則次第とみられる。既に条文の曖昧さへの指摘や、何のためのデータ類型なのかと疑問視する声も出ている。
 パーソナルデータ検討会のメンバーで、技術面から報告書をまとめた技術検討ワーキンググループ主査の佐藤一郎・国立情報学研究所教授は、本人同意の代わりとするには「匿名加工情報の提供先の情報も本人に提供されなければならない」と指摘する。取り扱いルールが緩やかにされた分、データの加工程度を厳しくしなければならなくなったという。

個人情報保護委員会に重い役割
 法改正案では、委員会に重い役割が与えられている。匿名加工情報にデータを加工する方法は、委員会が基準を決める。しかも改正案では、国内から海外にある企業に個人データを提供する際に、委員会が規則で制限する役割も持つ。
 改正案では、海外に個人データを持ち出す際に本人の同意がなければ、委員会が日本と同等のプライバシー保護水準にある外国の政府を認定して、個人データを移転できるか判断しなければならない。
 これに対して、経済協力開発機構(OECD)の情報セキュリティ・プライバシー作業部会(WPISP)副議長である新保史生・慶応義塾大学教授は、「認定方法によっては通商摩擦になりかねない」と指摘する。海外のクラウド事業者にデータを委託する場合も適用される。米国や中国から認定を求められれば、その対応が外交問題になりかねない。
 新保教授は、海外へのデータ移転を一律に制限しない方法を提案している。プライバシー侵害の恐れがあるといった特定の状況があれば、データ移転の停止を命じる方法だ。その方が、委員会の負担は軽くなるだろう。
 委員会のメンバーは委員長を含めて計9人で、任期は5年。学識経験者や消費者保護、IT、マイナンバー制度、民間企業実務の経験者、地方自治体組織が推薦する者がメンバーとなることが決められている。委員会は、企業などが構成する自主規制団体である「認定個人情報保護団体」の認定や監督も担う。
 改正案が委員会に重い役割を求めた背景には、法改正の議論で決着できなかった論点を委員会の判断に委ねる形で先送りした結果でもある。もし委員会の動きが鈍くなれば、データの活用も保護も滞る恐れがある。

個人情報保護法だけでは役立たない
 しかも、企業にとって個人情報保護法を守りさえすれば、プライバシーの問題が起きなくなるわけではない。個人情報保護法は企業に求められた最低限の決まりごとに過ぎないからだ。
 個人情報保護法を守っていてもプライバシーを侵害する事態が起きれば、不法行為として訴訟を起こされるリスクはなくならない。個人情報保護法さえ守っていれば問題ないと言い張れば、企業のブランドや顧客の信頼は地に落ちてしまう。
 法改正の枠組みに拘泥せずに、企業がデータ活用とプライバシー保護の仕組みを実装するのに参考にできるものは何か。海外のプライバシー動向に詳しい崎村夏彦・野村総合研究所上席研究員は、国際規格である「ISO/IEC 29100」を挙げる。
 ISO/IEC 29100は「プライバシーフレームワーク」と呼ばれ、本人とデータ責任者、情報処理者、第三者に関係するステークホルダーを分けて定式化している(図1)。
マイナンバー図1
 その上で、データ責任者が従うべき11のプライバシー原則を挙げている(図2)。データを提供した本人の理解を得る「同意と選択」や、「目的の正当性と規定」、必要最小限のデータしか求めない「収集の制限」、「データの最小化」などで構成する。プライバシー法令の順守は、11原則の中の1つに過ぎない。
マイナンバー図2
 ISO/IEC 29100のプライバシー原則のうち、「同意と選択」や「オープンさ、透明性、通知」については、国内で指針が公表された。経済産業省情報経済課が2014年10月に公表した「消費者向けオンラインサービスにおける通知と同意・選択に関するガイドライン」である。
 ガイドラインでは、消費者本人の意思を確認するユーザーインタフェースのあり方などが詳しく紹介されている。現在、各国でも同じく通知や同意のガイドラインが登場している。そこで、ガイドラインの検討メンバーだった村上康二・東京工科大准教授らが中心となって、日本から新たな国際規格の作成を提案している。
 さらに重要なのが、プライバシー影響評価(PIA)である。PIAはプライバシーに関わるデータを扱うシステムの構築や改修をする際に、事前にプライバシーへの影響を評価して、対策をシステムの設計や運用に組み込むプロセスだ。
 英国のプライバシー監督機関であるICOなどが規定を公表していて、EU(欧州連合)も国際規格を基に企業にPIAを求めようとしているという。PIAはプライバシーへの影響がある個人などのステークホルダーに、どんなリスクがあって、どう対処するか、残ったリスクを示して受け入れてもらえるか聞くプロセスがあるという。
だがPIAは、今回の法改正では見送られた。一部の経済団体が、企業にとって過度の負担になると主張したためだ。
 だが本当にそうだろうか。例えば、もし2013年夏にJR東日本が交通系ICカード「Suica」の乗降履歴を日立製作所に販売しようとした際に、PIAを実施して利用者の意見を聞いていれば、事前に問題となりそうな点を把握して対策を講じられたのではないか。事前のリスク管理として行えば、むしろ企業は負担を減らせる可能性がある。
 改正案では、企業などの自主規制団体である認定個人情報保護団体が指針を作成する場合、消費者の代表らの意見を聞くよう努め、委員会への届け出が義務付けられる。メンバーである企業に指針を守らせる指導や勧告もしなければならない。ならば、PIAを先取りして企業ブランドも守る戦略が、データの活用に役立つのではないか。

保護と活用の相互強化を
 IT総合戦略本部が2014年6月に公表した法改正の大綱には、パーソナルデータの「保護と活用のバランス」という表現が何度も登場する。だが、プライバシー保護とデータ活用は「ゼロサムゲーム」ではない。
 保護ばかりで活用しなければ、必要な人に必要な情報を届けられない。活用ばかりで保護しなければ、プライバシー侵害に結びついてデータの活用はおぼつかなくなる。保護するなら活用もできるようにしなければならないし、活用するならば保護もしなければならない。いわば「プラスサム」に変える発想やITのイノベーションが必要なのだ。
 ところが、法改正に向けたパーソナルデータ検討会などでの議論では、プラスサムを目指す機運が高まらなかった。活用か保護かという対立図式が解消しないまま、「互いに相手の意見を聞かない状況になった」という指摘もある。もし、こうした図式が個人情報保護委員会に持ち込まれてしまうと、委員会は機能不全に陥りかねない。必要なのはITの進化や個人のデータの利用場面の広がりに応じた「保護と活用の相互強化」ともいうべきものだ。
 改正案には施行後3年ごとの見直しが付則に盛り込まれた。積み残している課題は多い。例えば、プライバシーを保護しながら医療データをどう社会に役立てるかは、高齢化社会の日本にとって最大の課題だ。法改正案の国会審議では、立場を超えてプラスサムを生むような議論を期待したい。
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/031100213/より転載


大きな笑顔の佳き日々を

感謝