・パーソナルデータの利活用に関する制度改正大綱について/個人情報保護法・ビッグデータ
・ガラパゴス化する日本の個人情報保護法/パーソナルデータ大綱と海外との問題
この改正の大きな目玉は、ひとつは個人情報のうち、氏名、住所、生年月日などを匿名化する措置により「個人が特定される可能性を低減したデータ」(低減データ)については、現行の個人情報保護法が本人の同意が必要としている第三者提供を本人の同意がなくても可能ことと、もうひとつは、現行制度では個人情報の利用目的変更には本人の同意が必要なのですが、これを緩和し、オプトアウト方式(=嫌だと思う人がその旨を申し出る方式)へ変更すること、のふたつであると思われます。
しかし、とくにこの後者の利用目的変更のオプトアウト方式への変更に関しては、さまざまな立場の有識者の方から批判がよせられているようです。
この点、内閣府のIT総合戦略本部の「パーソナルデータ検討会」の審議を傍聴されていた産業技術総合研究所情報セキュリティ研究センターの高木浩光先生のウェブサイトを読むと、この論点の改正については、「パーソナルデータ検討会」第10回の終盤に経済産業省情報経済課が突然提案したものであり、検討会での審議が十分行われないまま「パーソナルデータの利活用に関する制度改正大綱」に盛り込まれてしまったものであるようです。
・高木浩光@自宅☆の日記|利用目的の変更自由化で世界から孤立へ(パーソナルデータ保護法制の行方 その13)
そのうえで、高木先生は、わが国の現行の個人情報保護法がベースとしているOECDプライバシーガイドライン(OECD8原則)の「利用制限の原則」は、利用目的以外の目的での利用について、「本人同意」を原則としているので、変更前に取得したデータについても変更後の利用目的を適用することをオプトアウトで認める手続きは、OECDプライバシーガイドライン の「目的明確化の原則」及び「利用制限の原則」に適合しないとします。
そのため、この個人情報保護法の利用目的変更の手続きのオプトアウト方式への変更の法改正を行うと、わが国の個人情報保護法は、世界標準であるOECD8原則から外れて、世界から孤立することになるとしています。
この点、パーソナルデータに関する検討会委員である新潟大学法学部教授の鈴木正朝先生も、2015年1月25日のツイッターの一連の投稿において、この利用目的変更のオプトアウト化を痛烈に批判なさっておられます。以下、少しだけ引用させていただきます。
引用
「OECEプライバシーガイドラインに抵触しかねない大穴。個人情報の保護に関する基本方針という閣議決定と大綱における国際調和の方針に反する案を恥ずかしげもなく提案する真意はどこにある。それを背後で迫る勢力は誰なのか。ステルスロビー活動か。恥を知れ。」
「利用目的変更手続きをGoogleのポリシー統合の手続きを下回るところまで引き下げて、どうやって越境データ問題を解決するのだ。どこぞの圧力に屈し今をしのげばそれでいいのか。越境データ問題の交渉コストを無駄に上げているだけの愚策。再改正を余儀なくされたら誰が責任を負うのか。」
「トヨタ、ホンダなどの自動車のビッグデータもコマツのKOMTRAXもエリア別データセンターで相互のデータ交換なしで実施するのか。おめでたい政策だ。規制緩和馬鹿もいい加減にしたらどうか。どうやって経済成長の絵を描くつもりだ。」
「個人情報保護法が許してもプライバシー侵害の不法行為を構成したらどうする。他国のレギュレーションにひっかかったらどうする。そしてなによりいつの間にか当初の利用目的からは想定もできない新利用目的に変わったことを知らなかった利用者が大騒ぎだ。レピュテーションリスクはどうする。」
「自民党もしっかり関係団体からヒアリングすべき。外資は本国ベースでしっかりした規律でビジネスをすればいいだけ。日本が緩い分にはウェルカムだ。半嗤いで容認するだろう。むしろ日本企業をガラパゴスなデータセンターに追いやってライバル企業の国際競争力を削げばラッキーくらいのものだ。」
以上、引用終わり
A.Wada様のつぎのまとめ記事から抜粋させていただきました。
・「個人情報保護法改正方向の落とし穴-OECDガイドライン非準拠へ?」
A.Wada様のブログ
・浅慮相乗のブログ
この鈴木先生の投稿を読んで、畑違いながらやはりとまず感じるものがあるのは、引用したうえから4番目の鈴木先生の投稿の内容です。
2013年のJR東日本のSuicaの利用者の乗降履歴の日立への第三者提供の問題や、同年のNTTドコモの利用者の携帯電話の空間位置情報の第三者提供の問題なども、利用者から「気持ち悪い」「不安だ」という声があがり、社会的非難が高まったとき、これらの企業は判で押したように、「わが社は個人情報保護法を遵守していますので法的になんら問題はありません」という趣旨の社外への対応を行なっていました。
しかし、うえの鈴木先生の投稿にまさにあるとおり、かりに個人情報保護法をクリアしていたとしても利用者のプライバシー権の侵害の問題は発生しうるのであり、その場合、企業は不法行為による損害賠償責任を追及される可能性があります(民法709条、715条など)。JR東日本やNTTドコモは個人情報保護法ばかりを意識して、民事法などの一般的な法令における法的リスクを見落としています。
また、これも鈴木先生が指摘されているとおり、かりに企業の行為が法的に問題がないとしても、そのやり方しだいでは、やはり依然として利用者の国民・市民からの「気持ち悪い」「不安だ」「怖い」というレピュテーション・リスクが発生する余地は残ると思います。
そもそも現行の個人情報保護法においては、新規の個人情報の取得の場面において、事業者は本人に利用目的を「通知」することが原則であるようでいて、実際には、契約書などの書面で個人情報をいただく場合以外は、事業者のウェブサイトに「プライバシー・ポリシー」さえ掲載するなどの「公表」の措置さえとっていれば、この本人への利用目的の「通知」は不要と規定されています(個人情報保護法18条1項、2項)。
この段階で、一般の国民・消費者は、自分が見たこともないウェブサイトにより事業者が免責されるのかと、法の不備や「だまし討ち」を感じるのではないかと思われます。
それをさらに今回の個人情報保護法の改正においては、利用目的の変更という、これも大事な場面において、従来、本人の「同意」であったものを「オプトアウト方式」に変更するわけです。
一般の消費者があるとき急に何かのビッグデータの利用目的の変更について自分の個人情報がそれに関連しており、それの利用目的の変更手続きがオプトアウトに過ぎないと知ったら、JR東日本やNTTドコモのような大きな社会問題となってしまう可能性があります。それを事業者がいくら「個人情報保護法に規定があるので合法です」と説明してもその消費者の不安は収まらないかもしれません。
なお、ここから先は完全に空想・妄想の世界なのですが、今回の個人情報保護法の法改正にあたり、なぜ経済産業省情報経済課が急に利用目的変更のオプトアウト化を提案してきたのかが、素人ながら気になります。
専門家である鈴木先生のうえのツイッターの投稿でも、経済産業省が誰の、どんな業界の意向で今回の動きをしたのかは不明であるようです。また、うえであげた、高木先生もウェブサイトを読んでも、これも経済産業省が、“やらなくてもよいことを想定してやり過ぎの法改正をしようとしているのではないか”との指摘がなされています。
鈴木先生のうえの一連の投稿を読むと、まずグローバルに世界に展開している大手自動車メーカーは得るものがないのではずれます。データセンターつまりクラウドサービスを行なっているIT企業のなかで特に日本企業も損をするのではずれます。また、うえで引用しませんでしたが、鈴木先生のツイッターの投稿の他の部分を読むと、医療分野なども世界標準の法令に沿って行うべきとの指摘がなされています。
素人ながら新聞などを読んでいて個人的に気になっているのは、2014年にDeNAなどの比較的新興のベンチャー的なIT企業が一般の消費者向けに遺伝子検査の事業をはじめたことでしょうか。
IT企業であれば多くの高性能なサーバーを持っているので、ビックデータの解析にはとても有利だと思います。また、遺伝子はセンシティブな究極の個人情報です。このデータをもとに、今後、なにか画期的な活用方法がみつかれば、利用目的の変更をして、その利活用をしようという話になるのかもしれません。
遺伝子のデータをもとにしたビッグデータの利活用というと、素人考えとしては、やはり現在よりすぐれた薬品を製薬会社が作るであるとか、あるいは、たとえば、スポーツジムなどにおいて、より利用者の健康を増進するためのオーダーメイドのメニューの作成などのヘルスケア分野などでしょうか。
さらに、近年は全国の医療機関の電子化が進んでおり、カルテが電子カルテ化されたり、レセプトなども電子化されつつあります。そのような全国の医療データを統合したデータベースは「ナショナルデータベース」と呼ばれ、厚生労働省の監督のもと、順次、データが蓄積されつつあるそうです。
この「ナショナルデータベース」は、さまざまな社会課題解決やコスト削減のために使われる予定とのことですが、2008年からすでに特定保健指導(メタボ対策)の効果を調べるのに使われているそうです(日経ビッグデータ『2015年のビッグデータ』86頁)。
あるいは、これは話が完全にSF的に飛躍してしまうのですが、保険業界は保険の引き受けにおいて、お客さまの健康面などの診査をしなければならない業界であるため、とくに管理部門の調査部門などが伝統的に古くからこのような分野にそれなりの関心を持っているようです。
たとえば、ネット上で閲覧できる保険業界の学会誌などをざっと検索すると、2000年ごろから2011年までに、遺伝子検査と保険の引き受けに関連して、2件の論文が執筆され、公開されているようです。
一言でいえば、将来、医学が進歩したあかつきに、お客さまご本人の同意のもとに、このような遺伝子検査のデータという、センシティブな個人情報をいただいたうえで、保険会社がそのデータを保険の引き受けの審査の判断材料のひとつにするということはありえる話かもしれないと思います。
たとえば1990年代から、わが国の生命保険の保険商品には、たばこを吸わない禁煙者には保険料を割引くという特約を設ける商品が現れました。
さらに、アクサ生命は、ビッグデータの時代をにらんで、ウェアラブルの情報端末でお客さまの日々の体調をモニターして、そのデータをもとに保険料をダイナミックに変動させてゆく構想を明らかにしています(日経ビッグデータ『2015年のビッグデータ』34頁)。
しかし、もし仮に、遺伝子検査のデータがご本人の同意を得ていない情報であって、そのビッグデータが何らかの事業者のサーバーから、生命保険会社のサーバーに不正に伝達されていたとしたら、それはとんでもない大問題です。
それは、個人情報保護法に反するだけでなく、お客さまから受けた告知の内容を踏まえて保険を引き受けるか否かを判断するという現行の保険法の制度の根幹そのものに反します。
なお、「新経済連盟」のインターネット企業大手である楽天は、傘下に楽天生命保険をすでに持っています。
また、「新経済連盟」には、ネット専業生保である、ライフネット生命保険も加入しています。
しかし、企業の財務をあずかる部門や経営陣にとっては、この遺伝子検査のビッグデータは、前もってこっそりと入手しておきたい魅力的な禁断の果実かもしれません。
それは一方で、社会一般の大学受験の場面や、広く高卒や大卒の新卒を採用したいという企業や官庁一般の人事担当者が、「健康で優秀で有能な人が欲しい」と思うとき、共通して考えることかもしれません。
そう考えると、たとえば2016年1月より施行されるマイナンバー法(番号法)制度は、国民に「個人番号」を付番して行政の効率化・合理化を目指す制度ですが、医療分野においてもその利活用に熱い視線が送られているようです。
しかし、医療分野の行政の効率化などが重要なのはもちろんですが、しかし、とくに遺伝子情報などのセンシティブな個人情報の個人番号との付番などは、厚労省や医療関係者の方々には慎重な判断をしていただきたいものだと思います。
ビッグデータやマイナンバー制度は非常にその有効利用が期待できる一方で、そのデータの不正な流用や濫用などを許すと、大変な災厄を招きかねません。
それは、SF小説「1984」やアニメ「PSYCHO-PASS サイコパス」などのディストピアな世界に登場する、国民を子どもの頃から、外見、動作、思想、感情などありとあらゆる面で監視・監督し、国家からみて優良でない人間を社会から排除してしまおうという国家のセンサーやシステムになってしまいかねません。
■補足
1月30日の読売新聞に、つぎのような個人情報保護法改正の記事が掲載されていました。
・個人情報保護法改正案が波紋…海外の顧客データ活用 遠のく?|読売新聞
この記事では、経済産業省が利用目的変更の緩和化を行った背景には、「ヤフーなどで作るインターネット関連団体の意向」があるとはっきり書かれてあるのが非常に興味深いです。
国や経済産業省がヤフーなどのインターネット関連業界ばかりに偏った立法を行ってよいのか、はなはだ疑問です。
 |
 |
 |
 |
法律・法学 ブログランキングへ
にほんブログ村