最近、個人情報に関するこんな本を読んだ。
著者は、旧特攻隊長こと山本一郎さん含め3名。
山本一郎さんは随分前からウォッチしている人で、大変面白く才能ある方。阿佐ヶ谷ロフトのイベントにも何回も参加してる。毒舌家でも有名。最近テレビにも出てるみたいね。
高木浩光さんは、佐賀県武雄市の図書館に、TSUTAYAを運営するカルチャー・コンビニエンス・クラブ(以下、CCC)社がTカードを導入して個人情報を取得しているのでは?という物議を醸した問題で、かなり気を吐いて批判されてた方。こういった個人情報関連のネタでは割とよく名前が出る方である。もう1人の鈴木正朝さんは弁護士さんだけど、この人のことはよく知らない。。
この3名が、「プライバシーフリーク・カフェ」というイベントを2014年に数回行ったんだけど、そのときの会話を書き起こしたのが本書。このイベント、参加したかったけど、すぐに満席になってしまって去年結局1回も参加できなかったのよね。。
で、本の中身としては、タイトル通り「個人情報」について。
現在、世の中で個人情報がどういう認識で捕らえられているか?
理想とすべき状況はどういう形か?
今後の個人情報は?・・などを、3名の方がひたすら議論する。
私はネット(IT)業界で働いており、最近はWeb解析などをメインに仕事している。で、Webサイトの解析やターゲティングを行う際に避けて通れないのがこの「個人情報」。なので、積極的に情報を集めて、今後どういう流れで推移しそうなのかをチェックしている。この趨勢如何で仕事にも結構な影響があるので。まぁ、個人的に興味あるからって理由もあるけど。
本を一旦読み終わったので、自分の頭を整理する意味も含めて、関心ある事柄を中心にブログにまとめておこうと思う。
そもそも「プライバシー」と「個人情報」の違いは?
2013年のSuica履歴販売の問題を見るにつけ、一番の問題は「プライバシー」と「個人情報」を分けて考えていることが、問題の本質のように思える。
「プライバシー」はすごく単純。イコール「個人に関するすべての情報」だ。
で、「個人情報」だが、数年前に個人情報保護法ができたときに「プライバシー」とは異なる概念で「個人情報」を定義してしまったことが、後の混乱を招いている。以下が、その問題の「個人情報保護法 第一章 第二条」。読んでみると、かなりわかりづらい・・この文章を読んだ人によっては、「あっ、個人情報って、名前/生年月日とか個人を特定できる情報のことなのね=特定できなければ個人情報ではないのね。」と勘違いしてしまうだろう。
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
(個人情報の保護に関する法律より)
ちゃんと「生存する個人に関する情報であって・・」という文章は書いてある。ここを解釈すればプライバシーと同義と言える。
しかし、その後の文章で、「特定の個人を識別することができること〜」という記述があり、おや?っとなる。
個人に関するすべての情報ではないの?識別できるものだけで良いの?と、疑問が残る文章になってしまっている。
法律制定時の意図を想像するに、いくら個人に関する情報といっても、例えば「誰もいないところでつまづいて転んで犬のウンコ踏んだ」とか、「酔って電車降り過ごして変な駅に着いてしまった」とか、そんなクソどうでもいい情報まで国が保護する必要はない。守るべきものは守るとして、守らなくて良いところは範囲外として切り捨てる。そのための1文なんだとは思う。しかし、この文章が入ることで、プライバシー=個人情報という本来の定義を書き換えてしまっている。
ここがすべての元凶であることは、この本を読んで理解できた。
現在の個人情報保護法の適用範囲
個人情報の取り扱いには、以下5つの側面がある。
1.取得
2.利用
3.提供
4.開示・苦情等
5.利用停止・消去
この中で問題が起きやすいのが「1.取得」と「3.提供」。
「取得」に関しては、かなりお粗末な状況。企業がいわゆる名簿屋からお金を使って取得することもあるわけだが、これが合法かどうかはかなりグレー。ベネッセ&ジャストシステム問題も、ここが大きな争点でもあった。倫理的に考えればNGだが、現行法ではそれを取り締まる方法が無い。
「提供」に関しては、ある組織の内部だけで取得した個人情報を利用するのは良いとして、問題が起こるのが第三者への「提供」 を行うとき。第三者提供に関しては保護法の第23条で明文化されている。要約するに、以下3つのケースならば、本人の同意無しで第三者提供してもOKってこと。
①委託
②事業継承(M&A)
③共同利用
①委託はわかりやすい。A社がB社に業務を委託したとして、A社が保有する個人情報をB社に渡したら、A社は監督責任が発生する。ちゃんと扱ってるかよく見とけ、と。これは当たり前。
また、②事業継承は、A社がB社を合併で吸収した際に、B社が保有する個人情報がA社に渡るという話なので、これもわかりやすい。A社がちゃんと管理すれば良い。
問題なのが、③共同利用。すげーわかりづらい。
CCC社のTポイント(共通ポイント)はこの形で第三者提供していると言い張っていたらしいが、本来共同利用は利用する範囲を最初から明文しとく必要があるらしい。共同利用するのはA社、B社、C社の3社だけよ、と。その条件に本人同意してもらって個人情報を取得する。しかし、Tポイントは、ポイント使えるアライアンス(提携企業)がどんどん増えている。共同利用の枠が広がり続けている。なので、これは保護法の共同利用には当たらず、その都度本人同意を行う必要がある、って問題点がこの本読んで理解できた。まぁ、たしかにこれがOKならば、後出しジャンケンで誰にでも提供出来てしまう。
それに、CCC社のTポイントに関しては、別に共同利用しているわけではなく、あくまで個人情報を握っているのはCCC社のみで、アライアンス企業にCCC社側が保有している個人情報の利用(閲覧)の権限はない。私はアライアンス側で仕事していたこともあるので、この辺の事情はよく知っているわけだが、この状況で「共同利用」と言い張るのはさすがに無理があるだろう。。。
それ以外で第三者提供する際は、必ず本人同意を取る=「オプトアウト」しなさい、ってこと。
Googleなんかは、ちゃんと以下の広告配信に関するオプトアウト機能ページを設けている。
-> Google 広告設定
こういう態度はすごく信頼出来る。
ちゃんと、こういう情報取ってますよ、嫌なら提供停止する設定を自分で行ってください、と。海外企業はこの辺しっかりしてる。事前のオプトインではなく、後付けのオプトアウトだったとしても、こういう風にページ上ですぐ変更できるなら問題無いと私は思う。
解せないのが、日本企業で、このオプトアウトを避けようとする動き。
この本でも敵役(笑)として名前が出てくるYahoo社がやけに抵抗しているようだけど、何がそんなに嫌なんだろう・・・?さっさと対応してしまった方がコストも安いだろうに。
ちなみに、現在はTポイントも以下オプトアウト機能ページあるので、自分の情報を提供したくない人はオプトアウトしとくことをお勧めします。
-> 個人情報提供の停止 手続き
そして、意図せず第三者提供してしまうのがいわゆる「漏洩」だ。
これについては、外部からのハッキングは犯罪行為、内部からの漏洩やパソコン落とした等が原因の漏洩は企業コンプライアンス、と保護法の範囲外の問題なので、そっちで議論した方が良いかな。
海外ルールとの整合性
本の中で海外ルールとの違いについて触れていたが、この話は興味深かった。
アメリカは、割と自由に個人情報を取り扱える。ITの解析&ターゲティング系ツールもアメリカが本場だし。識別番号なんかも結構自由に使えるらしいし、名簿の購入なんかも普通に行われている。しかし、訴訟社会なので、何かしら違反した際のペナルティが大きい。そこでバランスを取っている。
逆に、EU(ヨーロッパ)は個人情報の取り扱いが厳しい。その分訴訟リスクは低い。
もっとも、最近はストリートビューの個人情報問題や、検索結果の忘れてもらう権利の行使など、Googleなどの巨大外資企業への狙い撃ちもあり、大きな会社にとっては訴訟リスクは高いかもしれない。
で、日本は現在宙ぶらりんの状態。どっちでもない。
あげく、取り扱いは自由にしろ、訴訟リスクは低くしろ、と双方良いとこ取りのアホな要求をIT系企業を筆頭に提言してるらしい。理由はビックデータが今後の金の成る木なので、変な制約かけるとお金稼げなくなるから。
何でこの国はこうなんだろう・・・経済発展以外に示すべき価値観が無いんだろうか。。。
本当に情けない。。
個人情報保護法の改正に向けて 〜 最後に
今年2014年初頭に、個人情報保護法の改正案が国会に提出される予定。
様々な思惑が影響した結果、今より酷くなるのか?それとも、プライバシー=個人情報という本筋へ戻した上での改正になるのか?
その経緯はしっかりウォッチしていこうと思う。
他にも、医療データ含めた機微情報や、遺伝子データ、監視のための第三者機関の話、マイナンバー制度などなど、論点は多々あったんだけど、今回はまず理解しとかなきゃいけない基礎部分のみをまとめるに留めるとする。
まだ1冊本を読んだだけなので、今後の仕事する上でのスタンスを決めきれるほどの知識も身に付いていないし、何より法律(国)としての方向性も定まっていない。なので、考えたかった解析ツールの今後については後回し・・今後の課題とする。
ありがたいことにプライバシーフリーク・カフェのイベントもまだまだ続くみたいだし、1つずつゆっくり学びながら骨格を理解していき、今後自分が個人情報を扱う際のスタンスを固めて行こうと思う。