行政 個人情報の保護:プロファイリングとデータポータビリティ

日時:8月25日(木曜日) 午後6時~8時
開催時刻が通常よりも30分前倒しになっていますので、ご注意ください
場所:東洋大学大手町サテライト
東京都千代田区大手町2-2-1 新大手町ビル1階
司会:山田肇(東洋大学経済学部教授、ICPF理事長)
講師:生貝直人(東京大学大学院情報学環客員准教授)

講演資料はこちらにあります。

以下のメモはICPF事務局が作成したもので、事実を誤認したり、生貝氏の意見と異なる記述が含まれている可能性があるが、その責任はICPF事務局にある。 

  • 冒頭、生貝氏は次のように講演した。
  • 法律の解釈論だけでなく、技術を適用した上で、どのように制度設計していくかを研究している。
  • 20164月にEU一般データ保護規則GDPRが正式に採択された。EUデータ保護指令と同様に、EU向けサービスを行う場合に適用される規則である。GDPR含まれる「忘れられる権利」は、既に日本の判例に影響を与えている。日本では触れられることが少なかったが、GDPRに含まれる「データポータビリティ」「プロファイリング」は非常に重要な視点である。
  • 日本の文脈では利活用を進める上で、個人情報の第三者提供を同意なく行うことができるかが議論される。できる限り本人の関与を省いて、データを提供するかということを検討しがちであるが、本当は、長期にわたり名寄せされた実名データ、すなわちディープデータを本人の意思に基づいてどのように流通させていくかが重要である。
  • EUには、米国のITプラットフォームが全世界のデータを囲い込んでいることに危機意識があり、GDPRの成立もこれが大きく影響している。EUの姿勢は、個人データについて個々人の所有権を強化すべきという立場である。GDPR20条がデータポータビリティに関する条項になっており、1項に個人が、自分の個人データをデジタルな形(構造化されて、機械可読ができる)で取り戻す権利、2項に個人データの管理者から別の管理者に直接移転する権利が書かれている。例えばGoogleが持っているデータをデジタルデータのまま、取り戻すことが可能になる。ホンダの車で蓄積されたデータを、トヨタの車に乗り換えたときに移転することが可能になる。自分のデータを開示させる権利は今でもあるが、多くは紙で返ってくるので、これではリユースできない。個人データを管理するサービス事業者の規約で移転できないということも多い。
  • 20条の3項では、17条の忘れられる権利に影響を与えないとしている。これは、元の管理者のデータを消去してくださいという意図ではないことを示している。4項では、他社の権利や自由に対して不利な影響を与えてはならないとしている。これは、データを分析した結果までは対象ではないことを示している。
  • データポータビリティ条項は、既存のデータ保有事業者が強く、スタートアップ企業が参入できていない現状を変えることにつながる。つまり、純粋なデータ保護の法律論では扱わない意図も含まれている。個人がFacebook10年分の書き込みをすべて捨てて、新しいEU企業のSNSサービスに移行はできないという状況に風穴をあけることにつながる。つまり、個人データをコントロールすることを促進すると同時に、競争と市場における新しいビジネス活動を推進する。
  • GDPRの草案が提示され、実際に成立するまでには、法案もだいぶ変遷してきている。変遷をたどると、何を意図したものかがよくわかる。立法過程では、EU側は肯定的見解が多かったが、米国側は否定的な見解も多かった。
  • わが国では、PDSPersonal Data Store)が提案されているが、それを誰が管理するのかという問題がある。PDS周りの技術開発と実践が進んできており、例えば、VRM構想、ID連携トラストフレームワーク、1000年カルテプロジェクト、集めないビッグデータプロジェクト、MyData、代理機関構想などがある。データポータビリティの権利により、本人同意に基づく集中型エコシステム(既存のシステム)と並立する形で、本人主導による分散型エコシステムができる可能性がある。日本では、昨年くらいから代理機関構想が盛り上がってきているが、収集分析型代理機関が集めたものを、個人PDSに持っていくという考えができる。
  • 試論として通信市場との対比を行った。データポータビリティは、ナンバーポータビリティ制度、巨大事業者に課せられる接続義務と同じ考え方と解釈できる。
  • 日本におけるデータポータビリティ制度導入の選択肢は、①EUのように個人情報保護法を改正して個人情報全般でポータビリティを可能にする、②代替性の低い重要なデータを保有する特定分野のみ導入する、③公的性質の強いDBのみ導入するの3つがある。
  • 個人データからのプロファイリングはポテンシャルが大きく、マーケティング、Fintechでの与信管理、保険のリスク計算、採用活動、人事評価、潜在的な犯罪者の特定などが想定できる。プロファイリングの応用は、個人や社会に重大な影響を与える。
  • GDPRでプロファイリングとは何かが定義され、適正なプロファイリングの要件も明示されている。
  • 22条の「プロファイリングを含む自動的な個人に関する意思決定」では、例えば、データを集めて分析した結果として、癌にかかる確率が高いから保険料を上げるといったことを自動的にしてはいけないということを示している。個人データを取得する際には、自動的な意思決定にどのように具体的に利用されるのかを明らかにしなくてはいけない。
  • GDPRの成立で、EUの個人情報保護に関するルールは一元化されたかといえば、そうではない。警察、刑事司法は別となっており、警察・刑事司法データ保護指令がGDPRと同時に成立している。
  • プロファイリングのルールには、さらに議論すべきことが含まれている。たとえば、「法的な影響をもたらす、あるいはそれに類似する重要な影響をもたらす決定」とは何か?→保険に入れない、採用されないというのは、これに該当するのか? あるいは、アルゴリズムがAIだとして、分析アルゴリズムを明示できない場合に、個人は同意できるのか? 本人が同意すれば、プロファイリングを含む自動的な意思決定をしていいのか、本人が同意の念書を書いた場合はどうなるのか?
  • 次の論点も重要である。プロファイリングで生み出した個人データが機微情報の場合どう扱うのか? 米国の女子高生が家のコンピュータからネットショッピングをし、eコマース事業者がその履歴をもとに分析を行い、「妊娠している人」と判断し、妊娠に関連した広告を自動で表示した。同じコンピュータを利用している親が、妊娠に関連した商品の広告ばかりが表示さえるのを見て「娘は16歳なのにどういうことだ」と不審がる。結局、その女子高生妊娠していた。妊娠しているだろうという分析結果はこれに該当するのか?
  • データポータビリティが可能になり、自分で多くのデータを集約した場合、この集約したデータを管理する事業者が、そこでプロファイリングをしたらすぐに本人特定できてしまう。情報銀行のようなところはプロファイリング禁止にしないといけないのではないか?

講演終了後、次のような議論が行われた。

データポータビリティについて
質問(Q):通信市場との対比がわかりやすかった。EUは肯定的、米国は否定的ということについてさらに説明してほしいのだが?
回答(A):EUは肯定的、米国は否定的という話は一概にいえない。EUの企業にとっても収集している個人データを持っていかれてしまうリスクはある。消費者法制というのが中核であり、欧州委員会としては、市場が競争的になることで、プライバシー親和的サービスが活性化すればいいと考えているのだろう。Googleがもし破綻しても、EUの人々の個人データを保護できるということもある。
Q:通信の場合の接続義務は、一般の通信事業者とエッセンシャルファシリティをもっている通信事業者で取扱いが違う。EUでは取り扱いを分けているのか? コスト回収はどうなっているのか?
A:本当にワークする法律にしたければ、このようなのっぺりとした法律はしない。EUは、日本のように、5,000人以上の情報を取り扱う企業・団体・ 個人が「個人情報取扱事業者」といった縛りも元々ない。巨大な事業者を差別的に扱う仕組みがGDPRの中でできるは、気になるところである。これもどこまでラディカルにやるかで、求められる非対称性も違ってくる。最低限の部分だけを課すということであれば、すべての事業者を対象ということもあるかと思う。EUが、どこまで本気でGDPRを運用するかによって幅があると思われる。競争的に考えれば非対称であるが、これが、データ保護に関する法律に含まれているのがおもしろいところで、原則を守るのか、競争的にやるのかは気になるところである。
Q:内閣官房で情報銀行構想がでてきているが、どのような背景があるのか。情報銀行にデータを預ければ、利子としてお金が入るというイメージもでてきてしまうのではないか?
A:「銀行」という言葉を使うのはどうかなとは感じている。情報銀行的なところに規律をかけなくてはいけないとは思っているが具体的な案はまだない。プロファイリングという視点でみると危険を感じる。情報銀行がPDSを指しているのであれば、集めることのリスクと、どの程度運用を委ねるのかということで規律が必要となると思う。情報銀行やPDSという言葉で表現すると新しくモノのように感じるが、既にFacebookiOSが行っていることと同じである。これらのビジネスは、プラットフォームではなく、PDSがサービスの本質である。日本は彼らのビジネスモデルと闘わなくてはいけない。

プロファイリングについて
Q:ほんどの意識決定は、自動で行った方が公正であるというのもあると感じる。アルゴリズムが示せれば意思決定の根拠があると思うが、なぜ、児童決定はダメとEUは打ち出してきたのか?
A:これからも自動化された意思決定が重要になるという流れがあるというのを認識した上で、それを止めてしまうと思っているのではなく、「のみによる意思決定」について規定して、そっちの方向に行くのはしょうがないから抵抗する方法を残す=ラストリゾートという感じではないかと考える。
Q:採用の際など、機械的に判断するほうが公正と感じている。身辺調査も実際には行うが、このような人が実際に行う情報はプロファイリングになるのか? 人が介在すればなんでもしていいのか?
A:プロファイリングでは機械的な自動的な処理に焦点を置いているが、一般的なデータ取得の方で、本人が意図しない情報収取はしてはいけないことになっている。
QSNSで個人が公開している情報を機械的にAIが自動的に解析して、保険料の参考にするのは許されるのか? SNSの情報で、深夜まで起きている、食生活が乱れているなどわかってしまうのだが。
A:公開情報でプロファイルするとしても、データ主体の権利は及ぶので、本人から直接取得しない情報取得があれば、本人から申し立てがあれば公開しなくてはいけない。人間が情報収集することに対する規制は他の法律でもカバーできるが、機械的な自動処理の話は入っていなかったので、新しいGDPRに入れてきたといえる。
Q:約款に細かいアルゴリズムが書いてあっても、誰も読まないで同意する。なぜなら、同意しないと加入できないので、同意してしまう。これも同意なのか?
A:これは、解決には向かっていない問題である。EUでも選択肢のある形で与えられていて、いつでも撤回できるという形を強くしている。事後的な救済をどうするかというのが、EUのアプローチだと思う。
Q:警察・刑事司法は別となっているが、インテリジェンスはどうなっているのか? 警察の中では公安部門がある。EUにおいても、採用のことなどはインテリジェンスに入るのではないか?
A:インテリジェンスや安全保障などはGDPRの対象外である。警察・刑事司法データ保護指令には、パブリックセキュリティ領域が含まれている。警察・刑事司法データ保護指令をインテリジェンスが順守できるのか、今後調べていきたい。 

全般について
コメント(C):データサブジェクトという言葉を、生貝氏は電子メールのタイトルのサブジェクトと同様の意味に考えているようだが、法律家はサブジェクトとオブジェクトをはっきりと分けている。サブジェクトは排他性が非常に強い言葉である。しかし、今日の話を聞いて、EUはサブジェクトを緩やかな意味合いで使う方向になっているのではないかと感じた。日本の法律家がGDPRを訳すともっと排他性が強くなってしまうが、技術が急速に進展する世の中では、生貝氏のような解釈をもっとしたほうがいいと思う。
Q:著名な弁護士と話した時に、法律的な「事前」「事後」と経済学的な「事前」「事後」とは異なるという話になった。個人データ保護のような問題でも同様で、法学者が関わると細々したことが含まれてしまう。しかし、難しいことはやらない方がいい。言葉の間違いは避ける必要があるが生貝氏のような若い方に、もっと柔軟に、経済学的事後の考え方が重要と主張してほしい。
A:技術者は動かないものは作らない。GDPRも「カテドラルを作ろうとしている」との批判がある。細かいことを先に決めるのではなく、原理原則を確立したうえで、運用しながら検討していくべきと考える。
Q:この法律はGeneral(一般)であるが、特別法をこの下に作ることになるのか? 欧州レベルで作るのか? 各国レベルで作るのか?
A:個人データ保護に関連しては、ほかに電子通信プライバシー指令などがあり、今、作業している。GDPRだけでカバーしようとしている訳ではない。メタデータに関する法律なども、先日成立したばかりでありこれから色々な関連法案ができてくる。