今回は、科学技術振興機構社会技術研究開発センター（RISTEX）「安全な暮らしをつくる新しい公／私空間の構築」研究開発領域との共催で、「安全な暮らしをつくる個人情報の保護」について考えました。
高齢者の孤独死を防ぐ方策として、近隣の人々を中心とした見守り（近助）が有望です。しかし、高齢者の状態が急激に悪化した際には、今までの同意の範囲を超えて個人情報を共有しなければならない状況が起きるなど、近助には個人情報保護法上の課題があります。個人情報保護法第23条は「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」を第三者提供制限の例外として定めていますが、この規定を近助に適用する際にどんな問題が生じるでしょうか。

日時：10月19日（水曜日）　午後6時30分～8時30分
場所：TKP市ヶ谷カンファレンスセンター
東京都新宿区市谷八幡町8
司会：山田肇（東洋大学経済学部教授、ICPF理事長）
講師：藤田卓仙（名古屋大学寄附講座准教授）
村井祐一（田園調布学園大学教授）

藤田氏の講演資料はこちら
村井氏の講演資料はこちら

冒頭、司会より次のように問題提起があった。 

個人情報保護法は保護と活用を目的とした制度だが、保護に傾いたものと社会で認識されている。独居高齢者の見守りは、見守る人たちの間で情報共有しないと実現しない。個人情報保護と活用のバランスをどうとるかは、司会者が領域総括を務める研究開発領域でも課題となっている。 

藤田氏は資料を用いて次のように講演した。

• 個人情報保護法には誤解がいくつかある。これはプライバシー保護法ではないし、個人情報の範囲にも誤解がある。個人情報というのは、氏名・住所といったわかりやすい属性だけではない。様々な場面で事前同意が強調されるが、これも必須ではない。
• 個人情報保護法は、事業者が個人情報を適切に扱うよう定めるものであって、プライバシー保護法ではない。医師の義務など、個人情報保護法より強い個別法律や種々のガイドラインがあり、それをみなければ個人情報保護の全貌はわからない。
• 個人情報とは生存する個人に関する情報で、特定の個人を識別できるもの、あるいは、他の情報と照合することで特定の個人が識別できるものだが、個人識別符号が改正個人情報保護法で加わった。顔認証データ、ゲノム情報、顔、虹彩等が相当する。さらに、要配慮個人情報が規定された。これは、病歴等の機微な情報を指す。個人情報の利用について従来はオプトアウトできたが、改正で事前同意が必要となった。
• 各自治体で個人情報保護条例が異なり、事業分野ごとのガイドラインも存在する。民間と公的部門に横串を刺す共通の規定がないので、公民の協力が求められる非常時などに問題が起きる。実際、東日本大震災のときに、国立・民間病院、設置主体ごとに監督官庁が異なり、横での情報提供ができないという事態が起こった。これらを総称して個人情報保護法2000個問題と呼んでいる。
• なぜ今回、個人情報保護法が改正されたか。当初より社会にネットが浸透し、個人情報の扱いが増えた。個人情報保護の強化だけでなく、情報の利活用も重要になっている。医療分野では、地域包括ケアで医療等IDによってデータ連携する可能性も生まれている。
• 地域での見守りなど、個人情報保有数5000人以下で保護法の対象外だったが、5000人以下の小規模事業者も対象になるように改正された。この点は、今後問題になる恐れがある。
• 現状の個人情報保護法制は本人の同意をベースにしている。しかし、本人の同意能力が十分でない場合の仕組みは不十分である。今回の改正で病歴等が要配慮個人情報になり、見守りなどでは、この点も問題となる恐れがある。解決には、同意能力があるうちに同意を取得する仕組みをつくる、後見人等による同意を代わりとする、同意がなくても一定の場合に共有してよいルールをつくる、といったルール作りが求められる。なお、事前同意が不要なケースがある。政令に定められた場合、生命又は身体、財産の保護等々が規定されている。しかし、現場では例外はダメという判断がなされるケースが多い。大震災ですら自治体ではネガティブな反応が多かった。 

次いで村井氏が資料を用いて次のように講演した。

• 地域は孤立、孤独死に直面している。住民自身も、特に単身者はリスクを感じている。孤独死が起きやすい環境は、後期高齢者、配偶者を亡くしたケース、自治会に入っていない、慢性疾患、賃貸住宅居住などである。長津田では、大家とネットワークをつくることでこれを防ごうとしている。地域で支える必要がある。
• 背景には婚姻率、離婚率、人に頼らなくても生きていけるなどがある。ハイリスクな人ほど社会と関わりをもたないセルフネグレクトとなり、手をつけられなくなる。早期発見・早期対応が必要である。
• 人に頼らなくても生きていける原因とも言えるコンビニは、生活を見守っている拠点に変わり得る。地元に密着したオーナーが来客を気にし、問題が起きても警察よりも親族に連絡するようにしている場合もある。コンビニと地域包括センター等との情報共有が必要で、それは配食サービスも、乳酸菌飲料の宅配も同様である。今はセンターに連絡がいくスキームができてきた。
• セルフネグレクトの場合、本人同意が難しい。見守り活動には対象者の個人情報が必要で、本人同意がない場合には監視活動になってしまう。見守っているだけでなく、対象者とつながる声かけ活動が必要である。島根県では誰に見守られたいかリクエストを受ける仕組みを入れて、支援者数を増やした。リクエストされた人もうれしいので頻繁に見守り声かけをしてくれる、Win-Winの関係が築けた。
• 大多数の関係者は個人情報の取り扱いがネックと言っている。23条には例外規定があるが、判断基準が明確でないのでよほどでないと介入しない。立川市の連続孤独死のケースでは、民政委員が把握し相談したが誰も動かなかった。明確な判断基準があればセーフティネットを動かすことができた。立川はその反省で、活動を強化している。セルフネグレクトなどの場合には本人の同意が取れないし、本人の認知能力が落ちている場合も多い。
• 地域には生活支援サービスが色々とあって、それらが連携するだけで見守りが実現するが、どこまで情報共有していいのかおっかなびっくりで、個人情報保護法に抵触するのではという懸念で動けない状況にある。各地で見守りにおける個人情報保護について研修してきた。保護法の第一条、目的を読んでいた人は0.35%だった。ほとんどの方が、法律がきちんとわからないで過剰反応している。自治体ごとに民生委員に提供する情報が異なる問題がある。全国で毎年3800万件の問題を民生委員は見つけているが、どう処理すればよいか、わかりやすい例示は極めて少ない。
• 真の課題は、第一に好事例が示されないこと。マスメディアは失敗をたたくだけ。失敗事例にこそ解説・解決が必要である。しかし、そのような情報の例示や共有はない。一方、消費者庁のパンフレットは秀逸で、啓発活動に利用できる。
• 取り扱い課題の細々したことを相談できる仕組みが周知されていない。個人情報保護委員会でどこまで対応できるのか、自治体に相談しても明確な回答は得られない、認定個人情報保護団体も不足しており、また、どこまで対応できるかわからない。福祉現場での具体例を基に法律家が解説する仕組みもない。
• 要配慮個人情報に関する本人同意の必要性などについて、具体的な判断基準・手法が求められている。任意団体への個人情報提供のルールが不明瞭である。規定の整備が必要ではないか。 

これらの発表後、会場全体で議論が行われた。議論の概要は次のとおりである。

藤田（F）：村井講演への感想として法律を皆知らない、説明が難しい、実務上使わない、といったことがわかった。個人情報保護法への理解はどこの現場でも、大学などでの研究倫理審査ですら進んでいない。現場では認定個人情報団体、ガイドラインが必要と認識した。法律家はもっと例を挙げなければならないということもわかった。
村井（M）：中野区には見守り条例がある、渋谷、足立、横浜は、災害時について別の条例をつくって運用している。初回は災害時要支援者の安否確認のためという理由で、氏名住所電話番号などを使用して訪問して、それについて同意をとる際に、見守りの同意も取るというように、現場は苦労しながら本人同意を得ていることを理解してほしい。
山田（Y）：大震災の際に病院間で情報共有ができない問題が紹介されたが、そもそも災害時要支援者は常に居住地域にいるというという考え方がいけない、障害者でも働く、高齢者も出歩く。支援が必要な際には、自治体から自治体に個人情報を渡す必要がある。災害を切り口にして、情報共有を促進するのはよい考えかもしれない。
F：災害時には情報が大切である。対応策として同じ条例つくればよいが、これも2000個できてしまう恐れがある。上から被せるルールが必要で、本来的には例外条項にあたるケースというだけでは、現場が萎縮してしまうかもしれない。
M：災害時というと共感が得られ、共有の仕組み整備が進みやすい。これを認知症対策というと全く進まなくなる。高齢祝い金をやめるのが全国的な方向になっているが、横浜では防災グッズを祝い金代わりに配布することにして、その中にわざと消費期限付きのものを入れていて、継続見守りの契機にしている。災害だとインパクトがあって身近な問題として動く。
質問（Q）：地域防災に取り組んでいる。防災訓練だと、しょせん訓練で、個人情報共有についてハードルが高いがどう進めているのか。
F：災害対策基本法では、非常時でないと法的手当てがない。質問者の通りだ。
Y：「非常時」とはなにか。震度いくつ以上だと非常時とかという定義があるのか。
F：細かい線引きはない。例外条項で読むといっても、死にかけているというのがどうわかればいいのか、線引きを誰がどう決めるのか、曖昧な部分が残る。
M：現場では、防災訓練を自治会単位でやっている自治体の加入者は個人情報が共有できている。しかし、加入していない人はどうするかという声が民生委員から挙がる。だから自治会に入るのがよいという、堂々巡りの議論をしている。横浜市緑区では自治会加入率が90％を超えて、情報共有を密にしているエリアもある。災害時の避難訓練も民生委員、地区委員等々がそれぞれ把握している人をサポートしている。
Q：要支援者情報を活用している地域ごとに、条例には違いがあるのか。総務省等の働きかけはあるのか。見本となる条例のテンプレートを提供するようなことはあるのか。また、医療分野での連携について、厚労省の研究会は改正個人情報保護法をわかってデザインしているのか。
M：かつて渋谷区役所が地域の状況に問題を感じて動き、条例を作った。それが最初で、それ以降他の自治体が関係機関での情報共有方式のテンプレートとして参考にし、渋谷モデルが評価されていった。中野はそれを見守りモデルに変えたが、続く自治体は今のところないと思われる。
F：医療連携のユースケースについて、改正個人情報保護法に詳しい人も入っているが、事務局が把握しているかはわからない。
松本（RISTEXアドバイザ）：厚労省がユースケースを書いている背景には、医療分野での個別法を作ろうとしていたという事情がある。今は改正個人情報保護法になり、それを踏まえて医療分野をどうするかは議論されている途中である。医療等IDはマイナンバーの延長だが、よくも悪くもある。多くのステークホルダーを巻き込む場合、困るかもしれない。医療等分野の「等」が困る。医療連携がやりやすくなるが、福祉・介護を巻き込むと難しくなる。地域包括ケアだとステークホルダーを巻き込まないとならないので、どうにかする必要がある。利活用するためには保護をしなくてはならない。保護しなくてはいいという問題ではない。表裏一体の問題ということを理解しなければならない。
Y：本人の同意を取るというが、本人家族が認知症を疑い病院に行く日と、実際の病気の進行は異なり、病気が2年早い。その間に判断能力が不十分なまま同意している可能性がある。
M：事前同意の地域定着はない。問題が起きてから例外条項つかっている。予防から見守り・早期発見につなげようというときに同意をとっておこうという動きもあるが、今のところはほとんどない。
F：法律的に考えるならば、ともかく一度同意があれば、個人情報保護法上は利活用できる。ただ、一度した同意が死ぬまで使われてよいのかという問題はある。抜けられる仕組みも必要かもしれない。
Y：欧州では業者間で個人情報を移す規定もある。家でサービスを受けていた高齢者が、老人保健施設に入居した場合、今までのサービス業者に与えていた情報を移せるか。
F：そこまであらかじめ同意がとれているかという問題がある。個人情報保護法上は素直には移せないが、共同利用のスキーム等を施設が利用していればできる可能性、代理人による同意の可能性もある。
Q：利活用の義務について。高齢者向けの顧客サービスでメールアドレス、パスワード等を預かる場合がある。何かあった場合に第三者に教える義務があるか。要配慮情報を取得できる可能性があるので、行政機関から要請があっても出さないという判断がありえるのか。F：情報の提供要請が刑事訴訟法等に基づいていれば提供は可能である。一方、出さないと拒否された場合については個人情報保護法では何も手当てしていない。
Y：後見人や家族の同意で構わないと法律には書いていないが、書くべきか。
F：個人情報保護法はプライバシー保護ではない。事業者がどう扱うかという法律なので、本人同意が有効でない場合なんらか手当てが必要だが、現状は書いていない。後見人なら問題ないが法的にどこまで担保できるようにするか、家族をどうするか、例えば内縁の妻などを認めるという法律には難い部分がある。
Q：本人同意が難しいといわれるが、見守りとは何をすることなのか、同意をするときに目的が明確になっているか。きちんと規定されているなら、プライバシーポリシーの部分に掲げるべきではないか。
M：大田区の「みま～も」は見守りの仕組みを定義している。しかし、見守りについて普遍化された定義はない。取り組みごとに異なる。横浜市港北区小机では町内会ごとにルールが異なり、宣言文がそれぞれ異なる。しかし、セルフチェックリストなどを備え、緊急対応が必要なケースの通報ルール等も明確にして、見守りが可視化されている。それでも同意がとれないケースもある。
Y：法律の対象から、「5000人以上」の事業者を外した改正をどう思うか。
F：個人情報保護委員会のガイドライン等が示されていないと混乱が起きるのではないか。
M：学会でパブコメを出す用意をしている。明確なルールが出されない中、見守りをがんばれと言われてもできない。面倒なのでやめようと、見守りを放棄する方向に地域が走る懸念がある。

最後に司会者が以下のようにまとめた。

特に判断能力が不十分な高齢者を見守るためには、個人情報を活用していかなければならない。そのために、ガイドラインの整備、グッドプラクティスの例示などを地道に行う必要がある。それとともに、法律そのものを見直すことも今後の課題である。

科学技術振興機構社会技術研究開発センター「安全な暮らしをつくる新しい公／私空間の構築」研究開発領域と、同研究開発領域の「高齢者の安全で自律的な経済活動を見守る社会的ネットワークの構築」プロジェクトが共催し、情報通信政策フォーラム（ICPF）が後援して、開催されたシンポジウムの概要は次のとおりである。

日時：9月11日（日曜日）　午後1時～5時
場所：全国町村会館　（東京メトロ永田町駅徒歩1分）
シンポジウムのプログラムなど詳細については、プロジェクトのウェブサイトをご覧ください。

講演者を含め117名が参加したシンポジウムでは、研究発表と総合討論の結果、以下の事項について意見が一致した。

• 判断能力が低下した高齢者の経済活動を支援し、経済的被害を防止するには、事前の対応として判断能力が低下する前に任意後見契約や見守り契約を結んだり、信託を設定し財産を受託者に委ねるのがよい。
• 遺言書を書くことが推奨されているように、事前に契約する必要性について啓発していく必要がある。
• 事前の契約がないままに判断能力が低下した高齢者には、事後の対応として法定後見制度によって対応することになるが、手続きは概して厳格であり、手続きの煩雑さや家庭裁判所の事務処理上の対応に限界がある、などの問題がある。
• 成年後見制度に対しては行為能力を制限するという仕組みについても批判が強い。
• もっと多くの人が簡易に利用できるように、成年後見制度を改善し、あるいは新たに意思決定支援システムを構築しなければならない。
• たとえば、高齢者が締結した契約について、一定の者の同意がなければ本人あるいはその者が取り消すことができる等の見解（高齢者取消権の主張など）があるが、高齢者の契約は、高齢者であるということのみによって取り消し無効にできるというように定める法律を制定するには無理がある。高齢者によって判断能力の状態はまちまちで、未成年者のように年齢で区切ることができないからである。
• なお、子ども（未成年者）の場合は、未成年者の制度（親権、未成年後見）が手当てされている。
• 以上の事前の対応、事後の対応のいずれにおいても、個人情報の共有が必要になってくる場合がある。判断能力が低下した本人がどのような場合にどのような支援を必要としているか、支援者・援助者間の相互の連携が求められる場合には、どのような内容の個人情報を共有することが必要になるかを明らかにすることが急務であろう。
• 個人情報保護法は、個人情報の取得をすべて禁止するものではなく、同意のない第三者提供などを規制するものである。
• そのうえ、緊急時には本人の同意を得なくても第三者提供できるとの例外規定が設けられている。
• ただし、個人情報保護法は民間機関に関するルールのみを示すものであるため、個人情報保護委員会が自治体等でも安心して情報共有できるようガイドラインなどを示すのがよい。
• しかし、例外規定を根拠に規制を逃れていくのは運用上困難な部分が多いことが東日本大震災時にも明らかとなった。
• そのため、判断能力が低下した人々に対する法律を別に制定するのがよい。
• たとえば、高齢者に対する医療介護連携に関する特別法を制定すれば、個人情報保護法の規定を超えることも可能である。
• そのためには、これら個別の事象に関する研究を進め、どのような支援が必要かを明らかにする必要がある。

日時：8月31日（金曜日）　午後6時30分～8時30分
場所：金沢工業大学大学院虎ノ門キャンパス（愛宕東洋ビル13階会議室）
東京都港区愛宕1-3-4
司会：山田肇（東洋大学経済学部教授、ICPF理事長）
共同モデレータ：上條由紀子（金沢工業大学大学院イノベーション研究科准教授・弁理士）
講師：許經明（東京大学ものづくり経営研究センター） 

許氏の講演資料はこちらにあります。

許氏は講演資料を用いて概略次の通り講演した。

• 1990年代、欧州では新興国に対して比較優位な産業として複雑な製品システム（CoPS: Complex Product System）に注目した。航空・鉄道などが相当する。移動通信もCoPSであるが、なぜ、移動通信では欧州企業の競争力が低下したのだろうか。
• この疑問を解くために、複雑な製品システムに関する知識が欧州の既存企業から新興企業に流れるスピルオーバーのプロセスに注目した。基本的には、知識スピルオーバーには、ライセンスなどの企業間取引によってスピルオーバーする直接ルートや、技術標準や特許を基に新興企業が技術情報を入手する間接ルートなどがある。CoPSである移動通信については、間接ルートという視点で分析した。なお、この発表における「スピルオーバー」は、知識の拡散（diffusion）と同じ意味である
• CoPS企業は、強みであるシステム知識を技術標準化に反映させる。移動通信の標準は、サービス、コアネットワーク、基地局、端末、暗号処理などのサブシステムごとに作成され、かつ、サブシステム間の複雑なインタフェースが規定されている。本発表では、サブシステムごとの標準（技術仕様）に対して必須特許（SEP）が宣言されている程度をシステム知識の複雑さとして定義する。欧州の既存企業は新興企業に比べて、システム知識の複雑さが高いが、そのシステム知識が新興企業にスピルオーバーしてしまうと、欧州の既存企業の競争力が低下してしまうと考えられる。そこで、企業ごとのシステム知識の複雑さについて分析した。
• その結果、Nokiaなどの既存企業はすべてのサブシステムの技術仕様作成に貢献し、かつ、全分野でSEPを宣言しているという点で、システム知識の複雑さが高いことが分かった。一方、Samsungなどの新興企業は、システム知識の複雑さが低いことが分かった。この意味では、Nokiaなどの既存企業のシステム知識が、Samsungなどの新興企業にそれほど流れていなくて、Nokiaなどは競争優位を維持し続けるはずであると考えられる。
• 一方、移動通信産業には、端末に搭載するチップセットを製造販売する中間財メーカーが存在する。Qualcommなどが相当する。Qualcommは、サブシステムごとの標準（技術仕様）に対して必須特許（SEP）を多く宣言している（システム知識の複雑さが高い）。このシステム知識がチップセットの形で新興企業に提供され、CoPS全体のシステム知識をそれほど持ていない新興企業も移動通信ビジネスに参入できることが分かった。
• さらに、SEPを先行特許として参照する形で独自特許が多数の企業から出願されている。この関係を調べると、新興企業はQualcommのSEPを多く参照していることが分かった。特許は明細書で技術が公開されるが、それが新興企業の教材になっているわけだ。
• 以上説明したように、Qualcommは欧州の既存企業が貢献した技術仕様を基に、システム知識が詰まったチップセットを新興企業に提供した。また、Qualcommのシステム知識が、QualcommのSEPを通じて新興企業に流れていた。このようなシステム知識のスピルオーバーが、新興企業による技術情報を入手する間接ルートであり、欧州の既存企業の競争力を低下する一因であった。

講演の後、質疑応答が行われた。

質問（Q）：なぜ、Nokiaなどの競争力は低下したのか。
回答（A）：技術仕様を定めるまでのオープンイノベーションと、その後のクローズドなイノベーションを組み合わせることが企業戦略として重要である。これに関しては、今後、技術標準化におけるNokiaとQualcommの企業戦略を比較する必要がある。
Q：第三世代のSEPを参照して出願された独自特許にはどのような種類があるか。
A：詳細な分析はないが、改良特許だけではなく、第四世代に備える特許も含まれているようだ。その意味で、継続的な技術開発・特許出願は重要である。
Q：新興企業はQualcommのSEPを多く参照しているとのことだが、QualcommのSEPの数が多ければ、それだけ明細書で技術が公開されるので、参照頻度が上がるのは当然ではないか。
A：その通りである。
コメント（C）：既存企業と新興企業の勢力争いという点ではスピルオーバーは重要な課題であり、許氏の研究成果は評価される。一方、世界経済の観点では、スピルオーバーがあったからこそ新興企業が安いシステムを販売できるようになり、それがアフリカ諸国などで利用されるという成果を生んだとも評価できる。
C：Qualcommの標準化活動への参加の程度はNokiaなどよりも低い。この点に注目してQualcommは標準の成果にただ乗りしたといえるだろうか。第三世代の技術の根幹はCDMAであり、第二世代のころからCDMAを商用化していた唯一の企業はQualcommであった。第三世代の技術仕様は、それまでに蓄積されてきたQualcommの技術を基に作成された。したがって、標準化活動への参加の程度は低いが、ただ乗りしているわけではない。

日時：8月25日（木曜日）　午後6時～8時
開催時刻が通常よりも30分前倒しになっていますので、ご注意ください
場所：東洋大学大手町サテライト
東京都千代田区大手町2-2-1　新大手町ビル1階
司会：山田肇（東洋大学経済学部教授、ICPF理事長）
講師：生貝直人（東京大学大学院情報学環客員准教授）

講演資料はこちらにあります。

以下のメモはICPF事務局が作成したもので、事実を誤認したり、生貝氏の意見と異なる記述が含まれている可能性があるが、その責任はICPF事務局にある。 

• 冒頭、生貝氏は次のように講演した。
• 法律の解釈論だけでなく、技術を適用した上で、どのように制度設計していくかを研究している。
• 2016年4月にEU一般データ保護規則GDPRが正式に採択された。EUデータ保護指令と同様に、EU向けサービスを行う場合に適用される規則である。GDPR含まれる「忘れられる権利」は、既に日本の判例に影響を与えている。日本では触れられることが少なかったが、GDPRに含まれる「データポータビリティ」「プロファイリング」は非常に重要な視点である。
• 日本の文脈では利活用を進める上で、個人情報の第三者提供を同意なく行うことができるかが議論される。できる限り本人の関与を省いて、データを提供するかということを検討しがちであるが、本当は、長期にわたり名寄せされた実名データ、すなわちディープデータを本人の意思に基づいてどのように流通させていくかが重要である。
• EUには、米国のITプラットフォームが全世界のデータを囲い込んでいることに危機意識があり、GDPRの成立もこれが大きく影響している。EUの姿勢は、個人データについて個々人の所有権を強化すべきという立場である。GDPR20条がデータポータビリティに関する条項になっており、1項に個人が、自分の個人データをデジタルな形（構造化されて、機械可読ができる）で取り戻す権利、2項に個人データの管理者から別の管理者に直接移転する権利が書かれている。例えばGoogleが持っているデータをデジタルデータのまま、取り戻すことが可能になる。ホンダの車で蓄積されたデータを、トヨタの車に乗り換えたときに移転することが可能になる。自分のデータを開示させる権利は今でもあるが、多くは紙で返ってくるので、これではリユースできない。個人データを管理するサービス事業者の規約で移転できないということも多い。
• 20条の3項では、17条の忘れられる権利に影響を与えないとしている。これは、元の管理者のデータを消去してくださいという意図ではないことを示している。4項では、他社の権利や自由に対して不利な影響を与えてはならないとしている。これは、データを分析した結果までは対象ではないことを示している。
• データポータビリティ条項は、既存のデータ保有事業者が強く、スタートアップ企業が参入できていない現状を変えることにつながる。つまり、純粋なデータ保護の法律論では扱わない意図も含まれている。個人がFacebookの10年分の書き込みをすべて捨てて、新しいEU企業のSNSサービスに移行はできないという状況に風穴をあけることにつながる。つまり、個人データをコントロールすることを促進すると同時に、競争と市場における新しいビジネス活動を推進する。
• GDPRの草案が提示され、実際に成立するまでには、法案もだいぶ変遷してきている。変遷をたどると、何を意図したものかがよくわかる。立法過程では、EU側は肯定的見解が多かったが、米国側は否定的な見解も多かった。
• わが国では、PDS（Personal Data Store）が提案されているが、それを誰が管理するのかという問題がある。PDS周りの技術開発と実践が進んできており、例えば、VRM構想、ID連携トラストフレームワーク、1000年カルテプロジェクト、集めないビッグデータプロジェクト、MyData、代理機関構想などがある。データポータビリティの権利により、本人同意に基づく集中型エコシステム（既存のシステム）と並立する形で、本人主導による分散型エコシステムができる可能性がある。日本では、昨年くらいから代理機関構想が盛り上がってきているが、収集分析型代理機関が集めたものを、個人PDSに持っていくという考えができる。
• 試論として通信市場との対比を行った。データポータビリティは、ナンバーポータビリティ制度、巨大事業者に課せられる接続義務と同じ考え方と解釈できる。
• 日本におけるデータポータビリティ制度導入の選択肢は、①EUのように個人情報保護法を改正して個人情報全般でポータビリティを可能にする、②代替性の低い重要なデータを保有する特定分野のみ導入する、③公的性質の強いDBのみ導入するの3つがある。
• 個人データからのプロファイリングはポテンシャルが大きく、マーケティング、Fintechでの与信管理、保険のリスク計算、採用活動、人事評価、潜在的な犯罪者の特定などが想定できる。プロファイリングの応用は、個人や社会に重大な影響を与える。
• GDPRでプロファイリングとは何かが定義され、適正なプロファイリングの要件も明示されている。
• 22条の「プロファイリングを含む自動的な個人に関する意思決定」では、例えば、データを集めて分析した結果として、癌にかかる確率が高いから保険料を上げるといったことを自動的にしてはいけないということを示している。個人データを取得する際には、自動的な意思決定にどのように具体的に利用されるのかを明らかにしなくてはいけない。
• GDPRの成立で、EUの個人情報保護に関するルールは一元化されたかといえば、そうではない。警察、刑事司法は別となっており、警察・刑事司法データ保護指令がGDPRと同時に成立している。
• プロファイリングのルールには、さらに議論すべきことが含まれている。たとえば、「法的な影響をもたらす、あるいはそれに類似する重要な影響をもたらす決定」とは何か？→保険に入れない、採用されないというのは、これに該当するのか？　あるいは、アルゴリズムがAIだとして、分析アルゴリズムを明示できない場合に、個人は同意できるのか？　本人が同意すれば、プロファイリングを含む自動的な意思決定をしていいのか、本人が同意の念書を書いた場合はどうなるのか？
• 次の論点も重要である。プロファイリングで生み出した個人データが機微情報の場合どう扱うのか？　米国の女子高生が家のコンピュータからネットショッピングをし、eコマース事業者がその履歴をもとに分析を行い、「妊娠している人」と判断し、妊娠に関連した広告を自動で表示した。同じコンピュータを利用している親が、妊娠に関連した商品の広告ばかりが表示さえるのを見て「娘は16歳なのにどういうことだ」と不審がる。結局、その女子高生妊娠していた。妊娠しているだろうという分析結果はこれに該当するのか？
• データポータビリティが可能になり、自分で多くのデータを集約した場合、この集約したデータを管理する事業者が、そこでプロファイリングをしたらすぐに本人特定できてしまう。情報銀行のようなところはプロファイリング禁止にしないといけないのではないか？

講演終了後、次のような議論が行われた。

データポータビリティについて
質問（Q）：通信市場との対比がわかりやすかった。EUは肯定的、米国は否定的ということについてさらに説明してほしいのだが？
回答（A）：EUは肯定的、米国は否定的という話は一概にいえない。EUの企業にとっても収集している個人データを持っていかれてしまうリスクはある。消費者法制というのが中核であり、欧州委員会としては、市場が競争的になることで、プライバシー親和的サービスが活性化すればいいと考えているのだろう。Googleがもし破綻しても、EUの人々の個人データを保護できるということもある。
Q：通信の場合の接続義務は、一般の通信事業者とエッセンシャルファシリティをもっている通信事業者で取扱いが違う。EUでは取り扱いを分けているのか？　コスト回収はどうなっているのか？
A：本当にワークする法律にしたければ、このようなのっぺりとした法律はしない。EUは、日本のように、5,000人以上の情報を取り扱う企業・団体・ 個人が「個人情報取扱事業者」といった縛りも元々ない。巨大な事業者を差別的に扱う仕組みがGDPRの中でできるは、気になるところである。これもどこまでラディカルにやるかで、求められる非対称性も違ってくる。最低限の部分だけを課すということであれば、すべての事業者を対象ということもあるかと思う。EUが、どこまで本気でGDPRを運用するかによって幅があると思われる。競争的に考えれば非対称であるが、これが、データ保護に関する法律に含まれているのがおもしろいところで、原則を守るのか、競争的にやるのかは気になるところである。
Q：内閣官房で情報銀行構想がでてきているが、どのような背景があるのか。情報銀行にデータを預ければ、利子としてお金が入るというイメージもでてきてしまうのではないか？
A：「銀行」という言葉を使うのはどうかなとは感じている。情報銀行的なところに規律をかけなくてはいけないとは思っているが具体的な案はまだない。プロファイリングという視点でみると危険を感じる。情報銀行がPDSを指しているのであれば、集めることのリスクと、どの程度運用を委ねるのかということで規律が必要となると思う。情報銀行やPDSという言葉で表現すると新しくモノのように感じるが、既にFacebookやiOSが行っていることと同じである。これらのビジネスは、プラットフォームではなく、PDSがサービスの本質である。日本は彼らのビジネスモデルと闘わなくてはいけない。

プロファイリングについて
Q：ほんどの意識決定は、自動で行った方が公正であるというのもあると感じる。アルゴリズムが示せれば意思決定の根拠があると思うが、なぜ、児童決定はダメとEUは打ち出してきたのか？
A：これからも自動化された意思決定が重要になるという流れがあるというのを認識した上で、それを止めてしまうと思っているのではなく、「のみによる意思決定」について規定して、そっちの方向に行くのはしょうがないから抵抗する方法を残す＝ラストリゾートという感じではないかと考える。
Q：採用の際など、機械的に判断するほうが公正と感じている。身辺調査も実際には行うが、このような人が実際に行う情報はプロファイリングになるのか？　人が介在すればなんでもしていいのか？
A：プロファイリングでは機械的な自動的な処理に焦点を置いているが、一般的なデータ取得の方で、本人が意図しない情報収取はしてはいけないことになっている。
Q：SNSで個人が公開している情報を機械的にAIが自動的に解析して、保険料の参考にするのは許されるのか？　SNSの情報で、深夜まで起きている、食生活が乱れているなどわかってしまうのだが。
A：公開情報でプロファイルするとしても、データ主体の権利は及ぶので、本人から直接取得しない情報取得があれば、本人から申し立てがあれば公開しなくてはいけない。人間が情報収集することに対する規制は他の法律でもカバーできるが、機械的な自動処理の話は入っていなかったので、新しいGDPRに入れてきたといえる。
Q：約款に細かいアルゴリズムが書いてあっても、誰も読まないで同意する。なぜなら、同意しないと加入できないので、同意してしまう。これも同意なのか？
A：これは、解決には向かっていない問題である。EUでも選択肢のある形で与えられていて、いつでも撤回できるという形を強くしている。事後的な救済をどうするかというのが、EUのアプローチだと思う。
Ｑ：警察・刑事司法は別となっているが、インテリジェンスはどうなっているのか？　警察の中では公安部門がある。EUにおいても、採用のことなどはインテリジェンスに入るのではないか？
A：インテリジェンスや安全保障などはGDPRの対象外である。警察・刑事司法データ保護指令には、パブリックセキュリティ領域が含まれている。警察・刑事司法データ保護指令をインテリジェンスが順守できるのか、今後調べていきたい。 

全般について
コメント（C）：データサブジェクトという言葉を、生貝氏は電子メールのタイトルのサブジェクトと同様の意味に考えているようだが、法律家はサブジェクトとオブジェクトをはっきりと分けている。サブジェクトは排他性が非常に強い言葉である。しかし、今日の話を聞いて、EUはサブジェクトを緩やかな意味合いで使う方向になっているのではないかと感じた。日本の法律家がGDPRを訳すともっと排他性が強くなってしまうが、技術が急速に進展する世の中では、生貝氏のような解釈をもっとしたほうがいいと思う。
Q：著名な弁護士と話した時に、法律的な「事前」「事後」と経済学的な「事前」「事後」とは異なるという話になった。個人データ保護のような問題でも同様で、法学者が関わると細々したことが含まれてしまう。しかし、難しいことはやらない方がいい。言葉の間違いは避ける必要があるが生貝氏のような若い方に、もっと柔軟に、経済学的事後の考え方が重要と主張してほしい。
A：技術者は動かないものは作らない。GDPRも「カテドラルを作ろうとしている」との批判がある。細かいことを先に決めるのではなく、原理原則を確立したうえで、運用しながら検討していくべきと考える。
Q：この法律はGeneral（一般）であるが、特別法をこの下に作ることになるのか？　欧州レベルで作るのか？　各国レベルで作るのか？
A：個人データ保護に関連しては、ほかに電子通信プライバシー指令などがあり、今、作業している。GDPRだけでカバーしようとしている訳ではない。メタデータに関する法律なども、先日成立したばかりでありこれから色々な関連法案ができてくる。