日時：8月31日（金曜日）　午後6時30分～8時30分
場所：金沢工業大学大学院虎ノ門キャンパス（愛宕東洋ビル13階会議室）
東京都港区愛宕1-3-4
司会：山田肇（東洋大学経済学部教授、ICPF理事長）
共同モデレータ：上條由紀子（金沢工業大学大学院イノベーション研究科准教授・弁理士）
講師：許經明（東京大学ものづくり経営研究センター） 

許氏の講演資料はこちらにあります。

許氏は講演資料を用いて概略次の通り講演した。

• 1990年代、欧州では新興国に対して比較優位な産業として複雑な製品システム（CoPS: Complex Product System）に注目した。航空・鉄道などが相当する。移動通信もCoPSであるが、なぜ、移動通信では欧州企業の競争力が低下したのだろうか。
• この疑問を解くために、複雑な製品システムに関する知識が欧州の既存企業から新興企業に流れるスピルオーバーのプロセスに注目した。基本的には、知識スピルオーバーには、ライセンスなどの企業間取引によってスピルオーバーする直接ルートや、技術標準や特許を基に新興企業が技術情報を入手する間接ルートなどがある。CoPSである移動通信については、間接ルートという視点で分析した。なお、この発表における「スピルオーバー」は、知識の拡散（diffusion）と同じ意味である
• CoPS企業は、強みであるシステム知識を技術標準化に反映させる。移動通信の標準は、サービス、コアネットワーク、基地局、端末、暗号処理などのサブシステムごとに作成され、かつ、サブシステム間の複雑なインタフェースが規定されている。本発表では、サブシステムごとの標準（技術仕様）に対して必須特許（SEP）が宣言されている程度をシステム知識の複雑さとして定義する。欧州の既存企業は新興企業に比べて、システム知識の複雑さが高いが、そのシステム知識が新興企業にスピルオーバーしてしまうと、欧州の既存企業の競争力が低下してしまうと考えられる。そこで、企業ごとのシステム知識の複雑さについて分析した。
• その結果、Nokiaなどの既存企業はすべてのサブシステムの技術仕様作成に貢献し、かつ、全分野でSEPを宣言しているという点で、システム知識の複雑さが高いことが分かった。一方、Samsungなどの新興企業は、システム知識の複雑さが低いことが分かった。この意味では、Nokiaなどの既存企業のシステム知識が、Samsungなどの新興企業にそれほど流れていなくて、Nokiaなどは競争優位を維持し続けるはずであると考えられる。
• 一方、移動通信産業には、端末に搭載するチップセットを製造販売する中間財メーカーが存在する。Qualcommなどが相当する。Qualcommは、サブシステムごとの標準（技術仕様）に対して必須特許（SEP）を多く宣言している（システム知識の複雑さが高い）。このシステム知識がチップセットの形で新興企業に提供され、CoPS全体のシステム知識をそれほど持ていない新興企業も移動通信ビジネスに参入できることが分かった。
• さらに、SEPを先行特許として参照する形で独自特許が多数の企業から出願されている。この関係を調べると、新興企業はQualcommのSEPを多く参照していることが分かった。特許は明細書で技術が公開されるが、それが新興企業の教材になっているわけだ。
• 以上説明したように、Qualcommは欧州の既存企業が貢献した技術仕様を基に、システム知識が詰まったチップセットを新興企業に提供した。また、Qualcommのシステム知識が、QualcommのSEPを通じて新興企業に流れていた。このようなシステム知識のスピルオーバーが、新興企業による技術情報を入手する間接ルートであり、欧州の既存企業の競争力を低下する一因であった。

講演の後、質疑応答が行われた。

質問（Q）：なぜ、Nokiaなどの競争力は低下したのか。
回答（A）：技術仕様を定めるまでのオープンイノベーションと、その後のクローズドなイノベーションを組み合わせることが企業戦略として重要である。これに関しては、今後、技術標準化におけるNokiaとQualcommの企業戦略を比較する必要がある。
Q：第三世代のSEPを参照して出願された独自特許にはどのような種類があるか。
A：詳細な分析はないが、改良特許だけではなく、第四世代に備える特許も含まれているようだ。その意味で、継続的な技術開発・特許出願は重要である。
Q：新興企業はQualcommのSEPを多く参照しているとのことだが、QualcommのSEPの数が多ければ、それだけ明細書で技術が公開されるので、参照頻度が上がるのは当然ではないか。
A：その通りである。
コメント（C）：既存企業と新興企業の勢力争いという点ではスピルオーバーは重要な課題であり、許氏の研究成果は評価される。一方、世界経済の観点では、スピルオーバーがあったからこそ新興企業が安いシステムを販売できるようになり、それがアフリカ諸国などで利用されるという成果を生んだとも評価できる。
C：Qualcommの標準化活動への参加の程度はNokiaなどよりも低い。この点に注目してQualcommは標準の成果にただ乗りしたといえるだろうか。第三世代の技術の根幹はCDMAであり、第二世代のころからCDMAを商用化していた唯一の企業はQualcommであった。第三世代の技術仕様は、それまでに蓄積されてきたQualcommの技術を基に作成された。したがって、標準化活動への参加の程度は低いが、ただ乗りしているわけではない。

日時：8月25日（木曜日）　午後6時～8時
開催時刻が通常よりも30分前倒しになっていますので、ご注意ください
場所：東洋大学大手町サテライト
東京都千代田区大手町2-2-1　新大手町ビル1階
司会：山田肇（東洋大学経済学部教授、ICPF理事長）
講師：生貝直人（東京大学大学院情報学環客員准教授）

講演資料はこちらにあります。

以下のメモはICPF事務局が作成したもので、事実を誤認したり、生貝氏の意見と異なる記述が含まれている可能性があるが、その責任はICPF事務局にある。 

• 冒頭、生貝氏は次のように講演した。
• 法律の解釈論だけでなく、技術を適用した上で、どのように制度設計していくかを研究している。
• 2016年4月にEU一般データ保護規則GDPRが正式に採択された。EUデータ保護指令と同様に、EU向けサービスを行う場合に適用される規則である。GDPR含まれる「忘れられる権利」は、既に日本の判例に影響を与えている。日本では触れられることが少なかったが、GDPRに含まれる「データポータビリティ」「プロファイリング」は非常に重要な視点である。
• 日本の文脈では利活用を進める上で、個人情報の第三者提供を同意なく行うことができるかが議論される。できる限り本人の関与を省いて、データを提供するかということを検討しがちであるが、本当は、長期にわたり名寄せされた実名データ、すなわちディープデータを本人の意思に基づいてどのように流通させていくかが重要である。
• EUには、米国のITプラットフォームが全世界のデータを囲い込んでいることに危機意識があり、GDPRの成立もこれが大きく影響している。EUの姿勢は、個人データについて個々人の所有権を強化すべきという立場である。GDPR20条がデータポータビリティに関する条項になっており、1項に個人が、自分の個人データをデジタルな形（構造化されて、機械可読ができる）で取り戻す権利、2項に個人データの管理者から別の管理者に直接移転する権利が書かれている。例えばGoogleが持っているデータをデジタルデータのまま、取り戻すことが可能になる。ホンダの車で蓄積されたデータを、トヨタの車に乗り換えたときに移転することが可能になる。自分のデータを開示させる権利は今でもあるが、多くは紙で返ってくるので、これではリユースできない。個人データを管理するサービス事業者の規約で移転できないということも多い。
• 20条の3項では、17条の忘れられる権利に影響を与えないとしている。これは、元の管理者のデータを消去してくださいという意図ではないことを示している。4項では、他社の権利や自由に対して不利な影響を与えてはならないとしている。これは、データを分析した結果までは対象ではないことを示している。
• データポータビリティ条項は、既存のデータ保有事業者が強く、スタートアップ企業が参入できていない現状を変えることにつながる。つまり、純粋なデータ保護の法律論では扱わない意図も含まれている。個人がFacebookの10年分の書き込みをすべて捨てて、新しいEU企業のSNSサービスに移行はできないという状況に風穴をあけることにつながる。つまり、個人データをコントロールすることを促進すると同時に、競争と市場における新しいビジネス活動を推進する。
• GDPRの草案が提示され、実際に成立するまでには、法案もだいぶ変遷してきている。変遷をたどると、何を意図したものかがよくわかる。立法過程では、EU側は肯定的見解が多かったが、米国側は否定的な見解も多かった。
• わが国では、PDS（Personal Data Store）が提案されているが、それを誰が管理するのかという問題がある。PDS周りの技術開発と実践が進んできており、例えば、VRM構想、ID連携トラストフレームワーク、1000年カルテプロジェクト、集めないビッグデータプロジェクト、MyData、代理機関構想などがある。データポータビリティの権利により、本人同意に基づく集中型エコシステム（既存のシステム）と並立する形で、本人主導による分散型エコシステムができる可能性がある。日本では、昨年くらいから代理機関構想が盛り上がってきているが、収集分析型代理機関が集めたものを、個人PDSに持っていくという考えができる。
• 試論として通信市場との対比を行った。データポータビリティは、ナンバーポータビリティ制度、巨大事業者に課せられる接続義務と同じ考え方と解釈できる。
• 日本におけるデータポータビリティ制度導入の選択肢は、①EUのように個人情報保護法を改正して個人情報全般でポータビリティを可能にする、②代替性の低い重要なデータを保有する特定分野のみ導入する、③公的性質の強いDBのみ導入するの3つがある。
• 個人データからのプロファイリングはポテンシャルが大きく、マーケティング、Fintechでの与信管理、保険のリスク計算、採用活動、人事評価、潜在的な犯罪者の特定などが想定できる。プロファイリングの応用は、個人や社会に重大な影響を与える。
• GDPRでプロファイリングとは何かが定義され、適正なプロファイリングの要件も明示されている。
• 22条の「プロファイリングを含む自動的な個人に関する意思決定」では、例えば、データを集めて分析した結果として、癌にかかる確率が高いから保険料を上げるといったことを自動的にしてはいけないということを示している。個人データを取得する際には、自動的な意思決定にどのように具体的に利用されるのかを明らかにしなくてはいけない。
• GDPRの成立で、EUの個人情報保護に関するルールは一元化されたかといえば、そうではない。警察、刑事司法は別となっており、警察・刑事司法データ保護指令がGDPRと同時に成立している。
• プロファイリングのルールには、さらに議論すべきことが含まれている。たとえば、「法的な影響をもたらす、あるいはそれに類似する重要な影響をもたらす決定」とは何か？→保険に入れない、採用されないというのは、これに該当するのか？　あるいは、アルゴリズムがAIだとして、分析アルゴリズムを明示できない場合に、個人は同意できるのか？　本人が同意すれば、プロファイリングを含む自動的な意思決定をしていいのか、本人が同意の念書を書いた場合はどうなるのか？
• 次の論点も重要である。プロファイリングで生み出した個人データが機微情報の場合どう扱うのか？　米国の女子高生が家のコンピュータからネットショッピングをし、eコマース事業者がその履歴をもとに分析を行い、「妊娠している人」と判断し、妊娠に関連した広告を自動で表示した。同じコンピュータを利用している親が、妊娠に関連した商品の広告ばかりが表示さえるのを見て「娘は16歳なのにどういうことだ」と不審がる。結局、その女子高生妊娠していた。妊娠しているだろうという分析結果はこれに該当するのか？
• データポータビリティが可能になり、自分で多くのデータを集約した場合、この集約したデータを管理する事業者が、そこでプロファイリングをしたらすぐに本人特定できてしまう。情報銀行のようなところはプロファイリング禁止にしないといけないのではないか？

講演終了後、次のような議論が行われた。

データポータビリティについて
質問（Q）：通信市場との対比がわかりやすかった。EUは肯定的、米国は否定的ということについてさらに説明してほしいのだが？
回答（A）：EUは肯定的、米国は否定的という話は一概にいえない。EUの企業にとっても収集している個人データを持っていかれてしまうリスクはある。消費者法制というのが中核であり、欧州委員会としては、市場が競争的になることで、プライバシー親和的サービスが活性化すればいいと考えているのだろう。Googleがもし破綻しても、EUの人々の個人データを保護できるということもある。
Q：通信の場合の接続義務は、一般の通信事業者とエッセンシャルファシリティをもっている通信事業者で取扱いが違う。EUでは取り扱いを分けているのか？　コスト回収はどうなっているのか？
A：本当にワークする法律にしたければ、このようなのっぺりとした法律はしない。EUは、日本のように、5,000人以上の情報を取り扱う企業・団体・ 個人が「個人情報取扱事業者」といった縛りも元々ない。巨大な事業者を差別的に扱う仕組みがGDPRの中でできるは、気になるところである。これもどこまでラディカルにやるかで、求められる非対称性も違ってくる。最低限の部分だけを課すということであれば、すべての事業者を対象ということもあるかと思う。EUが、どこまで本気でGDPRを運用するかによって幅があると思われる。競争的に考えれば非対称であるが、これが、データ保護に関する法律に含まれているのがおもしろいところで、原則を守るのか、競争的にやるのかは気になるところである。
Q：内閣官房で情報銀行構想がでてきているが、どのような背景があるのか。情報銀行にデータを預ければ、利子としてお金が入るというイメージもでてきてしまうのではないか？
A：「銀行」という言葉を使うのはどうかなとは感じている。情報銀行的なところに規律をかけなくてはいけないとは思っているが具体的な案はまだない。プロファイリングという視点でみると危険を感じる。情報銀行がPDSを指しているのであれば、集めることのリスクと、どの程度運用を委ねるのかということで規律が必要となると思う。情報銀行やPDSという言葉で表現すると新しくモノのように感じるが、既にFacebookやiOSが行っていることと同じである。これらのビジネスは、プラットフォームではなく、PDSがサービスの本質である。日本は彼らのビジネスモデルと闘わなくてはいけない。

プロファイリングについて
Q：ほんどの意識決定は、自動で行った方が公正であるというのもあると感じる。アルゴリズムが示せれば意思決定の根拠があると思うが、なぜ、児童決定はダメとEUは打ち出してきたのか？
A：これからも自動化された意思決定が重要になるという流れがあるというのを認識した上で、それを止めてしまうと思っているのではなく、「のみによる意思決定」について規定して、そっちの方向に行くのはしょうがないから抵抗する方法を残す＝ラストリゾートという感じではないかと考える。
Q：採用の際など、機械的に判断するほうが公正と感じている。身辺調査も実際には行うが、このような人が実際に行う情報はプロファイリングになるのか？　人が介在すればなんでもしていいのか？
A：プロファイリングでは機械的な自動的な処理に焦点を置いているが、一般的なデータ取得の方で、本人が意図しない情報収取はしてはいけないことになっている。
Q：SNSで個人が公開している情報を機械的にAIが自動的に解析して、保険料の参考にするのは許されるのか？　SNSの情報で、深夜まで起きている、食生活が乱れているなどわかってしまうのだが。
A：公開情報でプロファイルするとしても、データ主体の権利は及ぶので、本人から直接取得しない情報取得があれば、本人から申し立てがあれば公開しなくてはいけない。人間が情報収集することに対する規制は他の法律でもカバーできるが、機械的な自動処理の話は入っていなかったので、新しいGDPRに入れてきたといえる。
Q：約款に細かいアルゴリズムが書いてあっても、誰も読まないで同意する。なぜなら、同意しないと加入できないので、同意してしまう。これも同意なのか？
A：これは、解決には向かっていない問題である。EUでも選択肢のある形で与えられていて、いつでも撤回できるという形を強くしている。事後的な救済をどうするかというのが、EUのアプローチだと思う。
Ｑ：警察・刑事司法は別となっているが、インテリジェンスはどうなっているのか？　警察の中では公安部門がある。EUにおいても、採用のことなどはインテリジェンスに入るのではないか？
A：インテリジェンスや安全保障などはGDPRの対象外である。警察・刑事司法データ保護指令には、パブリックセキュリティ領域が含まれている。警察・刑事司法データ保護指令をインテリジェンスが順守できるのか、今後調べていきたい。 

全般について
コメント（C）：データサブジェクトという言葉を、生貝氏は電子メールのタイトルのサブジェクトと同様の意味に考えているようだが、法律家はサブジェクトとオブジェクトをはっきりと分けている。サブジェクトは排他性が非常に強い言葉である。しかし、今日の話を聞いて、EUはサブジェクトを緩やかな意味合いで使う方向になっているのではないかと感じた。日本の法律家がGDPRを訳すともっと排他性が強くなってしまうが、技術が急速に進展する世の中では、生貝氏のような解釈をもっとしたほうがいいと思う。
Q：著名な弁護士と話した時に、法律的な「事前」「事後」と経済学的な「事前」「事後」とは異なるという話になった。個人データ保護のような問題でも同様で、法学者が関わると細々したことが含まれてしまう。しかし、難しいことはやらない方がいい。言葉の間違いは避ける必要があるが生貝氏のような若い方に、もっと柔軟に、経済学的事後の考え方が重要と主張してほしい。
A：技術者は動かないものは作らない。GDPRも「カテドラルを作ろうとしている」との批判がある。細かいことを先に決めるのではなく、原理原則を確立したうえで、運用しながら検討していくべきと考える。
Q：この法律はGeneral（一般）であるが、特別法をこの下に作ることになるのか？　欧州レベルで作るのか？　各国レベルで作るのか？
A：個人データ保護に関連しては、ほかに電子通信プライバシー指令などがあり、今、作業している。GDPRだけでカバーしようとしている訳ではない。メタデータに関する法律なども、先日成立したばかりでありこれから色々な関連法案ができてくる。

日時：7月20日（水曜日）　午後6時30分～8時30分
場所：TKP東京駅八重洲カンファレンスセンター
　　　中央区京橋1-7-1
司会：山田肇（東洋大学経済学部教授、ICPF理事長）
講師：上原哲太郎（立命館大学情報理工学部教授） 

上原氏の講演資料はこちらにあります。

冒頭、上原氏は講演資料を用いて概略次のように講演した。

• ベネッセで個人情報の大量漏えい事件が起きた。USBで管理端末から情報を抜き出すことはできないようにしていたが、スマホを繋ぐとMedia Transfer Protocolで情報が引き出せるようになっていた。この脆弱性が付かれた事件である。5次に渡る集団訴訟が提起され、会員数は100万人以上減少するなど大きな影響が出た。ベネッセはセキュリティ事業者と合同で情報管理専門会社を設立し、業務システムを見直し、第三者委員会による定期的監査を受けるなど、再発防止に取り組んでいる。
• 個人情報の需要がある以上、内部犯行のリスクはある。ベネッセはシステムの不備を潰すのに時間と費用がかけたが、システムの堅牢性はなかなか世間にはアピールしないので会員数は戻っていない。そもそも、個人情報報道では件数ばかり話題になるが、機微性は問われなかったなどが、事件の教訓である。
• 内部不正は防ぐのが大変だからこそ、IPAの「内部不正防止ガイドライン」を経営層はしっかり勉強すべきだ。完全な防止は無理だが抑止策はある。たとえば、ダミーデータを導入し、混入パターンから流出時期や流出に関わった者を特定できるようにする。そのことを従業員に通知して、抑止力にするといった方法だ。
• 年金機構事件では標的型攻撃メールに狙われた。「狙われている」という危機感が足りなかったことを反省すべきである。また、インシデントレスポンス体制が不足し、IT投資も不十分だった。ネットから外した基幹系だけで業務を完結すべきところを、システム側の機能不足で処理できないため、情報側に移して処理するエンドユーザコンピューティング（EUC）が常態化していた。
• 時代に合わせ業務を見直しながら「堅牢で効率的なシステムを作ること」、敵に先んじるために「あらかじめ情報を集めること」、それでも事故は起きるため「被害が拡大する前に発見すること」、起きてしまった事故に対し「速やかに適切に対応すること」、最後はヒトの問題になるので「責任ある体制を整えること」を訴えたい。
• 攻撃者は多様化している。金銭目的の人たちはフィッシング、ネットバンキングを狙ったマルウェア攻撃、ランサムウェアなどを仕掛けてくる。諜報目的の人たちは、標的型攻撃を仕掛けてくる。手口は多彩で、マルウェア対策があまり役立たない。その上、彼らは成功するまで諦めない。攻撃のほとんどはメールかWebであり、ファイアウォール/proxy越えは容易である。境界線防衛モデルは限界にきた。諜報目的の人々は、技術的には荒削りだが人海戦術がすごい。標的にあまり一貫性がなく、金にならなくても狙うといった特徴がある。
• では私たちは何をするべきか？　堅牢なシステムはまず堅牢なWebシステムから始めるべきだ。発注時にはセキュリティ要件を仕様に入れ、最低でも「健康診断」を実施すべきである。標的型攻撃対策はWebとメール対策である。SPF/DKIM S/MIMEといったメールのなりすまし対策、ウィルス対策、Web proxy導入・フィルタリング、次世代ファイアウォール・サンドボックス・「逆向きファイアウォール」などが求められる。
• 年金機構事件を受けて、自治体がとった強靭化策には三つの柱がある。連絡報告体制の整備、ネットワークの系統分離（特にインターネットと業務系の分離）、自治体情報セキュリティクラウドの整備である。ネットを切り離されると仕事にならないという話を聞くが、仕事に絶大な影響があるのは百も承知。だが、他に手はないのだ。ネットに接続しなくてもできるように、仕事のやりかたを変えるべきだ。ネットからの分離は確かに有効だが、業務効率の低下は避けられない。クラウドサービス全盛のこの時代に何のために情報システムを入れるのかから考え直して、仕事のやり方を変えてほしい。情報システム全体を最初からセキュリティ対策しておくのは、もちろんのこととして、「仕事のやり方」を変える勇気と努力が足りないのではないか。業務のセキュリティ・バイ・デザインが求められている。
• 汎用vs専用、多機能vs単機能のどちらが安全か。Keep It Simple and Stupid（KISS）原則は今も生きている。全入力・全機能に渡る脆弱性検査は汎用・多機能では困難になるからだ。システムは単純な、単機能型で作るほうが安全になる。標的はシステムではなく「人」である。現状狙われているのは「人」に不定型なデータを拾わせる機会である。そのような機会が、本当に必要なのかもう一度問い直そう。セキュリティ対策に金をかけるよりも、まずは業務を改善してシステム化することに金をかけよう。
• 個人情報保護法は「漏えい防止法」ではない。個人情報利用に対し本人に許可を求め、その範囲内での使用であることを保証する仕組みである。個人情報が漏れた時には、「何が漏れたか」が問題にされるべき。件数ではなく、機微性に応じてメリハリを付けないと、いつまでもプライバシーにはたどり着かない。

講演後、以下のテーマで討論が行われた。

漏えいと機微性について
Q（質問）：何が漏れたらまずいと考えるべきか。この点で、今の制度は変更が必要ではないか？
A（回答）：個人情報は機微性によって分類されている。したがって、この機微性に注目して問題を把握し、行政指導につなげる体制が必要である。
Q：漏れた情報を利用して、たとえば金融取引を行うといった、「漏えいの連鎖」が問題なのではないか？
A：たしかに問題だが、今は分析が不足している。
Q：暗号化のツールがもっと容易に手に入るようにならないか？
A：暗号に信頼を寄せすぎるべきではない。暗号化したから大丈夫というのは思考停止である。暗号そのものが破られることはあまりないが，鍵管理の不備を突かれることはよくあるからだ．
C（コメント）：暗号化したファイルを添付して送信して、すぐ次に暗号キーを送信するといった、全く無意味なセキュリティ対策が横行している。
Q：セキュリティコストには、レピュテーションやブランドを守る価値があるのではない？
A：今までセキュリティを強調し過ぎてきた。KISS原則で業務システムを作り直すといったことに、もっと力を入れるべきだと主張したい。

セキュリティの向上策について
Q：ネット金融取引を平気で受け入れる人々が、政府・自治体のシステムになると疑念を持つのはなぜか？
A：立ち位置が民間のほうが利用者に近い。それに、行政には権力があり、暴力装置を持っている。そのようなことが、警戒感の原因と考えている。
Q：中小企業のセキュリティリスクにどのように対応していくべきか？
A：しんどい。京都では、府警が中心となって、商工会議所、中小企業応援隊などが啓発活動を実施している。業界ごとの総会に押しかけてセキュリティについて講演している。
Q：高齢者の生活を支えるために、医師・看護師・ケアマネジャー・家族などが情報共有システムを作るという動きがある。機微な情報を扱うわけだが、セキュリティ専門家として、アドバイスはないか？
A：医師は究極の個人情報を扱っているために保守的である。彼らが加わるので、情報共有システムもセキュリティは考えているはずだ。医療IDにマイナンバーを用いるか、といった議論の際にも、医師が保守的な主張をした。一般論としてセキュリティ意識は高いと評価している。

日時：6月24日（金曜日）　午後6時30分～8時30分
場所：東洋大学白山キャンパス5101教室（5号館1階）
　　　東京都文京区白山5-28-20
司会：山田肇（東洋大学経済学部教授、ICPF理事長）
講師：小向太郎（日本大学危機管理学部教授、ICPF理事） 

小向氏の講演資料はこちらにあります。

小向氏は冒頭、講演資料を用いて概略次のように講演した。

• EUで採択されたデータ保護規則には、第17条に「消去権（忘れられる権利）」として、当初の収集目的が終了したり、本人が同意を取り下げたりした場合などには、ネット上の情報の消去を求めることができる権利が定められた。さらに、第2項には公表情報の拡散先への通知という努力義務が規定された。表現の自由、法定の義務、公共の利益などの例外規定も定められた。
• その中に、SNSで集められた子供の情報が入ったのは踏み込んだ規定である。それ以外については、データ保護指令の元で消去を求めることもできるものも多いし、実際に裁判で消去すべきとされた事例もある。
• 日本でも、検索エンジンの検索結果から自分の過去の情報を削除して欲しいと裁判所に訴えている事例が増えており、「忘れられる権利」が認められるべきとした判決もある。かなりの割合を占めるのは前科に関する情報で、その情報はメディアによる実名報道を元にしている。
• 「忘れられる権利」を議論する際には、忘れられるべき情報なのかということと、検索エンジンへの削除要求はできるのか、という二面を区別して議論する必要がある。
• 検索エンジンに削除要求はできるのかを考える際には、検索エンジンは「ネット上の媒介者」なのかを検討しなければならない。掲示板管理者が他人の投稿を何ら加工していない場合には、情報の発信者ではなく媒介者である。これに対して検索エンジンは、新たな情報を発生させているわけではないが、情報をあらかじめ収集し、検索しやすいように加工し、提供している。したがって、検索エンジンの責任は論理必然的に他の媒介者と同様であるということにはならない。ただし、検索エンジンの性格とネットにおける役割を考えると、媒介者と同様の責任を負うと考えるのが妥当であろう。わが国で媒介者が情報に対して責任を負うのは、当該情報が権利侵害等をしていること知っていると評価できる場合で、それに対して何らかの対処ができる場合に限られる。
• 米国では、双方向サービスのプロバイダについて、他者の発信情報を公表することについて原則免責されるという規定が通信品位法で定められている。これは、書籍産業とのアナロジーでは、執筆者や出版社の責任と本屋の責任とは異なって扱われていることに対応している。プロバイダは本屋と同様に扱われているわけだ。検索エンジンもこのプロバイダに該当するため、検索結果に対して原則として責任を問われない。
• 米国でも著作権侵害については、デジタルミレニアム著作権法で規定される対応がプロバイダに求められており、これはコンテンツ産業を中心とした著作権者側の要請を反映したものと理解できる。
• 以上のように、日米欧で検索エンジンの法的責任は異なっている。しかし、検索エンジンが法的に削除の義務を負うかどうかということと、自主的に苦情に対応するかどうかということは別の問題である。また、あらかじめ苦情が来ないように理想的な検索結果を検索エンジンに求めるのは、過剰な要求である。
• 中国のウェイボー（微博）では、発信者等の要請によって、その発信のリツイートも消去することができる場合があると聞いている。このような技術的対応をすべきかどうかは、今後重要な論点になる可能性がある。
• 忘れられる権利を議論する際に検討すべき論点は三つある。一度は適法に公表できた（されるべきだった）情報の公開が、時の経過によって違法と評価されるのはどのような場合か、一定期間経過した情報について、サイト管理者（SNS、検索事業者、ISP等）に、削除請求を認める立法を整備すべきか、検索サービス提供事業者は、どのような場合に検索結果を削除する法的義務を負うのかである。

講演後、次のような論点について活発に議論が行われた。

何が忘れられるべき情報なのか
質問（Q）：どのような情報が忘れられるべきか、ということについて相場観はできているのか？
回答（A）：まだだ。判決を積み重ねている段階である。軽微な前科情報はしかるべき期間が経ったら消去されるべき、という方向にあるが、まだばらついている。
Q：性犯罪のように服役して更生した元犯罪者について所在を公表すべきといった逆向きの動きもあるが？
コメント（C）：青少年に対する性犯罪については、欧米では日本と比べると大変厳しい考え方が取られている。
Q：同姓同名で被害にあう問題はどう考えるのか？
A：検索エンジンのサジェスチョンの機能は広く支持されている。同姓同名者がこうした機能によって自分以外の情報に紐付けられてしまう場合もあるが、だからこの機能を提供すべきではないとすると、検索エンジンの機能を制限することにつながる。検索エンジンはビジネスであり、提供者は独自のアルゴリズムを開発し、ビジネスとして展開している。検索エンジンができるだけフェアな検索結果を提供しようとするのは、それが利用者に求められているからである。それを一律に強制的な法的義務にしようと考えるのは、そもそも間違っている。もちろん、個別に問題が顕著な場合について、対応すべき場合というのは考えられる。
Q：欧州では子供に関する情報について消去を求められるというが、無制限に求められるのか？
A：公共の利益がある場合などの例外規定が適用される場合は当然あると解釈できる。

元情報の扱いについて
Q：ネットの情報の前には、元になった情報がある。ネットに掲載されている児童虐待事件の検証報告書は匿名記載だが、事件が発生した当時の新聞データベースをあたれば、すべて実名での情報が取得できる。元情報の消去を求める動きはあるのか？
A：現在は検索サービスへの削除を求めている例が目立つ。容易に検索できるから問題だ、という主張である。そもそもの元情報については、ネットでの検索がこれだけ普及した時代にどのような犯罪を実名報道すべきかについても考える必要があるだろう。新聞社などはデータベース化に際して実名をどう扱うかなどについても、検討をしているようだ。
C：元情報の消去をあまりに広く認めると、将来、歴史研究ができなくなる恐れがある。慎重に対応すべきである。

ネット情報の収集について
Q：過去の情報を収集し、それをネットにさらすという行為をどう考えるか？
A：わが国においては、基本的にプライバシーや名誉棄損となるかどうかが問題になる。ネット上で情報を検索して収集する行為自体を抑制すべきではない。それは言論や知る権利の抑圧につながるからだ。
Q：ネット魚拓の収集も制限すべきではないのか。
A：公開された情報の保存を一律に抑制すべきではない。他人の著作物をネット魚拓にしてネット上に公開したら、著作権法違反に問うことができる。単に収集するのは、それとは別である。情報の収集を禁止することについては、慎重でなければならない。

忘れる技術について
Q：技術的ガードをかける、たとえば3回以上のリツイートはできないというようにする案はあるか？
A：ウェイボー（微博）が削除しやすいシステムになっているとすれば、その背景には政治的な要請もあるのではないかと想像される。こうしたシステムの仕様は、さまざまな使い方がされうることにも注意が必要である。
C：忘れられる権利で問題になっているのは前科などで話は違うが、個人が情報を提供する際には電子透かしを付けて、収集して利用するものから料金を徴収するべきだ、と主張している研究者もいる。
A：IoT時代には、技術的にその方向性もあるだろう。

世界的なハーモナイズについて
Q：日本にも、欧州にハーモナイズする形で、忘れられる権利について法律が制定されるのか？
A：個人情報保護委員会は、まだそのようには動いていない。そもそもEUは、EU域内から消去を求めたら、検索エンジンは世界中で対応すべきであると主張しているので、理屈としては欧州の人々は日本に法律化を求める必要はない。ただし、この忘れられる権利に世界的対応が必要なことは自明なので、こらからハーモナイズの検討が始まる可能性はある。