情報知財研究会に行ってきた話
何をきっかけに存在を知ったか記憶は定かではないですが、最近の興味関心とばっちりあっている情報通信学会主催の2012年度 第6回情報知財研究会に参加してきました。 大変勉強になったんですが、すんごい眠いし書くのやめようかと思ったけれど、今日書かないと永遠に書かない気がするので、自分への備忘録ということで書き残しておきます。
全体の流れというよりも、自分が勉強になったな、と思った部分をピックアップしてのメモ。なにぶん全然詳しくない分野なので、内容についての正確性は若干あやしいです。
個人情報についての誤解
「個人情報保護法」で言うところの「個人情報」とは、特定個人の識別情報であり、プライバシー情報とは異なる。
まずはこのレベルの認識が曖昧でした。
個人は識別できないが、私生活上の情報や、非公開/公開を望まない情報などがプライバシー情報だということです。PIIくらいの純度の高い個人情報に紐付くIDくらいじゃないと、現行法では個人情報にならないんじゃないかなぁと思って聞いていました。
とはいえ、昨今のO2Oの流れなどがあり、オフラインのPII情報が紐付いて、単にWeb上の情報だけで流通・収集されている段階では個人情報まで行かなくても、オフライン情報(決済情報や住所など)が紐付くことで個人情報になりうる可能性は高そうです。そして、このことをre-identificaitonと表現されていました。
3つの規制
個人情報に関する規制には3つの規制があるそうです。
- 刑事規制
- 民事規制
- 行政規制
刑事規制は秘密漏洩罪、民事規制はプライバシー侵害、行政規制は個人情報保護、という観点での規制となっており、上の方が法的な罪としては重くなっています。
行政規制は、話を聞く限り「注意」、悪くても「罰金」レベルなので、基本的には怒られたら辞める、というスタンスが通用してしまいそうです。
ターゲティング広告やDMPまわりの話なんかはモロにこのあたりの規制対象になりそうですが、実際に広告やマーケティング情報が刑事罰にあたるレベルの情報を扱うことは考えにくいですよね。 民事規制レベルだと、個人が不快に思いそれを訴え出る、というケースがありますが、ターゲティング広告に追いかけまくられたりやDMで狙い撃ちにされて不快に思う人もいますが、よっぱどひどいことにならない限り、なかなか訴えるという手段には出なさそうですし、実情は行政規制のレベルでしか縛りはないのではないかなぁと思いました。
情報の流通に関する個人情報保護法の規制
個人的に今回一番勉強になったな、という部分です。個人を特定可能な情報を持っている企業が、そのデータを第三者に提供するにあたって、個人を特定できない形で渡すことが個人情報保護法の適用範囲かどうかという○☓表が出てきて、それが非常にわかり易かったので再現してみました。
- 1番目は明らかにアウト
- 2番目はCookie情報の提供などがあたりそうですね
- 3番目がre-identificationに相当する、個人を特定不可能な識別情報が、提供先で他の情報源と組み合わることで個人を特定可能な識別情報になってしまうパターンです。現行法は、こういったことを規制できないようです。
- 4番目の識別可能情報を識別不可能な状態で提供することは、現在のところ専門家の間でも意見が分かれるところのようです。
やはり気になるのは3番目と4番目の部分で、3番目が感覚的にはグレーなのに大丈夫、というパターンです。 4番目は、一見するとNGにすると厳しくなって産業界的にはよろしくないという印象にもなるけれど、仮にここをOKとしてしまうと、匿名化したデータの漏洩が起こった際に、行政処分の適用範囲としにくくなり、実態の調査などに踏み込めないケースが出てくるとのこと。 積極的にグレーやブラックな方法を選ぶ企業だけが得をしないためにも、一見締め付けに見える規制も必要なんだな、と思いました。
米国、EU、日本の比較
- 米国は個別規制、プライバシー情報を考慮
- EUは包括規制、センシティブ情報を考慮
- 日本は包括規制、特定個人の識別情報のみ考慮
日本は重箱の隅を突っつくように特定個人の識別情報のみに注力してしまい、特にWebの時代では特定個人の識別情報以外にも、UUID、電話番号、ポイントカードのIDなど、特定個人の識別情報ではなくとも取得することで多大な利益を得ることのできる識別情報が多く存在するため、実態とかけ離れた法規制になっているような印象を受けました。
プライバシーインパクト
上で書いてきたことと繋がりますが、結局はこれだな、と。
特定個人を識別できない情報であってもプライバシーの権利を侵害しうることに留意すべき
プライバシーの権利に与える影響を常に意識することが大事だということですね。
まとめ的なものなど
今日の話を聞いて、CCCの問題やトラッキングの問題などに関してなんとなく見えてきたこととしては、感情論と法規制と技術的な部分が混ざり合って「なんかやばそう」感が先行しているんじゃないかなぁと思いました。
- 法規制としては、そもそもユーザーに同意をとった範囲で色々やるのはOK
- でも、それがユーザーが真意で同意したかは不明なので、法規制という点と民事的な観点(感情的な部分)はまた別。キモいと思う人にはキモいものだし、コワいと思う人にはコワいもの
- さらに法規制の範囲で何かやるにしても、そもそも暗号化などの基本的なセキュリティ要件は満たす必要がある
なので、
- ユーザーには、同意することでどうなるかはっきりと分かるようにする
- ユーザーの意思で、いつでもデータの収集等を終わらすことができるようにする
- 平文でデータ送ったりしないとか、基本的なセキュリティ要件はクリアするように心がける。また、セキュリティに配慮していることをユーザーにはっきりと分かるようにする
ということが大事なんじゃないかなと思います。なので、ちゃんと(この辺が微妙なニュアンスになりますが)やれば、DMPやターゲティング広告/O2Oもそこまで問題となるものではない気がしました。現在先行してプロダクトなりサービスをリリースしているところが割とアグレッシブな感じなので、ネガティブな印象がどうしても先にきてしまっている。ここは何とかしたいところですね。
その他
pマークの話や、privacy by designの時代、個人情報保護法2000個問題など盛り沢山で大変勉強になった会でした。