法律と技術から考える、これからのパーソナルデータの取り扱い：「個人情報」と「成長戦略」の間にある深い溝（2/2 ページ）

[谷崎朋子，＠IT]

「特定できる」ことと「識別できる」ことの違いとは？

　今回のWGでのもう1つの成果は「特定性」と「識別性」の定義だ。松本氏は、次のような図を示して情報がどう区別されるかを整理した。

情報の種類	定義
識別特定情報	個人が特定できる情報
識別非特定情報	個人を特定できないが、一人一人が識別可能
非識別非特定情報	個人も一人一人も識別不可

　松本氏は、Suica事例は「識別非特定情報」に該当し、本気で利活用を進めるには、この情報の利用が認められないと難しいと指摘する。

識別特定情報・識別非特定情報・非識別非特定情報の関係

　鈴木氏は、曖昧だった概念が整理されたことは、今後日本のビジネスモデルを国際展開するとき、各国のプライバシーデータに対する厳しい法規制に対応させつつ広める意味で、大変重要な成果であると述べた。

　「これまでは、特定個人が識別可能な情報か否かについては形式的判断が行われていた。そのため素人判断が可能で、名刺も医療カルテも同じという扱われ方でも問題なかった」。鈴木氏は現状をこう説明する。

　「だが今は実質化に動いている。これには、主体は誰か、どういうビジネスモデルか、どんなシステムで支えられているのかといった、総合的な判断が必要だ。例えば、実在する人物のデータが永続的に存在するような形は規制対象になるだろうけれど、5秒の時間軸の情報ならば対象にならないなど、程度問題も見極めることになる」（鈴木氏）

　ただし、ビジネスが複雑化した現在、総合的な判断を個々の企業に任せるのは難しい。

　例えば、高橋氏はオンライン広告で稼ぎを挙げるボットネット「バミタル」のSub-Syndication技術を取り上げ、「あるサイトでオンライン広告をオプトアウトしても、情報提供先の根っこまで止めないと行動追跡は止まらない。オプトインとオプトアウトの範囲が不明瞭なままエコシステムが形成されている」と述べた。

Sub-Syndication問題

　もっとも、こうしたビジネスモデルは、社会全体のクラスタ化に伴ってマス広告の効果が薄らいだ結果、登場したモデルだ。「相対的にうざったいが、“広告は即、悪”としたらビジネス基盤が揺らいでしまう」（鈴木氏）

　松本氏も「ネットビジネスの世界は非常に複雑。技術的な理解を踏まえて法制度を策定し、程度問題を判断する仕組みを設けていかなければならない」と強調する。

　そこで、今回の検討会でも提示されているのが、程度問題を見極めて監査する第三者機関の設置だ。プライバシーリスクの残るデータを扱う事業者は、第三者機関による監査を受け入れる。これは、パーソナルデータの利活用を促進し、企業にとっては新たなビジネスモデルへ挑戦する力ともなり得る。

　とはいうものの、論点はまだまだ多い。鈴木氏も、「個人情報保護法は、今回の一次改正で終わるはずはない。二次、三次と続く」と断言する。

　「（改正と改善を継続させるためにも）まずは法の主管を消費者庁から第三者機関に移す。そして、課題を明確化して日本が浮上するための戦略ができたら、必要な条文を起案し、それを織り込んだビジネスの基盤整備を段階的に実施していく」。そんな順番で進行させるべきと、鈴木氏は言う。

　「今回の検討会ではあまり明確化できなかったが、中長期的には、安全に第三者提供できる枠組みへ移行していく必要があると思う」（松本氏）

　課題はまだ残されているが、今回の検討会で議論を深めるための地盤は固まった。今後の展開も非常に興味深い。2時間近くにわたるパネルディスカッションは、こうして終了した。