プライバシーフリーク、就活サイト「内定辞退予測」で揺れる“個人スコア社会”到来の法的問題に斬り込む!――プライバシーフリーク・カフェ(PFC)中編 #イベントレポート #完全版ハッシュ化したからOKでしょ?(5/5 ページ)

» 2019年12月02日 05時00分 公開
前のページへ 1|2|3|4|5       

個人情報の定義に関する誤解

高木 別の事例を紹介しましょう。今日も話題になっている『HRテクノロジーで人事が変わる』(労務行政、2018)という本。とてもよく書かれているのですが、「あれ?」と思うところがありました。

 図6を見てください。「個人情報」「社員情報」「特性」とあって、「性別・年齢など」は「個人情報」だが、「採用区分」や「勤続年数」は個人情報ではなく「社員情報」だと書いてあるんですよね。

図6(『HRテクノロジーで人事が変わる』(労務行政、2018)75頁より)

山本 出ましたね。

高木 何でこう書いちゃうかなと思うに、個人情報というものが、その人が生来持っている不変の属性情報とでもいうんですかね、デモグラフィック情報といってもいいかもしれませんが、固定的にその人が持っている情報のことを指すという思い込みがあるんじゃないでしょうか。

 一方、「社員情報」は会社が作った情報だから、会社の勝手だという思いがあるのかもしれません。しかしそうではない。そういう情報も「特性」も含めて全部、個人情報、個人データですから。この本でさえそういう誤解があるというのは深刻な問題だなと思うわけです。

山本 これ僕ら『ニッポンの個人情報』でも言いましたからね。覚えていていただければ、ぜひ思い出していただきたい局面が来るのではないかと思います。

鈴木 この本は、皆が思っている“いわゆる”個人情報と、会社が付加している社員情報や特性などその他の属性情報がありますよねという概念整理をしている趣旨なのだろうと思いますが、皆の誤解を強化してしまうということですよね。

山本 「評価は個人情報ではない」というのは、結構大手のはずの人材会社ですら言ってしまうわけですよ。

鈴木 一人一人の、データベースの1行1行というか、レコードの中に何を突っ込んでも個人情報になりますからね。評価情報だろうが、事実情報だろうが、ウソ情報だろうが、ごみ情報だろうが、要配慮個人情報だろうが、統計情報だろうが、ノイズだろうが、何だろうが、「ある一人のレコードに付加したものは、全部がその人の個人情報」になってしまいますからね。

 この辺りの当たり前のところが理解されないと困るのですが、そこが理論的に貫徹されているかというと現行法はちょっと怪しい。なぜなら、経済団体が携帯電話番号を入れるなとか何とか、企業エゴや無理解でロビー活動すると、そうした世論なども受けて立法過程で修正が入るから、理論的にシャープになっていかないところもあります。

 それがGDPR(EU一般データ保護規則)などEU法や米国法が適用される段になると、こういう国内事情は全部吹っ飛んで、パーソナルデータという言い方をして、国内法の個人情報よりも広めに理解してコンプライアンスに努めだすわけです。グローバルに闘えるようにシフトしていると。これがデータの世紀、データエコノミーに対応する企業の在り方ですよね。国内法もその方向で改正していくべきは、もはや明らかだと思います。

板倉 筆者として弁明すれば、同書でも法律家以外が書いているところは、あまり厳密に法律用語になっていないといえばその通りです。用語の誤用を改めるのであれば、こんなことがいえると思います。

 まず、個人情報保護委員会の「個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理」を見ていただいても分かるように、個人情報を巡る議論の前提がGDPRになってきています。そうすると、日本のように個人情報該当性を無用に細かく論ずるよりは、定義として広めに個人データを取るというGDPRのやり方の影響は出てきます。

 個人データの定義は広いが、その中で規律が分かれてくるという方が、個人データの利活用のスキームを組むのは実は簡単です。勉強すると、GDPRの方が分かりやすいんですよ。個人情報の定義への該当性で楽にしてほしいと経済界が要望する結果、余計に個人情報保護法が難しくなって、スキームが組めなくて怒られるんですよね。そういう意味では、GDPRは、日本で言えば、「個人に関する情報」に近いところが全部個人データになっていますから。そういう頭でみんなが動いているので、いろんな文書がすっきりするわけです。

高木 そうですね。「個人情報」という言葉が、手あかが付き過ぎて一般の人も含めて誤解してしまっているので、この言葉を使うのはもう止めて、「個人に関する情報」というフレーズが法にはありますのでそれに変えるか、もしくは2条6項の「個人データ」にそろえていった方がいいかなと思います。

 業務委託のコントローラーは発注者か受注者か、AIの信頼性と限界は――プライバシーフリークの討論はまだまだ続きます。後編(2019年12月3日公開)をお楽しみに。

プライバシーフリーク メンバー

鈴木正朝(すずきまさとも)

新潟大学大学院現代社会文化研究科・法学部 教授(情報法)、一般財団法人情報法制研究所理事長、理化学研究所革新知能統合研究センター情報法制チームリーダー

1962年生まれ。修士(法学):中央大学、博士(情報学):情報セキュリティ大学院大学。情報法制学会運営委員・編集委員、法とコンピュータ学会理事、内閣官房パーソナルデータに関する検討会、同政府情報システム刷新会議、経済産業省個人情報保護法ガイドライン作成委員会、厚生労働省社会保障SWG、同ゲノム情報を用いた医療等の実用化推進TF、国土交通省One ID導入に向けた個人データの取扱検討会等の構成員を務める。

個人HP:情報法研究室 Twitter:@suzukimasatomo

高木浩光(たかぎひろみつ)

国立研究開発法人産業技術総合研究所 サイバーフィジカルセキュリティ研究センター 主任研究員、一般財団法人情報法制研究所理事。1967年生まれ。1994年名古屋工業大学大学院工学研究科博士後期課程修了、博士(工学)。

通商産業省工業技術院電子技術総合研究所を経て、2001年より産業技術総合研究所。2013年7月より内閣官房情報セキュリティセンター(NISC:現 内閣サイバーセキュリティセンター)兼任。コンピュータセキュリティに関する研究に従事する傍ら、関連する法規に研究対象を広げ、近年は、個人情報保護法の制定過程について情報公開制度を活用して分析し、今後の日本のデータ保護法制の在り方を提言している。近著(共著)に『GPS捜査とプライバシー保護』(現代人文社、2018年)など。

山本一郎(やまもといちろう)

一般財団法人情報法制研究所事務局次長、上席研究員

1973年東京生まれ、1996年、慶應義塾大学法学部政治学科卒。2000年、IT技術関連のコンサルティングや知的財産管理、コンテンツの企画、製作を行う「イレギュラーズアンドパートナーズ」を設立。ベンチャービジネスの設立や技術系企業の財務。資金調達など技術動向と金融市場に精通。著書に『ネットビジネスの終わり』『投資情報のカラクリ』など多数。

板倉陽一郎(いたくらよういちろう)

ひかり総合法律事務所弁護士、理化学研究所革新知能統合研究センター社会における人工知能研究グループ客員主管研究員、国立情報学研究所客員教授、一般財団法人情報法制研究所参与

1978年千葉市生まれ。2002年慶應義塾大学総合政策学部卒、2004年京都大学大学院情報学研究科社会情報学専攻修士課程修了、2007年慶應義塾大学法務研究科(法科大学院)修了。2008年弁護士(ひかり総合法律事務所)。2016年4月よりパートナー弁護士。2010年4月より2012年12月まで消費者庁に出向(消費者制度課個人情報保護推進室(現 個人情報保護委員会事務局)政策企画専門官)。2017年4月より理化学研究所客員主管研究員、2018年5月より国立情報学研究所客員教授。主な取扱分野はデータ保護法、IT関連法、知的財産権法など。近共著に本文中でも紹介された『HRテクノロジーで人事が変わる』(労務行政、2018年)の他、『データ戦略と法律』(日経BP、2018年)、『個人情報保護法のしくみ』(商事法務、2017年)など多数。

前のページへ 1|2|3|4|5       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。