個人情報を含むデータは、AI&機械学習に使えるのか?〜個人情報保護法〜 ― DLLAB勉強会:AIと法律・知財・契約(2/3 ページ)
2 個人情報保護法上の規制をざっくりとつかむ
さて、データに個人情報が含まれるとして、「個人情報保護法上、どういう規制があるのか?」について説明していこう。
個人情報保護法の規制はとても複雑なので、(トピックのタイトルにしておきながら言うのもおかしいが)「ざっくりとつかむ」のは難しい。図16は本当に最小限の内容をまとめた図である。
まず、個人情報を持つ【本人】がいる。【事業者】が本人から個人情報を「取得」し、何らかの「処理」をしたデータを、サービスで「利用」する、という流れになる。このプロセスにおける(1)「取得」や(2)「処理&利用」のそれぞれで規制がある。
(1)「取得」に対する規制
最初の「取得」に関しては、4つぐらいのパターンが考えられる(図17)。
あらためて説明すると、下記の4パターンになる。
- 本人自らの意志によらずに個人情報を取得する場合。典型的には「店頭カメラによる人物映像&写真の取得」が挙げられる。当然ながら、いちいち本人の同意を得ずに録画/撮影している
- 本人自らが個人情報の取得を許可する場合。主に取引に際して個人情報を提供するパターンで、例えばECサイトで商品購入時に氏名や住所などの個人情報を本人自らが渡すなどである
- 1によって得た個人情報を、第三者に提供する場合
- 2によって得た個人情報を、第三者に提供する場合
なお、日本の個人情報保護法では、原則として、本人の同意がなくても個人情報を取得することはできる。であれば、1と2(もしくは3と4)を区別する意味はどこにあるのだろうか? 2(もしくは4)の場合は、取引の過程において、書面などによって「個人情報を提供します」などの同意を取ることが可能だが、1(もしくは3)の場合は同意を取ることが難しい。本人から同意を得るチャンスがあるかどうかで、図18に示すように規制適用の有り/無しが違ってくるので、1と2(もしくは3と4)は明確に区別しておく必要がある。
事業者はまず、個人情報を取り扱うに当たって利用の目的(何のために使うか)を「特定」する必要がある(個人情報保護法15条1項)。その上で、その利用目的を、本人に「通知」または「公表」しなければならない(個人情報保護法18条1項)。その上で、嘘をついたりだましたりすることなく「適法」に取得する必要がある(個人情報保護法17条1項)。
簡単に言うと、取得に際しては「特定」して「公表/通知」して「適法」に行うことを守ってね、ということだ。
(2)「処理&利用」に対する規制
取得した情報は、「処理」して「利用」することになる(図19の処理と利用)。
ここではどういう制約があるだろうか?(図20) これは簡単で、既に利用目的は特定されているので、当然、その利用目的の範囲内で利用しなければならないということになる(個人情報保護法16条1項)。もし範囲外で利用したい場合は、「本人の同意」を得たり(個人情報保護法16条1項)、(変更前の利用目的と関連性を有すると合理的に認められる)合理的な範囲に利用目的を変更したりする必要がある(個人情報保護法15条2項)。
(3)「第三者提供」に対する規制
ここまでの規制適用は難しくはないが、ややこしいのは次の「第三者」が出てくる場合である(図21の処理委託と提供。※取得時の第三者提供は説明済み)。
上の「処理委託」とは、個人情報を含むデータに対して何らかの処理を委託して、加工後のデータを戻してもらうパターンのことである。例えば氏名情報を同一パターンに統一して戻してもらうなど。
下の「提供」とは、個人情報や処理済みデータを第三者にそのまま売るなどのパターンのことだ。
しかし原則として、「処理委託」や「提供」のような、個人データの第三者提供は不可、ということになっている(図22)。
ただし例外が4パターンほどある。
1つ目は、本人の同意が得られたパターンで、当然、規制の対象外となる(個人情報保護法23条1項。図23の上)。これが基本である。
Copyright© Digital Advantage Corp. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。