プライバシーフリーク、リクナビ問題後初の個人情報保護法改正の問題点にかみつく！――プライバシーフリーク・カフェ（PFC）個人情報保護法改正編02 #イベントレポート #完全版：「私、1番よね？」「いいえ、2番です」（2/5 ページ）

「世界で唯一、個人情報を金で買える国」、ジャパン――リクナビ事件をきっかけに露呈した「日本の個人情報の考え方の問題点」を、鈴木正朝、高木浩光、板倉陽一郎、山本一郎の4人が全方位で解説する。※本稿は、2019年12月2日時点の情報です

[鈴木正朝, 高木浩光, 山本一郎, 板倉陽一郎，＠IT]

データによって人を選別することが問題

山本　事業者に利用目的を確実に明示させるために、ひな型を用意するなどの策があり得ると思うのですが、いかがでしょうか。

高木浩光（以降、高木）　そこで、前回のPFCの後で提言をしまして、「データによって人を選別することが問題」なのだと指摘しました。

　AIを使うこと自体ではなくて、その結果を使って人を選別するか否かが、個人データを保護する趣旨の根幹だと思います。データによる選別とは、「ある個人について、データに基づいて他の人とは何かしら異なる扱いをすること」です。そこを利用目的に書く必要性について、みんなものすごく意識が希薄です。

　「選別をするのか、しないのかを書かせるべきだ」ということで、個人情報保護法改正への提言で、利用目的のカテゴリーを例示して、「統計量への集計をするだけなのか」「連絡するのか」「データによる選別をするのか」「第三者に提供するのか」の中から選ばせてそれを明示させてはどうかと提案しました。

　それが今回の骨子に入っているのか分かりません。「保有個人データに関する事項の公表」（27条）に「処理の方法」が入るそうですが、「データによる選別をするのか」が「処理の方法」に含まれるのかどうなのか。日本経済新聞は、「AIを使っているか」みたいなことを書かせることになると報じてましたが、そういう問題じゃない。ピントがずれているようで、心配です。

鈴木　高木さんに質問なんですが、データベースはそもそも分類したり、ソートしたりするためにあるようなものですよね。データベース自体が普通にやることを違法だといわれると皆当惑すると思うのですよ。もう少し絞って「乱用的な使い方に限定する」「差別的結果になり得るものに限定する」など、何をやってはダメなのか例示列挙すると分かりやすい。「人間のデータによる選別」というとちょっと広過ぎるように感じるのですが、そこのところもう少し説明をいただきたいです。

板倉陽一郎（以降、板倉）　問題は「自動的に」というところじゃないですか？　区分してみて事業の参考にするのは当たり前なんですけど、「自動的に選別して、不利益を与える」までセットにしてはまずいということですよね？

高木　そこは自動に限らないです。リクナビ事案ではスコアの適用は人力だったでしょう。スコアを見て「内定出すのはやめておこう」と決めたのは、人間がやっていたのではないかと思います。

山本　あれって、人が介したとか分かったんでしたっけ？

高木　確証はないけど、人が介していたら問題がなかったわけではないので。

　板倉先生のご指摘は、GDPR（EUの一般データ保護規則）が問題にしている「自動決定は本人同意がない限りダメ、人手を介しなさい」という観点ですが、リクルート事案は、その手前の問題でした。「自動決定」以前に、「決定」すること自体、つまりは「人の選別」に使うか否かということすら、今まで利用目的として意識せずにきたので、まずそこまでは明確にしましょうよという提案です。

　鈴木先生のご質問は、「何をやってはダメなの？」とのことですが、「データによる人の選別」がダメという話ではないのです。まずは利用目的の特定、通知・公表義務を意味のあるものにするための話です。個人の権利利益侵害の恐れが強いか弱いかは、「データによる人の選別」が行われるか否かと関係があるからです。

　「データによる選別」が行われるなら、元となるデータがどこから作られているのかが、本人にとって気になることのはずです。場合によっては行動の自由が制限されることになるでしょう。「データによる選別」が行われない利用目的と分かっていれば、そういう心配は無用なわけです。

　この利用目的の明確化を、今回の骨子は「保有個人データに関する事項の公表」（27条）でやるというのですが、果たしてうまくいくのかどうか……。

板倉　公表事項でねぇ（溜息）。もともと、個人情報の本人が自分の情報を提供する前に利用目的をちゃんと見ているのかという問題はありますけど。

　利用目的の書き方でよく問題になるのは、顔識別機能を用いた監視カメラやマーケティングカメラを利用する場面で、利用目的をどう書くのかです。特徴量で識別するのは目的ではなく、手法なので入れなくていいというロジックがある。それを「保有個人データの開示事項として開示せよ」という話になる。ところが、これを政令で入れると言っているんです。こういう個人データに関する……。

山本　ドキドキしますね！

板倉　政令で今、保有個人データに関する公表事項として入っているものは、本当に事務的なものなのですが、改正では割と実質的なものを入れようとしています。しかも「取り扱い」と言い続けてきたのについに口がすべったのか、「処理」と言ってしまったんですよね。「取り扱い」と言い続けるのに無理がきたのか、GDPRナイズドされているから「処理」と言ったのか分かりませんが。

　政令で入れたいというのは、法律まで改正しなくてもいいという発想かもしれませんが、現行の保有個人データに関する公表事項は、本当に事務的なものです。実質的なものを入れようとするのなら、本当は利用目的の通知・公表義務の並びで入れる方が良いのではないか、政令で入れるのは中途半端でそこではないんじゃないかという気はします。

鈴木　ちなみに日本法は「処理」と「取扱い」と使い分けていますが、「処理」は“processing”の訳で、「個人情報データベース等」の処理、すなわちコンピュータ処理とマニュアル処理のことです。

　日本法は、「個人情報データベース等」に記録されていない、検索できるように体系的に構成されていないバラバラの散在情報も保護の対象にしたので、「処理」よりも広い概念として「取り扱い」という言い方を採用しました。メモ書きや入力帳票などの紙の文書だけではなくデジタルなWord文書なども射程に入れています。

　散在情報まで射程を広げてしまったことで、コンピュータの脅威という法目的が後ろに後退してしまった感はあります。情報公開法が散在情報まで含めた個人情報を不開示にしたことで、個人情報保護法の本人開示で散在情報まで入れる必要があったのかもしれません。

　現行法は法目的が曖昧化し、処理情報の判断基準と散在情報の判断基準が2つ走っている。そこを自覚的に解きほぐして解釈してこなかった。無自覚的にぼんやり解釈してしまったのではないかと思います。Suica事件の匿名化などもその例の一つだと思いますね。

板倉　そういう意味では、骨子のIII-2は「保有個人データ」が主語ですから、散在情報の（個人データに該当しない）個人情報が入っていないので、「処理」といってもいいのかな。口が滑ったのではなくて、意図的に入れたのかな。

高木　そこは良い傾向ですね（笑）。