パーソナルデータの利活用における 日立のプライバシー保護 …EUにおいては、一般データ保護規則(General Data Protection Regulation、以降
Suicaに関するデータの社外への提供について 中間...
Transcript of Suicaに関するデータの社外への提供について 中間...
Suica に関するデータの社外への提供について
中間とりまとめ 別紙資料
Suicaに関するデータの社外への提供についての有識者会議
2014年 2月
2
目次
1 パーソナルデータを取り巻く動向 ................................................................................... 3
2 国内の主な動向 ................................................................................................................... 3
2.1 全体概要 .................................................................................................................................... 3
2.2 パーソナルデータの利活用に関する制度見直しについて ................................................ 4
3 海外の主な動向 ................................................................................................................... 5
3.1 米国の動向 ................................................................................................................................ 5
3.2 EUの動向 ................................................................................................................................. 6
3.3 英国の動向 ................................................................................................................................ 7
4 技術等の動向 ....................................................................................................................... 9
4.1 匿名化、暗号化状態での検索技術 ........................................................................................ 9
4.2 わかりやすい表示 .................................................................................................................. 10
4.3 プライバシー・バイ・デザイン(PbD:Privacy by Design) ............................................ 11
5 事例)NTTドコモ モバイル空間統計 ........................................................................ 13
5.1 概要 .......................................................................................................................................... 13
5.2 データの提供の流れ .............................................................................................................. 13
5.3 プライバシー保護・法的観点からの考え方 ...................................................................... 14
5.4 社会的側面での配慮 .............................................................................................................. 16
3
1 パーソナルデータを取り巻く動向
ビッグデータ利活用の産業面でのニーズの高まりを背景に、世界的には、パーソナルデ
ータ(経済産業省の定義では、個人情報保護法に規定する「個人情報」に限らず、位置情
報や購買履歴等広く個人に関する個人識別性のない情報も含むデータ)の利活用に関する
議論が行われているが、行き過ぎの是正を意図していると思われる米国や、個人の権利を
重視する EU では、規制強化の方向性も見受けられる(具体的には、EU:「データ保護規
則案」が欧州議会の司法委員会で可決、米国:「消費者プライバシー権利章典」公表、OE
CD:「OECDプライバシーガイドライン」改正など)。
2 国内の主な動向
2.1 全体概要
ビッグデータやパーソナルデータの利活用については、政府の高度情報通信ネットワー
ク社会推進戦略本部(IT総合戦略本部)の下に設けられた「パーソナルデータに関する
検討会」での検討の結果、2013年 12月 10日の第 5回会合で「パーソナルデータの利活用
に関する制度見直し方針(案)」が提示され、それを一部修正した案が、2013年 12月 20
日に同本部で決定された。その中で、個人情報及びプライバシーの保護を前提としつつ、
パーソナルデータの利活用により民間の力を最大限引き出し、新ビジネスや新サービスの
創出、既存産業の活性化を促進するとともに公益利用にも資する環境を整備し、さらに、
事業者の負担に配慮しつつ、国際的に見て遜色のないパーソナルデータの利活用ルールの
明確化と制度の見直しを早急に進めることが必要であるとして、新たな法的措置も視野に
入れた制度見直し方針が示された。2014年 1月以降は、この制度見直しの方針に基づく新
たな法的措置の内容について検討が予定されており、2014年 6月までに大網を決定し、パ
ブリックコメントを募った上で法案を作成し、2015年 1月に通常国会に法案提出をするこ
とがロードマップ(「資料 2.1-1」参照)として示されている。
4
資料 2.1-1
出所:高度情報通信ネットワーク社会推進戦略本部決定
パーソナルデータの利活用に関する制度見直し方針
2.2 パーソナルデータの利活用に関する制度見直しについ
て
制度見直しについては、(1)ビッグデータ時代におけるパーソナルデータ利活用に向け
た見直し、(2)プライバシー保護に対する個人の期待に応える見直し、(3)グローバル
化に対応する見直し、の3点の方向性のもと、以下の4つの事項について見直しを進める
こととしている。
1)第三者機関(プライバシー・コミッショナー)の体制整備
2)個人データを加工して個人が特定される可能性を低減したデータの個人情報
及びプライバシー保護への影響に留意した取扱い
3)国際的な調和を図るために必要な事項
4)プライバシー保護等に配慮した情報の利用・流通のために実現すべき事項
5
なお、行政機関、独立行政法人等、地方公共団体が保有する個人情報の取扱いについて、
第三者機関の機能・権限に関する国際的な整合性、我が国の個人情報保護法制の趣旨等に
も配慮しながら、必要な分野について優先順位を付けつつその対応の方向性について検討
を行うものとしている。
3 海外の主な動向
3.1 米国の動向
米国では、パーソナルデータについて、分野を横断するような法律はなく、分野ごとに
個別法が制定されている。一般企業については、FTC(米国連邦取引委員会)が中心となって
監督を行っており、各業界に自主規制ルールの制定を促すこととなっている。さらに下位
のルールとして、業界の自主規制ルールと整合性がとれるよう、各企業によるプライバシ
ーポリシーの整備・見直しが行われている。
また、米国政府から公開された行政白書「ネットワーク社会における消費者データプラ
イバシー」の中で「消費者プライバシー権利章典」(The Consumer Privacy Bill of Rights,
2012年)が謳われている。この中で、ネット上のプライバシーデータの扱いについて個人の
権利を確立することを目的に立法を呼びかけており、今後、規制の影響範囲が米国のみな
らず海外にも広がる可能性がある。
そして、プライバシーデータの取扱に関して、FTC が 2013 年 3 月に発表したスタッフ
レポート「急速な変化の時代における消費者プライバシーの保護」では、保護対象となる
「個人データ」=「個人等に無理なくリンク可能なデータ(reasonably linkable data) 」
とされているが、事業者が匿名化に関して以下の三つの要件(いわゆる「FTC3 要件」。内
容は総務省が 2013年 6月に発表した「パーソナルデータの利用・流通に関する研究会」報
告書より抜粋)を満たすものは保護対象に該当しないとされている。
・データが合理的に非識別化(de-identify)するための措置をとる。
・そのデータを再識別化(re-identify)しないことを公に約束する。
6
・そのデータの移転を受ける者が再識別化することを契約で禁止する。
なお、総務省の「パーソナルデータの利用・流通に関する研究会」報告書においても、
匿名化に関して以下の三つの要件(いわゆる「総務省 3要件」)が挙げられている。
・適切な匿名化措置を施していること。
・匿名化したデータを再識別化しないことを約束・公表すること。
・匿名化したデータを第三者に提供する場合は、提供先が再識別化をすることを契約で
禁止すること。
3.2 EUの動向
加盟各国の立法手続きが必要な「データ保護指令」(1995年)を改訂して、加盟各国に直接
適用可能な「規則」に昇格させる予定であり、そのための「データ保護規則案」が 2012年
1月に公開されている。「データ保護規則案」では、EU 域外へのデータ持ち出しについて公
的機関による監査が必要であること、規則に違反した際に罰金刑が課されること、ユーザ
からいつでもデータ収集に関する同意を取り消すことができ、自身のデータの削除を求め
ることができる権利(当初案では「忘れられる権利」)等が盛り込まれており、また、規制
の範囲としては EUに留まらない内容となっている。
7
3.3 英国の動向
英国では、1995年の EUデータ保護指令(EU Directive on Data Protection)を受け、個
人情報の保護を目的とした 1998年データ保護法(Data Protection Act 1998)が制定され、
2000 年 3月 1日に施行された。
1998年データ保護法は、データ主体の権利や個人情報の取扱い等についての内容を定め
た法となっているが、特徴の1つとして、個人情報保護に関する監督を行う、第三者機関
である情報コミッショナー(Information Commissioner)を置いていることが挙げられる。
その事務所である、情報コミッショナー局(ICO:Information Commissioner’s Office)は、
違反者への執行通知等の監督業務だけでなく、データ保護法の正しい理解を広めるための
啓発活動をホームページなどで行っている。
英国の ICOは、わかりやすいガイドラインを示すことで定評があると言われており、例
えば、以下のようなガイドラインが ICOから出されている。
① 個人データを適切に匿名化するための考え方やケースを示すガイドライン
(Anonymisation: managing data protection risk code of practice)
② プライバシー影響評価のガイドライン(Conducting privacy impact assessments code of
practice)
③ データの共同利用の行動規範(Data sharing code of practice )
④ プライバシー通知の行動規範(Privacy notices code of practice )
8
3.3.1 ガイドラインの具体例
ICOは、2012年 11月に個人データを適切に匿名化するための考え方やケースを示した
ガイドライン(Anonymisation: managing data protection risk code of practice)を公表し
た。情報公開機関がデータを匿名化してオープンデータとして公開するにあたり、参照す
べき匿名化の検討フロー(「図 3.3.1-1」参照)も示している。
図 3.3.1-1
出所:イギリス情報コミッショナー局
“Anonymisation: managing data protection risk code of practice”(2012年)をもとに作成
パーソナルデータが含まれているか?明確でない場合に考慮すべきこと:・他の情報と照合することで、合理的に個人を識別できるか?・他に何のデータが、一般、研究者又は他の組織に利用可能であるか?・いかに、なぜ、あなたのデータが他のデータセットとリンクされうるか?
もしパーソナルデータの開示でないなら、データ保護法には拘束されない。
No (対象データには個人の識別性はない)
もしデータ保護法がパーソナルデータの公開を制限する場合、匿名化の考慮が必要。
Yes (対象データは個人識別しうる)
十分なレベルの匿名化処理をする考慮すべき要素:・再識別が試みられる可能性。・再識別が成功する可能性。・匿名化技術が利用可能か?・匿名化処理後のデータ品質が、それを利用する組織の要求水準に合致するか?
許容可能なレベルのリスクになっているかデータを検証する(このプロセスは、PIAの一部などとして、文書化すべき)
データは、なお合理的に個人が識別されうるか?
(リスク評価で提示した受領者に対して)開示又は公開可能。
No (対象データに、もはや個人の識別性はない)
さらなる匿名化処理、テストを考慮する。
リスクが許容可能なレベルに低減出来ない場合、データ保護法や他法に当該処理が準拠しない限り、公開は不可。
Yes (なお許容できないレベルの識別リスクが残っている)
9
4 技術等の動向
4.1 匿名化、暗号化状態での検索技術
パーソナルデータの取扱において、特定の個人を識別できないようにする(以下「匿名
化」という。)ためには技術的な処理が必要となる。このような匿名化は以下の 2つに大別
される。
・単純匿名化(例:識別情報の仮名化・切り落とし、準識別情報のあいまい化)
氏名や住所などの識別情報や、ID等の準識別情報を除くことにより、特定の個人を識別
できないようにする匿名化。しかし、集合匿名化等でなければ個人を特定し得るケースが
残る。 (例えば、日本で 115歳と言えば、氏名がほぼ特定できる)
・集合匿名化(例:k-匿名化処理)
あらゆる観点でデータを絞り込んでも、分解能が k名までに制限され、特定の個人を識
別できないようにする匿名化。 (例えば、年齢による検索は 10歳単位(90~100歳)の条件で
のみ検索可能とする等)
また、対象のデータを暗号化したまま検索を行う仕組み(PPDM(プライバシー保護デ
ータマイニング))についても複数の企業で技術開発が進められている。プライバシー情報
を暗号化したまま検索する仕組みは、情報へのアクセス者を限定することができるので、
プライバシー侵害のリスクを低減することができる。
技術例としては、秘密計算技術を使った情報収集・分析(日本電信電話株式会社)、クラ
ウド上にある暗号化したデータベースを、復号化することなく暗号化したまま、データの
検索・照合ができる技術(株式会社日立製作所)、データを暗号化したまま統計計算や生体
認証等を可能にする準同型暗号の高速化技術(株式会社富士通研究所)、などがある。
10
4.2 わかりやすい表示
プライバシー情報の取扱状況を消費者に分かりやすく示す技術としては、ダッシュボー
ドやラベル等が検討・実装されている。
事例1:Google
Googleでは、消費者をどのようにプロファイリングしているか(趣味や年齢や性別等)を
ダッシュボードで表示している。
図 4.2-1
出所:Googleの表示結果をもとに作成
11
事例2:カンターラ・イニシアティブ
カンターラ・イニシアティブにおいて、プライバシー情報の共有ラベルの検討を実施し
ている。
表 4.2-2
出所:総務省 パーソナルデータの利用・流通に関する研究会(第 6回)配布資料
4.3 プライバシー・バイ・デザイン(PbD:Privacy by Design)
プライバシー・バイ・デザインとは、「技術」「ビジネスプラクティス」「物理設計」のデ
ザイン仕様に対して、プライバシー保護の取り組みを検討・実施するための考え方であり、
カナダのオンタリオ州の情報プライバシー・コミッショナーであるアン・カブキアン博士
が提唱した概念である。
我が国においても、総務省が 2012年 8月に公表した「スマートフォン プライバシー イ
ニシアティブ」に、プライバシー・バイ・デザインが盛り込まれている。
12
4.3.1 スマートフォン プライバシー イニシアティブ
総務省の提言「スマートフォン プライバシー イニシアティブ」では、基本原則や、プ
ライバシーポリシーに記載すべき項目を規定している。
資料 4.3.1-1
出所:総務省 スマートフォン プライバシー イニシアティブ報告書概要
また、2013年 12月には、アン・カブキアン博士から、ビッグデータとパーソナルデー
タエコシステムの橋渡しを、プライバシー・バイ・デザインによって実現させることを目
的とした、ビッグ・プライバシーが発表されている。
13
5 事例)NTTドコモ モバイル空間統計
5.1 概要
モバイル空間統計は、株式会社 NTT ドコモ(以下「NTT ドコモ」という。)の各携帯電
話基地局のエリア毎に所在する携帯電話を周期的に把握することにより作成した人口の統
計情報である。モバイル空間統計により、地域毎の人口の分布(人口分布)や、性別・年
齢層別・居住エリア別の人口の構成(人口構成)等を知ることができる。
これは、集団の人数のみをあらわす人口統計情報であるため、利用者個人を特定するこ
とはできないとしている。
図 5.1-1
出所:NTTドコモ 企業公式サイト
5.2 データの提供の流れ
モバイル空間統計は、プライバシー、個人情報の保護を実現するため、匿名化等の措置
を NTT ドコモ内で実施し、更に、統計化したものであり、NTTドコモは、これを販売委託
会社(株式会社ドコモ・インサイトマーケティング)経由で外部企業に提供している。
14
図 5.2-1
出所:モバイル空間統計による社会・産業の発展に関する研究会
5.3 プライバシー保護・法的観点からの考え方
モバイル空間統計作成・提供・活用に関する法的側面からの検討は、「プライバシー保護」
および「個人情報保護」の側面について行っている。
5.3.1 プライバシー保護について
モバイル空間統計では、人手・人目を介さずに自動的に処理されていること、また、誰
がいつどのように行動したかを個別に把握できなくしていることから、プライバシー保護
の観点において法的に問題となることは、通常ないと考えられるとしている。
15
5.3.2 個人情報保護について
モバイル空間統計では、非識別化処理、集計処理、秘匿処理によって特定の個人を識別
できないようにすることにより、個人情報保護法上の「個人情報」には該当せず、個人情
報保護法の適用を受けないと考えられるとしている。
特定の個人を識別することができないようにするため、以下の処理を自動的に行なって
いる。
図 5.3.2-1
出所:NTTドコモ 企業公式サイト
16
5.4 社会的側面での配慮
モバイル空間統計では、データの外部提供に関する利用者の理解を得るため、下図のよ
うな社会的側面での配慮を行っている。
図 5.4-1
出所:モバイル空間統計による社会・産業の発展に関する研究会