「パーソナルデータ」の利活用に何が必要か？（2/2 ページ）

[編集部，ITmedia]

侵害リスクを判断すべき

　佐藤氏によれば、外国における法規制の観点は「個人情報の範囲」だけでなく、事業者の利活用行為が「個人の権利利益の侵害」するリスクにあたるかどうかで判断されている。これは、大綱でグレーゾーンとして示された2点目の「事業者が順守すべきルールの曖昧さ」を解決するヒントになる。

　これを参考に、日本HPのパブリックコメントではグレーゾーンにあたる情報も個人情報の範囲に含めて保護の対象とし、その利活用が個人の権利利益の侵害に当たるかを判断する仕組みを導入すべきと主張している。

　「個人情報の定義だけを広げて従来通り規制するのでは、事業者の立場は厳しくなる。大綱でも言及している『第三者機関』が事業者の利活用を判断することになるものの、まずは事業者を信頼に足るという考えをもとに整備していくべきではないか。不適切な利活用をする事業者を取り締まるべきというのは、当たり前のこと」

　大綱では実効性のある制度執行の確保を目的に、「独立した第三者機関」の整備が提示されている。プランとしては、2015年秋に施行される「番号法（マイナンバー法）」で行政監督機関として規定された「特定個人情報保護委員会」を改組し、パーソナルデータの保護と利活用の両立を図ることを目的した委員会（第三者機関）を設置する。この第三者機関が、事業者に対する監督や民間での自主的な規制ルールの認定、認証機関の認定・監督といった各種業務を実施するとしている。

　「個人情報を適切に保護するには事前規制が重要であり、事業者の利活用にあたっては、事業者や消費者団体などを加えたマルチステークスホルダーによる第三者機関による体制が、利活用のもたらす権利利益の侵害リスクを判断することが望ましい。リスクを低減することによって、利活用を図っていくべきではないか」

プライバシーについても考える

　佐藤氏はまた、個人情報の保護とプライバシーは切り分けて考えるべきであるとも提起する。個人情報の漏えいでは時折「プライバシーが侵害される」との懸念が聞かれるが、個人情報の保護はセキュリティの観点であり、プライバシー問題と似ているようで本質的な部分が異なるという。

　「個人情報とプライバシーを同一にみてしまうと、保護するか、利活用するかの二次元での議論にしかならず、その間でバランスをとるしかない。利活用の目的が顧客の期待が合致するかどうかという視点を加えるべきであり、リスクを低減しながら事業者と顧客の期待を満たすアプローチが必要だ」

　例えば、海外では日本と同様に「個人情報を保護する」という宣言がある。しかし、日本では「プライバシーを保護する」という表現も使われるが、海外では「プライバシーを尊重する」という表現が使われている。この違いは、例えばECサイトなどでユーザーがレコメンデーションの機能をオン／オフできるといった形で表れる。購買履歴などのデータ分析を元に提供されるレコメンデーションの機能を「便利だ」と感じるユーザーがいれば、「不愉快だ」と感じるユーザーもいる。ただ、不愉快に感じても購買はしたいというユーザーもいる。こうした様々なユーザーのプライバシーの感性に配慮した対応といえるだろう。

　「個人の権利利益とはなにか、それが侵害されるリスクとは何かといった議論が重要だ。そもそもプライバシーとそのリスクについても考えなければ、データ利活用に関する議論は成立しないともいえる。既に大綱が示されてはいるものの、ぜひプライバシーに関する議論を深めていくべきではないだろうか」と、佐藤氏は提起している。