HOMEディーシーエヌ コラム



2013/11/07 オプトアウトと匿名化

政府のIT総合戦略本部で開催されている
「パーソナルデータに関する検討会」もすでに3回開催されており
ビッグデータの利活用に向けた検討が急務となっているようである。
落しどころは適法かつプライバシー保護に対する安心感といった
社会的コンセンサスを得るためにはどうするべきかといった感じだが
それぞれの委員から提出されている資料が興味深い。


例えば、JR東日本が事後対応として行ったオプトアウト受付について
10月初頭時点で約5万5000件寄せられたというニュースもあったが
果たしてオプトアウトで問題はなかったのか。
筆者は「オプトアウト」という方法にはかねてから疑念がある。
個人情報保護法において「あらかじめ本人の同意を得ないで
個人データを第三者に提供してはならない」とあるが
第三者提供についての例外事項として


 法第23条2項
 本人の求めに応じて当該本人が識別される個人データの第三者への提供を
 停止することとしている場合であって、次に掲げる事項について、あらかじめ、
 本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の
 規定にかかわらず、当該個人データを第三者に提供することができる。
   1 第三者への提供を利用目的とすること。
   2 第三者に提供される個人データの項目
   3 第三者への提供の手段又は方法
   4 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること


とあり、恣意的な解釈余地があることは、かねてからの指摘事項であり
これまでに少なからず問題も発生してきたことは周知の通りである。


「パーソナルデータの利用・流通に関する研修会報告書」(2013年6月総務省公表)では
米国FTCにおける考え方等を踏まえ、次のような条件をすべて満たす場合
 @ 適切な匿名化措置を施していること。
 A 匿名化したデータを再識別化しないことを約束・公表すること。
 B 匿名化したデータを第三者に提供する場合は、提供先が再識別化をすることを契約で禁止すること。
実質的個人識別性はないといえるため、保護されるパーソナルデータには当たらないとして
本人の同意を得なくても、利活用を行うことが可能と整理できると考えられる、としている。


では具体的に匿名化すべき情報範囲はどうかという点について
日本アイ・ビー・エムの岡村氏が指摘している
「非定型パーソナルデータに関する分類と匿名化考察」の
パーソナルデータのタイプ(データの種類や形)による考慮や
データの所在や種類の認識と考慮の必要性を見ると
匿名化が容易でないことがわかる。
また再識別化しないことを約束・公表することについても
再識別化されるリスクがゼロになるわけではない。


今後、医療分野におけるパーソナルデータの利活用についても
具体的な検討が進むと思われるが
プライバシー保護と社会的有用性のバランスを図ることは更に困難が予想される。
ビッグデータの本命といわれる分野だけに利活用の推進に期待する半面
現状ではまだまだ難しいのでは・・・というのが実感である。



このページのトップに戻る