セミナー:企業にとっての実践的プライバシー保護~個人情報保護法は免罪符にはならない

明日3/2、OpenID BizDay #8 で、「企業にとっての実践的プライバシー保護の考慮点」について、新潟大学の鈴木正朝教授と、産総研の高木浩光先生をゲストにお迎えして座談会を行います。わたしが司会者としていろいろ質問していく中で、企業活動として、プライバシーにどのように向き合っていったら良いのかということを浮かび上がらせて行くことができればと思っています。ちなみに、OpenIDファウンデーション・ジャパンでなんでこんなことやるかというと、OpenIDというのは、同意取得のフレームワーク+属性提供のフレームワークだからですね。

予定は未定にしてしばしば変更す、ですが、今のところ以下の様なことをお聞きする予定です。これだけ見ても、ワクワクするでしょ?!

あ、ちなみに、有料イベントです。イベント申込みはこちら。

Q.1 個人情報保護法(今年改正予定)、刑法、消費者契約法、債権法(今年改正予定)、不法行為法など、関係する法律がたくさん有るように思われますが、それらの関係を教えて下さい。個人情報保護法が良いと言っても、他の法律がダメと言っているのが結構ありそうで、個人情報保護法を守っていても免罪符にはならないように思われます。その辺りも教えてください。

たとえば、今般の改正では見送られたようですが、たとえ目的変更がOKとなっても、消費者契約法では不利益変更はNGとなっていますし、債権法でもしかり。個人情報保護法でOKだからといって突き進むと、他の法律で絡め取られるケースがかなりあるように思われます。例えば、

  • 利用目的関連:不正指令電磁的記録に関する罪、電気通信事業法、電波法、民法(債権関連)、民法(不法行為)、消費者契約法、(経産省Q45)
  • 安全管理関連:不正競争防止法

法的コンプライアンスを考える上では、これらを全て勘案する必要があります。そのあたりの関係なども含めて解説していただきます。

Q.2 企業がビジネスを行う上での目標というのは、法律云々よりも、ブランド価値を高めて、自社の商品・サービスをもっと評価していただくことだと思うんですが、そこと、現在の個人情報保護法周りの話はかなり乖離しているように思われます。これはなぜなのかとか、ご意見お持ちでしょうか?

国際展開している企業だと、国内法だけでなく他国の法律も見なければなりません。これってかなり大変ですよね。その上、実際にビジネスを行う上では、法律を守っていれば良いというものでもなくて、何が大切かというと、消費者からの信頼を勝ち得ること、つまり、ブランドを確立することだと思うんですよね。それって、法律を守っていることは当然で、+αの話であるように思われます。実際、国際標準というのは、そのレベルを満たすにはどうしたら良いかというようなことが書いてあるんですが、何か巷の議論を聞いていると、どうもそういうことがすっぽり抜け落ちているような感じがするんですよね。この辺りの状況は、どうなんでしょうか?

Q.3 「特定の個人」って、何なんですか?この辺り、今般の改正でもかならいせめぎ合いになったところのように各方面から聞いておりまして、これで「個人情報」の範囲をできるだけ限定しようとしているというわけですね。なので、この概念をちょっと詳しく説明していただけますでしょうか?

ここで、ISO/IEC 29100によるリンクの概念の解説に飛ぶかもしれません。

Q.4 「個人情報」の範囲を狭くするのは、企業にとって意味があることなんでしょうか?ブランド価値の保全まで考えたら、考慮対象を狭くすることはかえってリスクを高めるように思えるのですが。

この、「できるだけ限定したい」という議論、「個人情報保護法」へのコンプライアンスだけを考えるならば、その気持ちは分からないでもないんですが、上述の通りそれじゃダメなわけで、実は個人的には非常に違和感を持っているものなんですよね。80カ国近くの企業や政府関係者が集まって作っているISO/IEC 29100 プライバシー・フレームワークとかとはまるっきり逆方向なんですよ。こちらでは個人情報(PII)を「(a)その情報が関係する本人を識別することに利用することができるか (b)本人に直接・間接に結び付けられうる、任意の情報」[1]と、とても広く定義しておりまして、なんと1節まるまる使って、どうやって隠れている個人情報をあぶり出すかなんてことまで書いています。その上で、その「個人情報」をどのように「使うか」によって起きてくるプライバシーへの影響を評価して、リスクレベルに応じた対策をせよ、となってるんですよね。たとえば、名刺情報の部門での連絡用共有なんて言うのはリスクが低いからそれなりの対策で良くて、それに対して、お預かりしている健康相談情報なんかはすごく対策する、みたいにね。ブランド価値の棄損とかまで考えたら、こっちの方がずっと実践的だと思うんですよ。

Q.5 約款変更に先立つ公表、通知、同意はどうあるべきでしょうか?

Googleなんか、何ヶ月もこれでもか~と公表、通知、し続けたわけですが、一方では、するっと変えてしまう事業者もある。でも叩かれるのは概ね前者と、なにかバランスの悪さを感じます。このあたり、変更に先立ってどの位の期間、変更内容の徹底をはじめるべきなんでしょうか?

Q.5 匿名加工情報というのが今回新設されるようですが…。オプトアウトも必要ないような「匿名加工」って、統計化のさらに限定されたものになってしまいそうなんですが、それだと現行法でもOKっぽくて…。詳しく教えていただけますでしょうか?

この話が出てきた背景や議論されていたところって、ちょっと違和感がありまして。いわゆるFTC3要件のあたりから出発しているようですが、なんか大きく誤解されているような気がします。そもそもあれは任意のところに情報提供して良いという話ではないし、その背景にFTC法5条がありまして、それをデータ提供元にも提供先にも起動できるようにするために、この3要件を受け入れよ、というものなんですよね。そもそも第一条件の「de-identification」は、その前に散々「re-identificationができない安全なde-identificationなんて無いよ」という話をしているくらいで、だから技術的にはあんまりできてなくても良くて、それをしたと宣言させて、かつ第2要件、第3要件で、自ら再識別しないし提供先にもさせない責任を持つと宣言させることで、FTC法5条が発動できるようになっているところに意味があるんです。それを、FTC法5条が無い日本で語ってもねぇ。これでやるなら、独禁法改正して公取が介入できるようにするとかしないとダメなはずなんですが。

Q.6 データの越境移動関連なんですが、グローバル展開している企業が、EU在住の職員のデータを日本に持ってきて日本で人事評価するとなるとやばそうという話もあるんですが、どうなんでしょうか?安全にやるには、どうしたら良いのですか?

まぁ、データをEUに移管して、人事評価もEUでやれば良い。どうせEU支社もあるわけだし、むしろそっちを本社にすれば良いだけだから、企業としてはどうでも良いという話もあるわけですが。

Q.7 個人情報保護法改正項目の中に「第三者提供時に提供元 & 提供先双方でその記録義務が追加される」というのが有るらしいですが…。どこまでやれば良いのでしょうか?

実務を考えると:たとえばOpenID Connect / OAuth で属性を連携したとしましょう。属性の提供先は、IdP側は記録しているはずです。RP側も建前としては記録しているはずです。ですが、その後は、経路問わずのDBに突っ込んでしまうケースが多いはずで、しかも、途中でRPは本人から新しい情報を直接もらったりもする。すると、もはやどこから何のために来たかなんてわからなくなってしまうわけで、こういうシステムは結構改造が必要になりそうです。まぁ、プライバシー・バイ・デザインをやってないと、後でひどくコストがかかるということの典型例なわけで、ISO/IEC 29101 プライバシー・アーキテクチャ・フレームワークでも、最初の段階でちゃんとそこのところ設計しろと言っているわけですが…。

[1] SOURCE: ISO/IEC 29100. 2.9 PII = any information that (a) can be used to identify the PII principal to whom such information relates, or (b) is or might be directly or indirectly linked to a PII principal

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください