産業技術総合研究所セキュアサービス研究グループの高木浩光・主任研究員らは、住所や氏名を排除すれば匿名化だという一部の誤解に強い警鐘を鳴らす。さらに総務省の「パーソナルデータの利用・流通に関する研究会」報告書に引用された米FTCリポートの「識別」とは、特定個人だけではなく、特定のコンピュータやデバイスが分かることだと指摘。パーソナルデータを活用する産業振興のためには、透明性や利用者選択の確保が不可欠と語る。

(聞き手は、大豆生田 崇志=日経情報ストラテジー

※インタビューは6月に産総研で行いました。高木氏は7月から内閣官房情報セキュリティセンター(NISC)を併任されていますが、インタビューは産総研の一員として受けていただきました。

高木さんの研究チームは、総務省の「パーソナルデータの利用・流通に関する研究会」のパブリックコメントで、意見書を2回出したとお聞きしました。どんな意図で出されたのでしょうか。

産業技術総合研究所セキュアサービス研究グループ主任研究員の高木浩光氏
産業技術総合研究所セキュアサービス研究グループ主任研究員の高木浩光氏
[画像のクリックで拡大表示]

 危機感があったからです。意見書は2013年4月の論点整理と、6月の報告書案で2回出しましたが、まず言いたいのは、政府がパーソナルデータの利用や活用を言い出したとして、規制緩和だと誤解して浮かれる人がいることです。確かに一部は規制緩和ですが、別の一部は規制を強化して産業振興のためのエンフォースメントを目指しているのです。

 案の定、誤った解説も出始めています。例えば、政府がビッグデータビジネスを後押ししているという趣旨のインターネットの記事では、弁護士の方が誤ったコメントをされています。携帯電話の位置情報データは個人情報と何が違うのかというインタビュアーの質問に、「性別や年齢層だけでは個人を識別できないので、個人情報保護法の対象である個人情報ではない」「政府は住所や氏名を排除した匿名化データの利用を促進しようとしている」と答えている。これは間違っています。

弁護士さえ誤った解釈をしているというわけですね。

 確かに、そのへんの理解は難しい。このような誤解が絶対出ると思ったので、危機感を持って2回も意見書を出したのです。

 最初に2013年4月の論点整理で指摘した問題は、保護されるパーソナルデータをどのように限定するか、なぜ保護する必要があるのかについて何も言っていないことでした。論点整理では、保護されるパーソナルデータを個人情報保護法でいう「特定個人識別性」(特定の個人を識別できるもの)の有無に頼って定義しようとしていたのです。

 これでは、そもそも個人情報保護法を超えて議論しようとしているときに、現行法に拠り所を求めているわけで、結局トートロジー(同義反復)でしかない。現に、ほかのパブリックコメントにも「保護されるパーソナルデータの外延が不明確」という指摘がありました。

 特定の個人が識別されていなくても、一人ひとりのデータである以上は何らかの保護が必要になる。その根拠として「一人ひとりのデータは、プライバシー権に関わる」と正面から言わなければならないのです。