Suica履歴を巡る騒動は、企業への教訓を残すとともに、個人情報保護法を含むプライバシー保護ルールの不備を浮き彫りにした。幸いにもSuica問題と前後して、こうした現状を改善する動きが出ている。政府のIT総合戦略本部は2013年9月2日、「パーソナルデータに関する検討会」を開催。総務省や経済産業省での議論をベースに、4カ月で日本のプライバシー法制の骨格を固める考えだ。
Suicaは勇み足となったが、業界全体でみればパーソナルデータ利活用の機運は着実に高まっている。これまでデータの利活用に及び腰だった企業が、相次ぎサービス開始に乗り出している(表)。「膨大なデータを分析して価値を生み出す『ビッグデータ』について社会の認知度が高まり、サービスを打ち出しやすくなった」(ある企業の担当者)。
今後、パーソナルデータの利活用を考える企業は、この検討会における議論の流れを注視し、必要なら積極的に意見を出すべきだろう。「今は企業が様々な実験を行っている段階。その実験自体を止めてしまうようなルールは作らないでほしい」(ヤフー 社長室長 執行役員の別所直哉氏)、「企業の実践例を基に、プライバシー保護のガイドラインを継続的にブラッシュアップしてほしい」(カルチュア・コンビニエンス・クラブ(CCC) 経営戦略本部 情報管理 ユニット長の金子剛哲氏)。
米国やEUから「いいとこ取り」
日本のプライバシー法制は今後、プライバシー保護の議論で先行する米国やEUの制度を参考に、それぞれの利点をうまく生かす形で、制度やルールを取捨選択する方向に進みそうだ(図4)。
日本の個人情報保護法は「規制が厳しい」と誤解されがちだが、実は米国やEUと比べて「かなり緩い法律」(複数のセキュリティ専門家)とされる。Suica履歴についても、国内ではオプトアウト窓口の設置、利用規約の変更によって、一定の合法性は担保できる。一方で米国やEUであれば、利用者の明示的な同意が求められる可能性が高いという。