ユーザーの移動履歴や購買履歴,コンテンツ閲覧履歴などの「ライフログ」あるいは「パーソナル情報」を解析すれば,サービスの高度化や社会の効率化につながる。こうしたデータの活用について産業界から強いニーズがある一方,その利用にはプライバシ保護の問題が立ちはだかる。「情報大航海プロジェクト」(関連記事)のメンバーとして,パーソナル情報の利活用の考え方をまとめた日本情報処理開発協会データベース振興センターの坂下哲也副センター長に話を聞いた。
ライフログをビジネスに利用することに際して,現行法/現行制度の課題は何か。
利用者の行動情報を利活用することを考えた場合,プライバシへの配慮が不可欠なことがまず大きな課題だ。特に,個人情報を第三者が利活用するためには,本人に第三者提供の同意を取り付ける必要があり,このコストが新規ビジネスの壁になる可能性がある。これらの課題への対応としては,個人情報から個人を識別する情報を排除し,“個人情報ではない状態”に加工することが有効だ。
しかし,現在,個人情報保護法や,関係する政府ガイドラインなどには,このような情報の取り扱いについて具体的に記述されていない。そのため,企業がライフログを活用したサービスを企画する際,そのサービスで使う情報が個人情報保護法に抵触しないかという議論から始めなくてはならない。
個人情報保護法では,「他の情報を容易に照合することができ,それにより特定の個人を識別することができる」情報も個人情報に当たるとされている。しかし,個人情報保護に関する政府ガイドラインなどを読む限りでは,個人識別情報を排除したデータをどのように取り扱えば良いのかについての具体的な記述は見られない。
例えば,ある企業が事業者から購入した匿名化されたデータを,別のデータと突き合わせてみたところ,個人が「推測」できる状態になってしまったという事例があった。このように元データがなくても,個人が特定されてしまう可能性はある。そうしたケースに対して,有識者の判断は「保留」。つまり,この段階では良いとも悪いとも言えないということだ。明確な判断基準がないために,こうした状況が生まれている。このケースでは,この事業者は考えていたサービスの提供を見送っている。
ユーザーの行動情報の扱いの基準などが明確化されていない状況では,企業の利用に向けた姿勢はどうしても保守的になってしまう。しかし,行動情報の利活用は新しいビジネスに結びつく可能性が高く,新しい産業や雇用を生み出す可能性も秘めている。そこで,情報大航海プロジェクトのパーソナル情報検討ラウンドテーブル(座長:堀部政男一橋大学名誉教授)では,政府ガイドラインの検討委員会と連携して,匿名化情報の取り扱いの在り方を検討した。
具体的に,どのような内容を取りまとめたのか。
どのような状態が個人情報に当たらないもの(非個人情報)なのかを明確にした。前述のように,現行の関係ガイドラインだけでは,「他の情報を容易に照合することができ,それにより特定の個人を識別することができる」とは具体的にどういうことなのかは分からない。政府ガイドラインの検討委員会で,「個人が識別できる元データを取り扱う者と区分けされた属性情報を取り扱う者がそれぞれの情報に相互にアクセスすることを厳格に禁止している」とともに「その区分けされた属性情報を元データ以外のデータとも容易に突き合わせて個人を特定することができない」場合には,それは「非個人情報」であるという結論を得た。
このように,「非個人情報である状態とは,どのような状態か」についての考え方を明確にすることで,ユーザーの行動情報を活用したサービスを検討している企業は,今までの議論の開始時点から,その先に進むことができると考えられる。これが,ライフログ利活用に向けた第1歩だ。
しかし,どこまで処理すれば匿名化した情報なのかは分からない。
それはその通りだ。こればかりは実際にデータを解析してみて,定量的な評価を積み重ねて行くより仕方がない。2009年11月に発足した次世代パーソナルサービス推進コンソーシアムなどで,ライフログを活用したい事業者などに議論してもらい,業界の自主基準をガイドラインとしてまとめていくことが望ましいのではないだろうか。
とはいえ,それぞれ業界別のガイドラインを作ると,異なる業界同士のデータを突き合わせて実現する「マッシュアップ型」のサービスで整合性が取れなくなる可能性がある。そこで,情報大航海プロジェクトでライフログのようなデータの扱いを定めたガイドライン作りのための指針,「パーソナル情報の利用の在り方に関する提言」を作った。
その具体的な内容は。
まず,その情報単独で個人を識別できるかどうかにかかわらず,個人に関連付けられる情報のすべてを「パーソナル情報」と定義した。このパーソナル情報をもう少し細かく見ると,名前や生年月日など個人の識別に使える「識別情報」と,それ以外の属性情報に分かれる。その属性情報は,購入商品や閲覧コンテンツのリストのようないわば「タグ」と,購入や通勤などのユーザーの行動情報のような「ログ」に分かれる。
ライフログの議論の中で,産業界から利用したいとの声が大きいのは,一部の識別情報とタグやログの組み合わせ情報だ。例えば,店舗の出店計画を立てている企業では,その店舗の対象エリアの時間帯ごとに,性別や年齢,どこから来ているか,何を買っているかなどを解析したい。このとき,事業者は詳細な個人を識別する情報は欲していない。しかし,個人識別情報を外したタグとログのデータだけを活用する場合でも,時間と位置の組み合わせや特殊な商品の購入履歴などから個人を特定できる可能性も排除できない。
そこで,提言ではパーソナル情報から個人識別情報の一部を消したり,あいまい化して匿名化していくことで,これを回避する方法を推奨している。具体的には,名前を消す,20代,30代といった具合に年齢幅を持たせる,GPSの座標をメッシュの中に寄せて使うといった具合だ。
また,複数のデータの突き合わせにより個人が推定されたり,特定されたりすることも考えられる。そこで,あいまい化の程度を変化させることで,同じ属性のデータが必ず複数人分含まれるようにする「集合匿名化」の処理も推奨している。これによって,処理されたデータを他の事業者とのマッシュアップに利用できるようになるのではないかと考えられる。
情報大航海プロジェクトでは,あいまい化や切り落としをするためのソフトウエアを開発したそうだが。
「パーソナル情報保護解析基盤」を構築した。これを使うことで,前述の提言に基づいたデータの匿名化ができる。次世代パーソナルサービス推進コンソーシアムを通じて,オープンソースとして提供することが予定されている。
