検索エンジンで世界を制覇した米グーグルは今,位置情報や医療情報など個人にヒモ付く情報の蓄積にも乗り出している。国内でも,個人の行動情報「ライフログ」活用のニーズはあるものの,ゆっくりとしか進まないプライバシ保護の基盤整備や日本の法律運用が足かせとなり,サービス事業者は実用化へ向けて足踏みしている状況だ。ライフログの利活用という新しいビジネスでも米国のIT企業の勢いに圧倒される可能性が高まっている。ライフログ・ビジネスのイノベーションを加速するためには,どのような法律運用が必要なのか。IT法務の第一人者,牧野二郎弁護士に話を聞いた。

(聞き手は中道 理=日経エレクトロニクス,羽野 三千世=ITpro

ライフログはどう扱われるべきか。

牧野総合法律事務所 弁護士 牧野 二郎 氏
牧野総合法律事務所 弁護士 牧野 二郎 氏
[画像のクリックで拡大表示]

 私は,ライフログというものには2方向のベクトルがあると考えている。

 一つは,病歴や投薬履歴,人の思想にかかわる読書履歴など,より個人のコアに向かうベクトルだ。非常にセンシティブなプライバシ情報を事業者が蓄積することを疑問視する意見もあるが,個人の情報を正確に保管することは,その人自身の健康や生活を保障する上で有用だ。医療に関していえば,複数の医療機関で医療行為を受けた場合に,二重診療や薬の二重投与を回避できる。ただし,これらの情報は,センシティブであるがゆえに本人しか閲覧できないように管理し,第三者に提供する場合は完全に本人の同意を得る必要がある。

 もう一つは,全く逆に外へ発散するベクトルだ。ライフログの中にある普遍的な価値のある情報を,匿名化したサンプルとして外部に提供していく。私の場合であれば,2010年に生きている男性の一つのサンプルとして,行動や購買の履歴を社会やビジネスのために利用してもらう。また,医療の情報についても,医療情報だからとタブー視せずに,匿名化した上で人類に普遍的な情報を抽出し,医学の発展のために活用する。

 このように,ライフログにはコアへ向かう情報と外へ発散する情報の二つのレイヤーがあり,その中間に個人情報保護法で保護されるべきデータがある。この三つを明確にして議論を進めていく必要がある。

コアへ向かう情報と外へ発散する情報は,それぞれどのように保護されるべきか。現行法の課題は何か。

 個人情報保護法は,ライフログを収集した事業者や情報提供を受けた事業者を規制する法律だ。個人が自分のデータをどう扱うかは規制されない。また,事業者がデータを分析する場合のルールもない。従って,コアへ向かう情報が,本人の希望で研究者の手に渡った場合は個人情報保護法で守れない。情報をどのように分析するか,分析した情報をどのように利用するかは研究者のモラルに委ねられる。

 また,外へ発散する情報の保護に関しても課題がある。匿名化するので,誰の情報か分からない。誰の情報か分からない情報を誰がコントロールするのか。匿名情報を他の匿名情報と照合したときに,個人を識別できてしまう可能性がある。匿名情報だからといって,コントロールできない状態にしておいては,ある日突然,個人情報となる危険性が否定できない。こうした課題を検証し,解決していく必要がある。

ではどうやって,情報の扱い方の基準を決めるのか。

 個人情報保護法の範囲外の,コアへ向かうレイヤー/発散するレイヤーを規制し,情報をコントロールするには,第三者機関として,有識者による「プライバシ・コミッショナ」を設ける必要があると考える。

 プライバシ・コミッショナは,プライバシにかかわる国内外のビジネスや政策について,事前判断/事前措置を実施する。これまで,プライバシの問題は司法が事後判断していた。例えば,米グーグルの「ストリートビュー」は,米国で議論した結果が合法だからという理由で,日本では議論なくサービスインした。その結果,今になってプライバシ侵害の問題があるとして司法が動いている。

 プライバシ・コミッショナがあれば,道路の広いアメリカで生まれたサービスを日本に持ち込んだときにどうなるか,文化や環境によって異なるプライバシの状況を事前判断し,サービスに規制を設けたり,禁止命令を出せる。

プライバシ・コミッショナはどのような形態であるべきか。

 ビジネスの競争を妨げずに,ITサービスに関して事前判断をするとなると相当のスピード感が求められる。誤解を恐れずに言えば,プライバシ・コミッショナの判断は独断でよい。国民の代表という意識を持ってビジネスの推進とプライバシ侵害の問題を考えてくれる人に,急ぎ暫定判断をしてもらう。その後の議論により,判断が間違っているということになれば司法の事後措置が入る。

 プライバシに関する国民の意識は,報道や社会情勢によって大きく左右に動く。プライバシ・コミッショナには,一時の世論に惑わされない判断が求められる。

プライバシ・コミッショナの事前判断によってビジネスの開始を許可されても,その後の司法判断で覆る可能性がある。訴訟リスクを考え,国内企業はライフログ・ビジネスに慎重になるのではないか。

 米国の状況を見てほしい。グーグルやアマゾン・ドットコムがどんどんサービスを展開しているが,あの訴訟大国で訴訟はほとんど起こっていない。

 その理由は,IT企業がユーザーと協力してサービスを作っていこうというオープンなスタンスを取っているためだ。完全ではない状態でユーザーに評価してもらい,ユーザーにどう改善すればよいか,どのようなバグがあったかを教えてもらう。ユーザーは,サービス提供者と対立するのではなくパートナであるという意識を持つため,訴訟が起こらない。企業にとっては,バグを修正しながら訴訟リスクを軽減できるので,一挙両得だ。

 性能や機能を保証して,完全なサービスを提供する時代は終わった。日本の企業,国民はこのことを理解する必要がある。また,サービスの契約形態も,時代に即したものに見直されるべきだ。サービス内容を確定した静的な約款は過去のものとなる。契約後も,サービス内容を変更していくことができる動的な約款が許されなければ,今の時代にITビジネスはできない。

 我々法律家も意識を変える必要がある。これまで,弁護士は企業に対して,訴訟リスクを恐れ,後から変更する余地のない完全な約款を作ることを要求してきた。これからはイノベーションを起こすために動的に変化させることができるような約款の作り方を考えていかなければならない。