個人情報保護法の法改正などを検討している「パーソナルデータに関する検討会」(座長:堀部政男・一橋大学名誉教授)は2013年10月2日、第2回会合を開催。委員の鈴木正朝・新潟大学法学部教授が「データを合理的に非識別化(de-identify)するための措置」などを求めた米FTC(連邦取引委員会)の3条件を参考に、日本版FTC3条件の立法措置を求めた。会合ではほかに安岡寛道・野村総合研究所上級コンサルタントや、山本隆一・東京大学大学院医学系研究科特任准教授が意見を述べた。

 このうち新潟大の鈴木教授は、現行の個人情報保護法の解釈の許す範囲でガイドラインを制定してルールの明確化を図るほか、個人情報保護法を改正する立法措置の2段階での対応を提案。ビッグデータビジネスや経済成長のために匿名データの流通を促進し、世界中の多くのデータが集積できる法的環境を整備することを前提に、行政調査などの権限を持つ第三者機関の創設や、日本版FTC3条件の導入を提案した。

 日本版FTC3条件では、事業者が本人の同意なく特定のパーソナルデータを第三者に提供するには、提供先での再識別化リスクに対する安全管理的観点から合理的な技術的匿名化措置をする「技術的措置」や、匿名データを再識別化しない「提供先との契約」、第三者機関が告示する方法で再識別化しないと公表する「透明性の確保」の3つを求める立法措置が必要とした。

 一方、安岡上級コンサルタントはプライバシー情報などについて、現在の技術や環境ではマッチングすると再識別化できてしまう可能性が高いと指摘。どこまで匿名化すべきかプライバシーの観点から配慮が必要なものをフレームワークなど指針を定めてはどうかとした。

 山本特任准教授は、医療現場でパーソナルデータを活用する際の問題点を指摘。医学研究の遅延や高齢者の孤独死などを踏まえてデータの適切な利用が妨げられないようにすることや、国や地方自治体など情報取得をする主体によってルールが異なるために医療健康情報の連携が困難といった問題点を挙げた。

 その後の質疑では、匿名化の課題が議論された。技術検討ワーキンググループ主査の佐藤一郎・国立情報学研究所アーキテクチュア科学研究系教授は、「匿名化すればもう安全と思われがちだが、現実には匿名化されてない属性情報から個人が特定できることが多い」と指摘。再識別化されてしまったときに、匿名化データから再識別化されていないとどう証明するか議論が必要という意見や、行動ターゲティング広告がパーソナルデータを再識別化したものではなくカテゴリー化したものだと示すにも第三者機関の調査で証明できる制度設計が良いという指摘もあった。佐藤教授は、NTTドコモの「モバイル空間統計」を引き合いに、匿名化と統計化データの線引きなどについてワーキンググループで議論が必要と述べた。

 途中参加となった山本一太IT政策担当大臣は締めくくりの挨拶で、米国出張でIT企業のCEO(最高経営責任者)らと会ってパーソナルデータについて話したと述べ、「米グーグル側は匿名化すればかなり大丈夫みたいな話があった」と披露。パーソナルデータの扱いなどを成長戦略の一環とするには世界のどこでも問題になっていると感じたと指摘しながらも、会合での議論で「匿名化すれば安全だというのは間違いで危険という話も伺った」とし、これらの議論を踏まえて制度見直しに反映させていきたいと述べた。