産業技術総合研究所の高木浩光主任研究員は2013年11月8日、「関西オープンフォーラム2013」で基調講演し、2013年7月以降にパーソナルデータの活用を巡ってインターネットで議論となったJR東日本やNTTドコモ、KDDIなどの4件について、それぞれの違いを指摘し、現行の個人情報保護法で「セーフとアウトの明暗がはっきりした」と述べた(写真1)。
高木氏は、JR東日本が交通系ICカード「Suica」の乗降履歴を第三者に譲渡しようとした事例について、個人情報保護法23条の委託であれば、第三者提供に当たらず適法だったと指摘。政府の「パーソナルデータに関する検討会」(座長=堀部政男・一橋大学名誉教授)でFTC3要件が議論されていることは「現行法でもできる委託方式だと、全体を統括する技術力と管理力が必要になる。IT会社に全部分析をやってほしいので売ってしまいたい事業者もいるので、ある程度は規制緩和してできるようにしようと検討されている」と述べた。
高木氏がアウトの事例として挙げたのは、写真1にある赤色で示したJR東日本のSuica乗降履歴提供と、NTTドコモとゼンリンデータコムの「混雑統計」と指摘。セーフの事例としては、同じく写真1の青色で示したNTTドコモの「モバイル空間統計」や、KDDIとコロプラの「観光動態調査レポート」を取り上げた。
Suicaの履歴データに対しては個人情報に当たらないと主張されていたが、高木氏は「総務省のパーソナルデータ研究会の報告書では実質的個人識別性と定義して、長期間にわたって記録される履歴や位置情報は保護される実質的個人識別性があるとしている」と指摘した。
さらにNTTドコモとゼンリンデータコムの「混雑統計」については、ドコモの公式有料アプリ「ドコモ地図ナビ」のオートGPS機能を有効にした人のデータで、「委託なのか第三者提供かが法的には問題。ゼンリンデータコムが販売主体なので委託という状況ではない」と指摘した。震災ビッグデータとして、2011年3月11日の関東地域で人々がどう移動したかが可視化された元データとして知られ、テレビ番組では携帯電話利用者の許諾を得て取得されたと説明されていた。
しかし高木氏は、利用規則には位置情報を提供する際に、一時的に蓄積された情報をゼンリンデータコムに提供することがあるという目的の記載があるだけで、地図アプリを使っていない時も5分ごとにGPSの位置情報を取得。「所在にかかる位置情報のログを記録するサービス」としか説明がないのは、個人情報保護法でいう第三者提供に事前の「同意があるとはいえない」と述べた。
さらに、地図アプリを起動していなくても、訪れた町を自動的に記録するゲームのためにオンにさせて「実際の目的は統計データを販売するためにデータを蓄積し、真の目的を隠して機能をオンにさせていた」と批判した。
