パーソナルデータに関する法整備の検討が急ピッチで進んでいる。
内閣官房のIT総合戦略本部の下に設けられた「パーソナルデータに関する検討会」(座長:堀部政男一橋大学名誉教授)は9月2日、第1回の会合を開催した。その子会である技術検討ワーキンググループ(WG)を含め、会合は本稿執筆時点で既に4回開かれている。早ければ年内にも一定の方向性を定め、具体的なアクションプランの策定を目指す形で動いている。
「寝耳に水」というわけではない。6月に閣議決定された「世界最先端IT国家創造宣言」(いわゆる新IT戦略)の中で、当該分野の検討を今年度中に終える行程表が示されていた。しかし今回は、個人情報保護法の改正が強く意識されているほか、関連する新法の策定に向けた機運も高まっている。「石橋を叩いて壊す」と揶揄(やゆ)されがちな我が国にしては、驚くべきスピード感である。
無論、政府が検討を急ぐのは理由がある。米国が「消費者プライバシー権利章典」を、欧州が「個人データ保護規則(案)」を、それぞれ打ち出してきた。筆者が日本政府代表の末席として携わるOECD(経済協力開発機構)でも、プライバシーガイドラインを33年ぶりに改訂。APEC(アジア太平洋経済協力)での検討も進み、TPP(環太平洋戦略的経済連携協定)でも関連する項目が挙げられている。
パーソナルデータを扱うビッグデータが、単なる商機ではなくビジネスを根本から変える新たなパラダイムとして認識されるようになったこと、そしてモバイルコンピューティングの高度化と普及が一気に進んだこと、その両者が循環し始めたことで、世界的に法整備がいよいよ不可避となった、というところだろう。
論点は「匿名化」と「責任主体」に
とはいえ、時間のない中での議論は、ある程度は対象を絞り込まざるを得ない。一連の動きで論点となっているのは、プライバシー保護をできる限り実現することを目指した「匿名化」と、パーソナルデータの流通に関して「責任を負うべき主体」である。
前者については、プライバシー保護データマイニングなどの分野で既に技術的な検討が進められており、「k-匿名性」「l-多様性」「t-近接性」といった評価指標を元に、匿名化や仮名化、無名化などの技術研究が進められている。
冒頭の技術検討WGでも、鉄道会社のICカードのデータ販売などをケースに、匿名化の可能性、さらにデータの組み合わせによる識別可能な情報への復元の危険性が検討されている。ただこれらの議論は、既に経済産業省が情報大航海プロジェクトやその後のクラウド振興に関するプロジェクトで検討を進めていたこともあり、一定の結論を得ることになるだろう。
これを踏まえたうえで、後者に挙げた「責任主体は誰なのか」というのが、恐らくは産業視点での大きな関心事となるはずだ。特に日本では、複数事業者がポイントカードに関する単一のプラットフォーム上で情報流通を進める「パーソナルデータの共同利用」が既に一般化している。こうした形態の許容範囲と規制の可能性に、これらの検討結果が直結する。ここまでの検討状況を踏まえると、消費者と直接相対する事業者が、消費者に対しての責任はもちろん、匿名化の状況把握を含めた、その後のデータ流通に関する責任も負うことになるだろう。
一見すると消費者保護の意識が強まり、産業側には厳しく見える。しかし、消費者と相対する事業者が責任を持つのは、ごく自然な商習慣といえる。また、責任分界点の明確化によって、新たなビジネスの興隆も期待される。議論が佳境を迎えている只中にあり、まだ結論を得ることはできない。しかし、法改正の方針が決まれば、こうした流れは一層強まるはずだ。
