筆者らは2011年より,データ対象者のプライバシーを適切に保護できるパーソナルデータ流通基盤として,Privacy Policy Manager(PPM)の設計と開発を行ってきた.本稿では特にプライバシー保護の観点から必要となる要件定義を中心として,PPMの設計について説明する.次に筆者らがこれまで進めてきたPPMのプロトタイプ開発について紹介する.さらに,2013年に行ったPPMの実証実験,および経産省ベストプラクティス認定について紹介する.
1.はじめに
1.1 Privacy by DesignとPrivacy-First
Privacy by Designは,Ann Cavoukianが1990年代から提唱してきた概念である[1].Privacy by Designとは,「プライバシー侵害のリスクを低減するために,システム開発において事前にプライバシー対策を考慮し,企画から保守段階までのシステムライフサイクルで一貫した取り組みを行うこと」とされている.プライバシー保護制度の在り方については世界的に議論されているところであるが,ビッグデータ時代の制度設計にあたっては,Privacy by Designの考え方を組み込んで検討されるに至っている.
近年はクラウドサービス等により,国境を越えたパーソナルデータ☆1の流通がきわめて容易になってきている.このような変化に対応するため,OECD(経済協力開発機構)が2013年7月にプライバシーガイドラインを改正したほか[2],米国において2012年2月に消費者プライバシー権利章典が公表され[3],EUにおいても2014年3月に個人データ保護規則案が欧州議会本会議において可決[4],さらに継続検討が行われるなど,個人情報の保護およびプライバシーに関する議論や法整備が進んできている.これらの議論の基礎にPrivacy by Designは大きな影響を与えている.
このような状況を踏まえ,我が国においても世界中のデータが集積し得る事業環境に対応するために,パーソナルデータの利用・流通とプライバシー保護の双方を確保すべく個人情報保護法の改正に向けて検討が開始され,2014年6月に法改正に向けての政府大綱が示された[5].本改正では,保護されるべき個人情報の範囲を明確にしつつ利活用を推進する条件を整備する,プライバシー保護に関し独立した第三者委員会を設置する等の指針が示された.2015年1月には通常国会に法改正案等が提出予定である.
