専門家に聞く｢炎上しない｣個人情報の扱い方

2024年2月5日 5時10分

高木浩光（たかぎ・ひろみつ）／情報法制研究所（JILIS）副理事長。1967年生まれ。94年名古屋工業大学大学院博士後期課程修了、博士。2016年に研究者らと政策提言団体「情報法制研究所」を設立。共著に『ニッポンの個人情報』（翔泳社）など（撮影：梅谷秀司）

データは金になる――。長い間そう言われてきたが、試行錯誤の末、ようやくビジネスが開花し始めた。

『週刊東洋経済』2月10日号の第1特集は「データ錬金術」。情報を金に換えるノウハウを先達から学ぼう。

──個人情報を扱ううえで気をつけるべきはどのような点ですか。

まず個人情報保護法に対する誤解がある。

「個人情報を保護する」法律と思いがちだが、個人情報の処理から個人を保護するもの。保護する対象は個人であって、情報そのものではないという点だ。

また個人情報というと、氏名、年齢、住所など個人の特定につながる情報だというのも誤解だ。法律の対象は、そうした一つひとつの情報ではなく、いくつかの情報が並んでその人を評価するために整理された「個人データ」全体であることに注意が必要だ。

データによる差別

最も大事なのは、「関連性の原則」だ。データが集められて個人の評価に使われるようになると、データによる差別が発生する。そうしたことから個人を保護するため、評価・決定の目的に直接関連する情報しかデータにしてはいけないというものだ。

──どういうケースが考えられますか。

例えばお金を借りる際に、過去の返済実績や資産の保有状況、そして仕事の状況といった、返済能力に直接関連性のある情報で評価するのは構わない。

しかし、動画の閲覧履歴などから「こんな動画を見ている人はお金を返さない確率が高い」といった分析がAI（人工知能）ではじき出されたとしても、返済能力とは直接関連性がないものに基づく評価・決定は統計的差別に当たるのだ。たとえ相関関係があるとしても許されない。

これは、日本の個人情報保護法が参考にしているOECD（経済協力開発機構）のプライバシーガイドラインの原則にもはっきりと書かれている。しかし日本ではそうした意識が薄い。

欧州などで問題となっているターゲティング広告も、関連性が問われている。購買履歴に基づいてその店の商品を紹介するのであればいいが、他店の購買履歴に基づいたものは関連性がないからだ。

──個人情報の議論では「本人同意」も問題になります。

個人の評価・決定に使わないのであれば、法律の趣旨からして問題とならない。代表的なものでいえば統計だ。例えば製品開発にデータを使う場合、既存の個人データを統計にして使用するのであれば、本人に関する決定に使うわけではない。だから同意なくデータを2次利用して構わない。

問題となるのは、例えばリクナビ事件。就活生の内定辞退率を本人の同意なしに予測し、採用企業に提供していたことが問題となった事件だが、根本的には関連性のないデータによる評価・決定をしたことが問題だった。ウェブの閲覧履歴は相関関係があったかもしれないが、内定辞退とは直接関係がないからだ。

JR東がSuicaのデータ販売で炎上

──JR東日本がSuica（スイカ）のデータを販売した件も炎上しました。

あの事件は統計にして販売するのであって、本人の評価・決定に使う目的ではなかったので、全体としては問題ではなかった。ならばなぜ炎上してしまったのか。それは「氏名を削除しているから個人情報ではない」と言ってしまったからだ。もしそれが個人情報でないなら法律の規制が及ばず、「転々流通」を許すことになってしまう。日本の個人情報保護法はこれを規制していた。

ちょうどその頃、欧州では氏名を削除して「仮名化」しただけでは依然として個人情報であるということが再確認された。個人情報に該当すると使えなくなるわけではなく、規制の下で利用できるというルールだ。

ところが日本の個人情報保護法では、全体として統計目的であっても集計前の個人データを第三者に提供するのは規制されている。これは、厳しいといわれる欧州のルールよりも厳しい。

日本でも政府機関のルールでは、統計目的であれば第三者に集計させるのが許されている。民間のルールでは、立法時の経緯として、名簿業者を規制する狙いがあったため、それが許されていない。ここの規制を見直す余地はある。

進出したい企業が気をつけるべき点

──そういう意味では、個人データの外販は難しいのでしょうか。

規制を見直すとしても、外販した先がどのように使うかまで特定しなければ提供できないルールになるだろう。目的を定めない転売はいずれにせよ認められない。現行法で適法なやり方は委託方式だ。

データの加工や分析について、データを持っているところが自分でできない場合に、専門の処理業者にそれを委託して、集計結果を自らの責任で販売することだ。これは本人同意がなくても認められている。データの提供範囲が委託先までだからだ。転々流通しないというのがポイントだ。

ただし医療データなどで問題となるのが突合（とつごう）の必要性だ。A病院とB病院のデータをそれぞれ委託して突合し分析すると、新たな知見が得られるかもしれない、と考えがち。しかしAとBを交ぜて突合してしまうと、それはもう委託ではなくなってしまい違法な第三者提供ということになる。この点も規制を工夫する余地はある。

──データビジネスに進出したいという企業が気をつけるべき点は。

まずデータビジネス事業の設計段階から、データ化の目的を決めておく必要がある。とくに個人に何らかの決定を及ぼすのであれば、評価・決定の目的を決め、それに関連する情報のみでデータを構成するよう、事業を設計していくことが重要だ。そのうえで、評価・決定の公平性・正確性に注意を払う必要がある。

（聞き手：田島靖久）