データ・オーナーシップがビジネスに与えるインパクト

第4回 IoT・ビッグデータ・AIビジネスにおける、個人データの利活用に対する規制

IT・情報セキュリティ

目次

  1. 個人データの利活用に対する本人の関与
  2. 個人情報保護法における規制
  3. 識別情報を消去した個人に関するデータの利活用
  4. 個人データの利活用規制を踏まえたデータ管理のあり方
  5. 最後に

個人データの利活用に対する本人の関与

 個人情報を含むビッグデータについても、「データ・オーナーシップ」の考え方に基づいて、個人データとして利活用する場合には、そのオーナーである本人の関与を高めて本人の「納得感」を得ながらデータの利活用を目指すアプローチが提唱され1、個人情報保護法等による法規制への対応や本人のプライバシーに配慮した個人データの利活用のための仕組みの整備が推進されています。

 第4回では、個人情報を含むビッグデータの利活用において求められる、「データ・オーナーシップ」の考え方に基づく実務対応について解説します。

個人情報保護法における規制

(1)目的外利用の制限/第三者提供の制限

 機器等の稼働状況に関する情報といった産業用データと異なり、個人データに関しては、個人情報保護法上の義務として、利用目的の範囲外で利用したり、第三者に提供する場合に、本人の同意を得ることが求められます。

 たとえば、企業向けの健康経営支援サービスとして、顧客の従業員にウェアラブル端末を装着させて、当該端末から生体情報データを収集して分析し、健康不良等の従業員を検知して顧客企業に知らせるといったサービスを提供する事業者が、顧客企業の要望によって、過去に収集した顧客企業の従業員の生体情報データを、事後的に健康保険組合に提供して特定保健指導にも利用させるような場合、顧客企業との間の契約において利用権限を設定するだけでは足りず、当該従業員本人から同意を得る必要があります。

 このように、個人データを含むデータを利活用する場合には、誰が、いつ、どのような方法で、当該個人データの本人から同意を得るのかを考え、ビジネススキームを構築することが重要となってきます。

(2)Personal Data Store(情報銀行・データ取引市場)

 本人から同意を得て個人データを利活用するとしても、多数の個人から個別に個人データの目的外利用や第三者提供についての同意を求めることは容易ではありません。

 そこで、個人データの流通を促進するために、より容易に本人から同意を得る手段として、個人データに対するオーナーシップを持つ本人の関与を高めて、本人の「納得感」を得ながら利活用するためのインフラとしてのPersonal Data Store(PDS)2を構築する必要があると提唱されています。

 具体的には、本人が「情報銀行(情報利用信用銀行)」に自身の個人データを預託し、情報銀行が本人の指示に基づき、データを第三者(他の事業者)に提供するという制度や、データ保有者と当該データの活用を希望する第三者を仲介し、データの売買等による取引を可能とする「データ取引市場」等の構想が検討されており3、これによって情報を求める企業は、容易に多数のデータ主体(本人)から個別的に同意を得ることができるようになります。

【情報銀行のイメージ】

情報銀行のイメージ

出典:内閣官房IT総合戦略室「AI、IoT時代におけるデータ活用ワーキンググループ 中間とりまとめの概要」(平成29年3月)


【データ取引市場のイメージ】

データ取引市場のイメージ

出典:内閣官房IT総合戦略室「AI、IoT時代におけるデータ活用ワーキンググループ 中間とりまとめの概要」(平成29年3月)

(3)情報信託制度

 さらに、総務省において上記の「情報銀行」に加えて、「情報信託」制度の導入が検討されています。

 具体的には、「情報銀行」では、預託したデータの第三者提供係る全ての場面において本人に個別に判断させるため、本人の対応の負担が過大となるという弊害が生じることから、データの預託を受けた事業者が、データ保有者に代わって本人の指示またはあらかじめ指定した条件に基づき第三者提供の可否を判断し、本人またはデータ保有者に代わって提供する機能を提供するという「情報信託」が必要とされています4

 また、その普及のために、自らの個人データを提供する本人の不安を軽減し、安心・安全にデータを預けることを可能とする観点から、一定の要件を満たした事業者には、第三者による認定・公表を含め、客観的な基準の下に社会的に認知する仕組みの導入も必要とされています。

(4)データポータビリティの権利

 上記の「情報銀行」や「情報信託」のような仕組みを実現するためには、個人データを本人の「手元」に置き、その意思により管理可能としたうえで、データを必要に応じて提供できることが必要となります。

 しかしながら、昨今、個人に関するデータは、GoogleやFacebook等のいわゆるプラットフォーマーといわれる事業者によって収集されて囲い込まれているため、上記の仕組みを実現するためには、本人が各種サービスを通じてプラットフォーマーに提供した自身の個人データを、他の事業者に提供するためにデジタル形式により還元を受け、あるいは他のデータプラットフォーマーへ移転させることができる制度、すなわち、「データポータビリティ」の権利5が重要となってきます。

【データポータビリティの仕組み(概観)】

データポータビリティの仕組み(概観)

出典:産業構造審議会情報経済小委員会 分散戦略WG「中間とりまとめの概要」(平成28年11月)

 また、IoT推進コンソーシアム、総務省、経済産業省によって「データ流通プラットフォーム間の連携を実現するための基本的事項」(平成29年4月公表)が取りまとめられ、データ利用側がデータを利活用しやすい仕組みを市場全体で整備するために、データ利用側が複数のデータ流通プラットフォームに対して、同一の検索ワード・方法でデータを検索・発見することが可能となるようなデータカタログの整備や、データ流通プラットフォームの相互連携を可能とするために、提供データのカタログ情報の交換や検索をするためのカタログ用APIの整備が進められています。

 このようなデータ流通プラットフォームの相互連携によって、将来においてデータポータビリティの権利が認められた場合に、本人の指示によるプラットフォーマー間での個人データの移転に活用できるものと思われます。

(4)個人データの資産化

 以上のような制度は、個人データを個人のデジタル資産とみなして、これを可搬できるようにするというものであり、データの資産化と捉えることもできる6との指摘もあります。その結果として、企業は個人データを収集するために、本人に対して一定の対価または便益を提供することが必要となり、情報は無償で利用できるという常識が大きく変容することも想定されます。

識別情報を消去した個人に関するデータの利活用

(1)匿名加工情報

 他方で、企業における情報の利活用のニーズとして、必ずしも氏名等の個人を識別する情報は必要なく、匿名加工を行ったデータを利活用することもあります。このような場合には、個人データとして第三者提供を行うわけではないため、本人の同意は不要であると理解されるかもしれませんが、単に氏名等を削除したり、イニシャル等に仮名化して提供するだけでは、非「個人データ」にはならない点に注意が必要です。

 実際にその点が問題となった事例として、大手交通系企業によるICカードの乗降データの提供の事案があります。氏名等の識別情報やICカードの固有のID番号等を消去して乗降データを提供していましたが、当該提供元である大手交通系企業においては、加工された提供用データと元データとを照合することで容易に個人を識別することが可能であり、加工された提供用データも未だ個人データであるとして、オプトアウト手続を行わなかった点を批判されました。
 すなわち、第三者提供の際の「個人データ」の該当性の判断は、提供先ではなく提供元において判断するとされていますので、提供先においては加工した提供用データから個人を識別できないとしても、「個人データ」への該当性を否定する理由にはならないのです。

 上記の事案が報道等で取り上げられたこともあって、企業は個人データを匿名加工して利活用することに対して萎縮しており、日本においてビッグデータの利活用が拡大しないことから、改正個人情報保護法によって「匿名加工情報」という概念が導入され、企業が個人データを匿名加工することで、本人の同意を得ることなく利用目的の範囲を超えた利用や第三者提供を行うことができる法的根拠が定められました

 もっとも、現状においても「匿名加工」の具体的な要求水準については明確とは言い難く7、改正法の施行後においても一般の企業において広く活用されているとは言えません。

(2)匿名加工医療情報

 上記のように、一般の企業による匿名加工情報の活用が進んでいない現状を踏まえて、国から認定を受けた特定の事業者に匿名加工を行わせて、個人データを匿名加工した情報の利活用を推進することが検討されています。すでに医療分野においては先行しており、本年4月に「医療分野の研究開発に資するための匿名加工医療情報に関する法律」(次世代医療基盤法)が成立し、来年施行される予定です。

 具体的には、本来個人データの第三者提供には原則本人の同意が必要であるところ、次世代医療基盤法によって、医療機関等があらかじめ患者本人に通知し、患者本人が提供を拒否しない場合には、患者本人の同意を得なくても、認定匿名加工医療情報作成事業者に対して医療情報を提供することができ、その後、当該事業者が提供された医療情報を匿名加工医療情報に加工したうえで、患者本人の同意なしに、製薬会社、研究機関や大学等に提供できるという仕組みです。

「医療分野の研究開発に資するための匿名加工医療情報に関する法律」(次世代医療基盤法)のイメージ

出典:内閣官房 健康・医療戦略室 次世代医療ICT基盤協議会「医療分野の研究開発に資するための匿名加工医療情報に関する法律案の概要(次世代医療基盤法案)

個人データの利活用規制を踏まえたデータ管理のあり方

(1)個人データの管理のあり方

 以上のように、個人データについては、個人を識別できる個人データのまま利活用する場合、「データ・オーナーシップ」の考え方から、本人の納得感が得られるように、本人の管理の下で利活用・提供を行う方向で制度設計がなされています。

 個人データの収集に関しては、上記のような個人データの資産化が進むと、無償で収集することは困難となるため、今後制度化されるシステムを踏まえて、どのような便益や対価をどのような方法で提供するのか検討することが求められます。

 また、収集後の個人データに関しても、自社の情報として自由に利用できるものではなく、データポータビリティの対象となり、本人からの還元や移転への対応を行うために一定の管理コストを負担することになっています。

(2)匿名加工データの管理のあり方

 個人を識別する情報を含まない匿名加工された情報を利活用する場合に関しては、今後認定事業者による加工と提供が繰り返されることで、匿名加工における実務的な相場観が形成されることが期待されます。このような実例が重ねられることで、一般の企業においても匿名加工情報を作成して利用するような取組みが進み、匿名加工データの利活用が促進されるものと思われます。

 また、今後、一般の企業においても大量の匿名加工データが様々な分野において収集・利活用されることが想定され、それらのデータの組み合わせによって個人が識別されてしまうおそれが高まってきます。そこで、匿名加工データと個人データの照合がなされて、個人が識別されることがないように、社内において「匿名加工情報データベース等」と「個人情報データベース等」とを分別して管理するような仕組みが重要になってくると思われます。

最後に

 以上のように、全4回にわたって、「データ・オーナーシップ」がビッグデータを利活用したIoT・AIビジネスに与える影響について解説してきましたが、データに対する「所有(オーナーシップ)」というものが観念されることで、これまでの情報管理の常識が大きく変わり、データの資産化が意識されるようになっていくと思われます。

 これまでは、ビジネスにおける付加価値は「情報」によってもたらされているにもかかわらず、無形資産としての「情報」には、特許発明や著作物といった限定的な情報を除き、その重要性に見合った法的保護を与えられてこなかったわけですが、「データ・オーナーシップ」の流れは、このような現実と法制度との乖離を是正するものであり、ごく自然なことで望ましい方向にあると思われます。

 筆者としては、そのような法制度の変容によって、企業においても、ビジネス上重要なデータに関しては、有形資産と同様に、重要度に応じた適切な管理を行わなければならないという意識が根付き、不適切な情報管理による情報漏洩がなくなることを切に願う次第です。


  1. 産業構造審議会 商務流通情報分科会 情報経済小委員会 分散戦略WG「中間とりまとめ」(平成28年11月) ↩︎

  2. 他者保有データの集約を含め、個人が自らの意思で自らのデータを蓄積・管理するための仕組み(システム)であって、第三者への提供に係る制御機能(移管を含む)を有するもの ↩︎

  3. データ流通環境整備検討会 AI、IoT時代におけるデータ活用ワーキンググループ「中間とりまとめ」 ↩︎

  4. 総務省 情報通信審議会 情報通信政策部会 IoT政策委員会 基本戦略ワーキンググループ「データ取引市場等サブワーキンググループ取りまとめ」 ↩︎

  5. EU一般データ保護規則(General Data Protection Regulation:GDPR)20条Right to data portability「データ主体は、当該データ主体が管理者に提供した当該データ主体に関する個人データについて、構造化され、一般的に利用され機械可読性のある形式で受け取る権利があり、当該データを、個人データが提供された管理者の妨害なしに、他の管理者に移行する権利がある。」(一般財団法人日本情報経済社会推進協会による仮日本語訳) ↩︎

  6. 産業構造審議会 商務流通情報分科会 情報経済小委員会 分散戦略WG「中間とりまとめ」(平成28年11月) ↩︎

  7. 経済産業省「事業者が匿名加工情報の具体的な作成方法を検討するにあたっての参考資料(「匿名加工情報作成マニュアル」)」(平成28年8月)、個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」(平成29年3月一部改正)、個人情報保護委員会事務局「パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」(平成29年2月) ↩︎

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する