2017/07/06
フリーランスライター 吉田育代
Suica利用履歴のビッグデータ分析での活用が大きく話題となる中、前編では、IT法務に詳しい弁護士法人 内田・鮫島法律事務所 パートナー弁護士 伊藤雅浩氏とともに、何が問題だったのかを中心に指摘した。
後編では、前編の問題点をふまえた上で、具体的にどう動けばいいかを解説。
企業はビッグデータ活用に関してどう配慮すべきか
ビッグデータを活用する際、具体的にどう動けばいいか。今回の取材の中で、伊藤氏は総務省が主管している「パーソナルデータの利用・流通に関する研究会」(座長:堀部政男 一橋大学名誉教授)で取りまとめられた「パーソナルデータの利用・流通に関する研究会 報告書 ~パーソナルデータの適正な利用・流通の促進に向けた方策~」という報告書(以下、総務省 パーソナルデータ報告書)について言及しながら解説した。
この報告書は、パーソナルデータ(個人に関する情報)の適正な利用・流通の促進に向けて、パーソナルデータの利活用のルールを明確化する目的で作成された研究会からの“提言”である。2013年6月12日に公表された。
パーソナルデータとは、従来の個人情報よりもう少しスコープの広いデータを指すようで、報告書の中では、パーソナルデータがそのプライバシー性によって大きく3つに分類できるとされている。
①一般パーソナルデータ
保護されるパーソナルデータのうち、プライバシー性が高くないもの。本人を識別する目的での氏名、本人の明確な意志で一般に公開された情報など。
②慎重な取り扱いが求められるデータ
保護されるパーソナルデータのうち、プライバシー性が高いもの。電話帳情報、GPSなどの位置情報、通信履歴情報などスマートフォンやタブレット端末に蓄積されるような情報、購買、貸し出し履歴など継続的に収集される情報など、
③センシティブデータ
保護されるパーソナルデータのうち、プライバシー性が極めて高いもの。思想、信条および宗教に関する情報、人種、民族、門地、身体・精神障害、犯罪歴など社会的差別の原因となるおそれなる事項に関する情報、健康又は性生活に関する情報など
まずは、扱おうとしているデータがこれらの分類に該当するかどうかを考えてみよう。上記に照らして大丈夫だと判断した場合でも、すぐに安心するわけにはいかない。以下、データのライフサイクルプロセスにしたがって配慮すべき点を考えてみた。重要なポイントに関しては、伊藤氏にアドバイスをいただいた。
データのライフサイクルプロセスにおける配慮すべきポイント
1、データを集める
個人からデータを集める際には、データの本来の持ち主に対して、利用の目的を必ず“事前に”“個別的”かつ“明示的に”説明しなければならない。
「拡大鏡で見なければ読めないような小さいフォントで書いた規約を渡して、何か言われたら『ここに書いてあります』と釈明するような、だまし打ちのようなことをしてはいけません。新しい概念のサービスをうまく提供している企業は、イラスト入りの説明サイトを設けて理解を促すなど、顧客とのコミュニケーションにエネルギーを割いています。そうすべきだと思います。
また、今すぐ予定はないけど将来利用するかもしれないから、できるだけ広い抽象的な目的で許諾を取っておきたいという企業もありますが、曖昧な表現でごまかすのもダメです。あくまで今予定されている範囲でとどめるべき。将来必要になったら、そのときまたあらためて同意を取るようにしましょう」
総務省 パーソナルデータ報告書にもあるのだが、そのデータを取得の際の経緯(コンテキスト)に沿った使い方をするか、そうでないかによっても同意の取り方は違ってくるようだ。取得の際の経緯とは、たとえば、商品を届けるために住所を知ろうとするのは、理にかなった情報取得である。しかし、顧客管理のために集めた資産情報を別の金融業者に転売するのは、明らかに別の目的で情報を利用している。取得の際の経緯に沿わない目的で利用するときには、そのためにきちんと同意を得なければならない。
こう説明すると、プロセスが面倒だと、言わずに隠れて実行するような企業が出てくるかもしれない。それこそ企業コンプライアンス上一番やってはいけないことだと、伊藤氏は力説する。表面化したときに企業が受けるダメージが大きいからだ。根底には、プライバシーに関して抱いている感覚は人それぞれだという事実がある。9割の人が同意するとしても、だからといって勝手に進めていいということにはならない。違いがあることを認識し、個人の意思を尊重することが何より重要だと伊藤氏は語る。
2、データを購入する
自社でデータを集めるのではなく、これからはデータを買って分析するケースも出てくるだろう。その際に注意すべきは、そのデータの“出所”である。
「適切な取得がなされていないデータだと知りながら使うのは論外ですし、出所の怪しいデータも使わないことにこしたことはありません。データを購入する場合は、それがどのように取得されたものかを提供元に報告を求める必要があるでしょう」(伊藤氏)
3、自社でデータを加工する、第三者にデータ加工を依頼する
このプロセスで気をつけるべきは、当然のことながら情報漏えいである。収集したデータに対するアクセス権限や取り扱いには十分気を配り、第三者に加工を依頼する際には、プライバシーマークの取得など体制をしっかり確認して、信頼できる事業者に発注するべきなのは言うまでもない。
4、データを活用する
ビッグデータから得られた知見を実際のビジネスに展開する場合も、顧客へのアプローチには留意しよう。詳細な情報把握をあまり露骨に示して、顧客が“監視されている”と感じてしまったらマイナスだ。「私のことをわかってくれてありがとう」と「どうしてそこまで知っているの?」との差は紙一重。そのアプローチが顧客の目にどう映るか、常に意識しておくことは重要だろう。
5、データを販売する
膨大なデータは汎用的な価値を持つ。データを取得している企業は販売を請われるケースも今後出てくると思われるが、Suica履歴情報で見たように、対象のデータがほんとうに個人情報でないか、プライバシー侵害に抵触しないか、慎重に検討した方がいいようだ。
「通りいっぺんの尺度ではなく、自社としてほんとうに流通させていい情報かどうかをしっかり判断すべきだと思います。完全に統計情報に加工してしまって、セグメントやカテゴリの傾向しかわからない、個人の情報は一切出てこない、というなら問題ありませんが、生の情報が混じるなら、さらに社内で議論を重ねることをお勧めします」(伊藤氏)
面倒がらずにこまめに動いて、気持ちよくデータを使おう
伊藤氏が言及した総務省 パーソナルデータ報告書は、パーソナルデータに関する基本的な考え方、EUなど法令も制定されつつある世界各国での取り組みの状況、パーソナルデータの具体的な活用事例などが豊富に説明されていて参考になる。ここで示された方向性が直ちに法的強制力を有するわけではなく、法令整備という点ではまだまだこれからとなる模様だが、今後ビッグデータを活用していこうという企業にとって一定の指針になると思われるので、一読をお勧めする。
総務省 パーソナルデータ報告書
http://www.soumu.go.jp/menu_news/s-news/01ryutsu02_02000071.html
伊藤氏は、IT法務に携わる立場として、ビッグデータ利用は企業にとって決して悪い話ではなく、その気運に水をさしたいわけではない、と語る。膨大なデータを分析することによって新しい知見が得られることは、社会にとっても企業にとっても大きな進歩につながるからだ。
「だからこそ、その元となるデータの取得と取り扱いに関しては、透明性を確保するなど、適正に行うべきなのです。そのデータが個人に関わるものであるのなら、面倒がらずにこまめにコミュニケーションを取って同意を取り、気持ちよく使ってこそ社会の発展に意味があるのだと思います」
と、伊藤氏。
筆者もまったく同感である。
吉田育代 (よしだ いくよ)
企業情報システムや学生プログラミングコンテストなど、主にIT分野で活動を行っているライター。
著書に「日本オラクル伝」(ソフトバンクパブ リッシング)、「データベース 新たな選択肢―リレーショナルがすべてじゃない」(共著、英治出版)などがある。翔泳社「DB Magazine」の企画でOracle Master GoldやLinux+を取得したことがある。技術評論社「SoftwareDesign」2012年2月第一特集「技術力+α IT市場の転換期を生き抜く」を担当。全国高等専門学校プログラミングコンテスト審査員。趣味は語学。英語と韓国語をそこそここなし、現在、カンボジア語 も学習中。
![地方自治体で広がるデータ活用・データ分析の取り組み [2016年11月26日(土)オープンガバメント推進協議会公開シンポジウム]](https://bdm.dga.co.jp/wp-content/uploads/2016/09/e9f52ed185c3179f4e6674d9459ffb02-250x150.jpg "地方自治体で広がるデータ活用・データ分析の取り組み [2016年11月26日(土)オープンガバメント推進協議会公開シンポジウム]")
