某著名ブログで取り上げられたことによって、一躍脚光を浴びている「スマートフォン プライバシー イニシアティブ」なる総務省研究会*1の報告書(兼指針?)(案)*2。
残念ながら脚光を浴びた時点では、既にパブコメ提出期限ギリギリ、というタイミングになってしまっていたわけだが、筆者自身、この関係では平成22年の「第二次提言」以降の動きを十分フォローできていなかったので、記事をきっかけに現在の動きを改めて確認することができたのは、有難い限りである。
・・・で、その中身なのだが、39頁以降の「課題認識と具体的対応」の章を改めて読んでみても、概ねこれまでの議論の流れに沿ったものであり、そんなに意外感はない。
例えば、
「電話番号、メールアドレス、契約者・端末固有ID、ログインIDなどが情報単体では個人識別性がない場合でも、契約者の氏名等個人情報と容易に結びつく場合には個人識別性を獲得する」(43頁)
というのは、これまで個人情報保護法の規律を考える上で当然の前提となっていた話だし、IDそのものの個人情報該当性すら一部の論者から主張される風潮もある中で、
「契約者・端末固有IDについては、契約者・端末固有IDのみでは個人識別性はないと考えられる。」(43頁)
と断言したあたりなどは、むしろ情報を利用する事業者の側としては評価すべきことであろう。
もちろん、続けて、固有IDが「契約や端末によって一義的に決まり、利用者が変更することが困難」という点が強調されていたり、「特定の個人に関する多くの情報が同一IDに紐付けられると、個人識別性を獲得する可能性もある」と指摘されているあたりは、少々嫌らしいのだが、この報告書の中でも取り上げられている米国の新しい「個人データ」の定義*3などに比べれば、あくまで“可能性”の指摘にとどまっている分、実務へのハレーションは小さい。
また、
「マイニングすれば何か役に立つ情報を抽出できるかもしれない」等との意図の下、明確な利用目的を示さずに個人情報を取り扱うことは、法律第15条の違反となる可能性が高い」
「当初想定された利用目的のみをプライバシーポリシーに記載している場合に、その利用目的とは関係の薄い別の目的のために、本人の同意を得ないまま個人情報を取り扱うことは、法第16条の違反となる可能性が高い」
(47頁)
といった記載もあるが、いまどきの事業者であれば、何らかの利用目的は明確に示しているのが一般的だと思うし、それに向けられた過程での分析等であれば、それ自体を目的として明示する必要はない、という経済産業省のガイドラインQ&A*4なども存在しているところだから、そんなにハードルが高い話ではないと思う。
ゆえに、結論としては、この指針を「個人情報保護法そのものの解釈指針」という広い見地からみるとしても、そんなに大きな変化を伴う報告書ではない、というのが率直な印象である*5。
一方、「プライバシーの観点」からの検討内容については、第二次提言のもやもやっとした流れがより加速し、
「プライバシー権の侵害に当たる可能性」
が随所で連発されている点に、ちょっとした引っかかりを覚える方は少なくないのかもしれない。
しかし、これもあくまで“可能性”の問題に過ぎないし、仮に何らかの形で「侵害」と評価され得る場合があるとしても、利用目的等に高度の有用性が認められるならば、最近この領域でも流行りの受忍限度論に乗せて利益衡量した結果、違法性が否定される可能性だって存在する。
元々、事業者の「配慮」を法の規制よりも少し広いところに求め、「利用目的の明示」等についても、意識的に丁寧にやってください、というのが、このテーマにおける総務省(研究会)の一貫したスタンスであり、59頁以降の「プライバシーポリシー」に関するガイドラインも、そういう視点で見れば、さほど違和感なく眺めることができるのではないだろうか*6。
総務省とて、(経産省ほどではないものの)「利用者情報を活用したビジネスを一律に規制するのではなく、個人情報保護等と折り合いをつけながら推進させるべき」というスタンスには変わりがないはずで、上記のプライバシー指針も、そういった観点から自然に読めば、事業者に無理難題を強いるものではない、という受け止め方ができるのではないかと個人的には思うところである。
なお、元々、大量良質のデータを保有する事業者ほど、“石橋を叩いて渡る“ほどの慎重さで、おそるおそる事を進めている、というのがこの国の傾向だけに、今回の指針についても、最も厳格な読み方をすることによって、本来踏み切るべき事業者によるビッグデータの本格的活用がより遅れてしまう、という懸念は当然出てくるだろう。
だが、ギリギリのところでリスクを取りに行くような大胆さを必ずしも好まないこの国の「文化」に目を向けるならば、大手事業者の取り組みが、ある程度漸進的なものになってしまうこともやむを得ないのではないかと思う*7。
あとは、一部の悪質な事業者の存在と、そんな事業者が引き起こす極端な事例にばかり目を囚われるのではなく*8、健全な事業者が慎重に積み重ねた実績をもとに、健全なルールが築かれていくことを望むのみなのであるが・・・。
今はもう少し時を待ちたい。
*1:正確には「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」
*2:http://www.soumu.go.jp/menu_news/s-news/01kiban08_02000081.html参照。
*3:「集積されたデータを含むあらゆるデータであって、特定個人と結びつき得るもの」というもので、「スマートフォンや家庭用コンピュータの識別子等」が例として挙げられている。
*4:「最終的な利用目的を特定すれば足りますので、統計データへの加工の過程を利用目的とする必要はありません」とのくだり。
*5:なお、個人情報の保護、利用に際しての「水準」は、業界、ビジネス形態ごとに異なることも許容されているものであり、今回の「スマートフォン」に関するガイドラインが、あらゆるビジネスの場面に適用される事になるとは限らない、という点にも注意が必要だと思う。そもそも、総務省は個人情報保護法の所管官庁ですらない。
*6:なお、「企業法務マンサバイバル」では、「7〜8割方の企業のプライバシーポリシーは修正する必要が出てくる」とされているが、本当にそうなのか? 自分も、他企業のポリシーをそんなに丹念に研究しているわけではないので、数字を挙げて反証するのは難しいのだが、実務に照らして、ここに書かれていることがそんなに極端な内容だとは思えないし、「当初取得した同意の範囲が変更される場合、改めて同意取得を行う」という記述から、「みなし同意はNG」というところまで読む必要もないだろうと思う(一定期間経過で自動的にみなし同意、というのは、ユーザーのアクションが全く存在しないゆえに、確かに微妙かもしれないが、「変更周知後、利用者のサービスの利用をもって同意とみなす」という方法であれば、「改めての同意取得」と評価する余地は十分あるように思われる)。
*7:個人情報保護の話にしても、この分野のもう一つの大きなテーマである著作権の話にしても、ビジネスのスピードが上がらないのは、法制度の問題というより、簡単にリスクを取らせない我が国の文化風土の問題によるところが大きいのでは?と自分は思う。制度に関していえば、我が国以上に米国やEUの方が広く規制を及ぼそうとしている、という面もある中で、訴訟も恐れずリスクを取って自己のビジネスの正当性をアピールするか、それともレピュテーション的側面からのダメージを恐れて、開発済みの技術すら寝かせるか、というスタンスの違いはやはり大きい。
*8:概して、こういう事業者の引き起こす事例の方が、人々の耳目を引き付けやすいことは否定できないのだけれど・・・。
