○
寺田参考人 モバイル・
コンテンツ・フォーラムの
寺田と申します。
本日は、貴重な
機会をいただきまして、まことにありがとうございます。
まず、モバイル・
コンテンツ・フォーラム、略してMCFと申しますが、当
団体について簡単に御説明させていただきます。
スマートフォン、
皆さん、持っていらっしゃる方も非常に多いかと思いますが、この市場の拡大に伴って、三年で市場規模で二倍、今三兆余りになっている、非常に新しい業界で急激に伸びている、そういった
団体になります。
その一方で、
スマートフォン、これまでにも問題があったとおり、皆様の
個人情報、いろいろ
漏えいしたりとか勝手に
取得したりといった問題が多くありましたので、それに対して三年前に
ガイドラインをつくり、
プライバシーを守っていく、そういった活動を非常に重視している
団体でもあります。
お手元の資料を
参考に、順番にお話をさせていただきます。
四
ページのところに要旨をまとめさせていただいております。
グローバル化の対応、あるいは変化への対応の迅速化、それに、
事業者だけではなく、官民挙げて、
消費者も含めて、マルチステークホルダーでいろいろと
考えていきましょうということで、今回の
法案、私
どもは非常に評価しております。
その一方で、まだ
議論が十分ではない
部分、あるいは、運用を間違えるとかえって規制になってしまうような
部分、そういったところがあるのではないかというふうに危惧をしております。こういった
部分に関しましても、マルチステークホルダーで
バランスのとれた協議をしながら決めていけるような、そういった
制度にしていただきたい、そういうふうに
要望しております。
続きまして、具体的な
内容になりますが、こちらの方はこれまでの審議の中でも随分さまざまなお話があって、明確になってきた
部分もあるかと思います。ですので、重複する
部分はあるのですが、改めて私
どもとしましての
要望等についても述べさせていただきます。
まず、
個人情報の
定義についてです。
こちらは、まだまだ決めなければいけない
部分はたくさんあるかと思います。曖昧な
部分、
個人情報だけではなく、例えば要
配慮個人情報、こういったところに関しても、具体的に何が該当するのかといったところに関してまだまだ
議論が足りていないところがあるのではないかというふうに感じております。
こういったところで、実際に現在一般的に使われているようなもの、特に要
配慮個人情報では、
事業者サイドで気にしていることは、病状といったところで例えば風邪、身分に関しましても社会人とか学生とか、こういったものまで何らかの影響があるのではないかという心配を持っております。
そういったことが、あり得ないとは思うんですが、
明確化するためにも、こういったところというのは、ぜひ、業界
団体あるいは
消費者の
方々ともコンセンサスをとりながらしっかりとしたものをつくっていけるように、そういったことを期待しております。
続きまして、
匿名加工情報につきましてです。ここは七
ページになります。
匿名加工情報という
言葉それから
定義、こういったものが非常に新しいものになっております。本来は、安全に
利活用できるようにするための仕組みとしてつくられたものだというふうに理解しておりますが、幾つか気になる点がございます。
一つ目の、復元できないようにしましょうという、こういった
部分。当然のことながら、暗号化したものを総当たりで解いていくといった非現実的なこと、こういったことにはならないとは思いますが、やはりどこかできっちりと、一般的に見て簡単には復元できないといったような
表現というのが必要ではないかなというふうに感じております。
大きな問題としては二つ目になります。
いわゆる
匿名加工情報、何らかの
個人情報を加工した場合に全て
匿名加工情報になってしまいます、それによって新しい規制がかかってきますという
部分に関しては幾つか問題がございます。
一つの
企業の中で業務委託をする場合、
安全管理措置として、不必要な
情報というのはもう削ってしまいましょうといった形で委託先に出すことが多いんですが、これを
匿名加工情報であると
定義づけされてしまいますと、
個人情報として扱っている、その上にさらに、
匿名加工情報として公表しなければならないとか、一定の
方法によらなければ加工することができないとか、こういった二重規制がかかってきてしまう、そういうおそれがあります。
現実的にそういうことが起こらないようにというのを今後皆様との間でしっかりとお話をしていかないといけないと思っていますが、こういった運用上気になるところというのがありますことをぜひ認識していただきたいと思っております。
八
ページ目のところになりますが、これも同じような意味合いのところがございます。
項目を公表しましょう、どういった加工をしたのか、その加工の
内容について公表しましょうといったような
内容になってしまうのですが、これは、一律に決めてしまいますと、わざわざ、どういった加工をしたんですよというヒントを外部に漏らしてしまうことになります。せっかく安全のために加工したにもかかわらず、それを復元化しやすいような、そういった
内容を公表するようなことになっては本末転倒でございますので、こういった点についてもしっかりと
議論していただきたいと思っております。
九
ページ目以降、私
どもが最も今回お話ししたいところでございます。
自主規制ルールの活用ということになります。
こちら、
パーソナルデータの
制度改正大綱では、民間の自主的な取り組みを活用とありまして、大きな柱の一つになっておりました。ところが、今回の
法案の中には余りうまく
表現されていないというふうに感じております。
個人情報保護委員会で非常に膨大な量を決めていかなければいけないというのは現実的にかなり無理があるだろうと思っています。それに関して、民間をしっかり使っていただきたいというのがあります。
どれぐらいこの後決めなければいけないことがあるかと申し上げますと、実は、後ろ二
ページほど、
参考資料として、今回の
法案でまだ決まっていない
内容というのがどれほどあるのか、それをどこで決めなければいけないのかということを簡単にまとめさせていただいております。これだけのものを決めていく、しかも、
議論が非常に複雑なもの、高度なものがございます。こういったことに関しては、ぜひ民間をうまく使っていただきたいと
考えております。
この
部分に関して、運用上で何とかしましょうというお話もあるかとは思いますが、ぜひどこかで民間の使い方についても言及していただきたいなと。場所でいきますと、
個人情報保護委員会が今後
基本方針というのを策定されるかと思います。こういった中でぜひとも
表現していただければいいのではないかというふうに
考えております。
十
ページ目、同じく活用についてなんですが、こちらの方で、
指針について、認定
個人情報団体にてマルチステークホルダーによる
会議を経て決めましょう、そういった
内容が書かれております。しかしながら、これに関して何らかのインセンティブというのがどこにもない状態になっています。
極端な話をしますと、民間で手間暇かけて
指針をつくってください、それ以降に関しては全て
委員会の方で権限を行使して
執行いたしますというような読み方になります。投げられてしまった後、
認定個人情報保護団体に、肝心の権利であったりとか何らかの
執行をする、そういったものが持たされていない、インセンティブがないという状態に陥っています。
こういった
部分に関しましても、ぜひとももう一度、今後の
議論の中で、
認定個人情報保護団体が何をすべきか、そのためには何を与えるべきか、そういったことについても
検討していただきたいと思っています。
特に、問題が発生しましたといったようなときに、
認定個人情報保護団体を通さずに直接
企業さんの方に権限を行使するといった場合には、
認定個人情報保護団体がすべき実際の仕事というのが失われてしまうことになります。
こういったことがないように、あるいは、せっかくマルチステークホルダープロセスでつくっていく非常に高度な
内容、しかも
消費者の
方々との間でコンセンサスがとれたものになりますので、こういったものは
委員会規則であったりそういったところにさらにフィードバックして反映させていただけるような仕組み、そういったものもぜひ
考えていただきたいと思っています。
参考資料として十一
ページ目、これは欧米の仕組みです。
こちらの方は、
EUの方でも現在の規則案とかそういった中で
表現されています。二月に発表された
アメリカの方の
プライバシー法案のドラフトに関しても、明らかにここに書かれている
内容そのものをベースとしたドラフト案となっております。こういったところをぜひ意識していただいたような、そういった
内容で
考えていただきたいと思っております。
続きまして、十二
ページ目、
第三者提供に係る確認及び
記録の
作成についてになります。
こちらは、先ほど
長田様の方からもお話がございましたとおり、煩雑な
記録、必要以上の
記録をとらなければいけない、確認をとらなければいけないということになること、これを一番危惧しております。
特に、
内容の多少細かい
部分になるんですが、こちらはもともと
データベース、いわゆる名簿を意識したようなものとしてつくられたものであったんですが、例えば
データベースを一件一件に分けてしまって出していくような形になると、潜脱行為的なところ、脱法的なことになるということで、
データベースではなく
個人データという書き方に変わっております。これによって脱法行為的なものは抑えられることになりましたが、そのかわりの副作用というのが非常に大きく出てきてしまっております。
SNSであるとかブログ、こういったものを閲覧するとか、これが
第三者提供に当たるのか当たらないのか、ここはまだまだ
議論が尽くされていないところはあるんですが、こういったものまで
第三者提供に当たるということになってしまいますと、違法な書き込みがあるのでそこを確認してくださいといって
事業者が見に行った場合、その瞬間に
第三者提供になりますということになると、一件一件全て
記録をしていかないといけない。しかも、その
記録の
内容が、受ける側、受領する側には、氏名または名称、それから住所というものが既に
法律の中で必須事項のように書かれてしまっています。
本来、ネット系の世界では、IPアドレスであったりとか通信ログ、まあIPアドレスは住所に当たるものですけれ
ども、こういったものを使うことでトレーサビリティーというのが確保されているにもかかわらず、住所といったようなものが加わってしまうというのは非常に、そういった運用になってしまった場合には、現実的にやることができるのかといえば不可能に近い状態に陥ってしまいます。こういった点につきましても、ぜひとも
議論していただきたいというふうに
考えております。
最後、十三
ページ目、十四
ページ目、こちらはこれまでにも
委員会の中で何度もお話があったことかと思いますが、簡単にざっとまとめさせていただいております。グローバル対応です。
最も私
どもが危惧しておりますのは、
日本だけが特別な形になってしまいました、であればサーバー群は海外に置いた方がいい、さらに、海外から
日本に進出しようとしている
企業も、
日本の中にサーバーを置いたりとか
日本の中に
事業所を置くことはせずにオフショアから全てコントロールするような、そういったことが起きないように、
日本が不利な
立場に置かれないようにということをぜひ今後とも詰めていただきたいと思っております。
それから、
個人データの遅滞なく消去ということで、集めた
データは必要がなくなれば消去してくださいということなんですが、これは必要がなくなった
段階というのが非常に難しい判断を求められるところがあります。こういったところにつきましても、一定
程度は我々
事業者を
信頼していただく形で、それについては
指針でしっかりと手当てをしていくという形で
考えていただければと思っております。
安全管理措置、こちらにつきましても、現在、さまざまな民間
団体による認定基準というのが
存在します。
プライバシーマークもそうですし、ISMSとかさまざまなものがございますので、こういったものを民間
団体と連携しながらうまく活用していただければというふうに思っています。
それから、
認定個人情報保護団体、こちらは今後非常に重要な
立場になってくるかと思います。とはいえ、簡単に民間のところからどんどん立ち上がってこられるのかといえば、そう簡単なものでもございません。
団体を認定する基準といったものがどういうものであるのかというものも含め、
手続等、この
法律が
施行されてからさあ立ち上がりますという状態でやると、いつまでたっても具体的に業界の中で規律を守っていくことができないということになりますので、できるだけ早い
段階からぜひ政府として支援をしていただきたい、そういったことを
考えております。
さらに、専門
委員、こちらの方も、
委員会の中あるいは各
団体からもお話があったかと思いますけれ
ども、特に我々新興の業界
団体、こういったものというのは、なかなか、政府の皆様との
関係というのは多くございません。
委員会、専門
委員とかをつくられた際に、
委員として選ばれる
可能性というのが非常に低い、そういったところがございますので、ぜひ、そういったことに関しても、今後、業界が広がっていく、そういった中で
検討していただければというふうに思っております。
以上、私からの
意見になります。どうもありがとうございました。(拍手)