○
参考人(
城田真琴君)
野村総合研究所の
城田と申します。本日は貴重な
機会をいただきまして、ありがとうございます。
これから述べさせていただく
意見ですけれども、私の所属する組織を代表するものではなくて、あくまで私
個人の考えということで御理解いただければと思います。
私ですけれども、ふだんは新しい
情報通信技術の
動向調査、それから、そういった新しい
技術が
企業活動や
社会にどういう
影響を与えるのかといったことを日々
調査、それから
研究をしております。
私は、最近の
調査の中では、二〇一〇年頃から
ビッグデータというものが
アメリカを中心に非常にこれから重要になるだろうというような動きを察知しまして、
調査活動を行ってきました。その
調査結果の
成果としまして、二〇一二年には
ビッグデータに関する
書籍を執筆いたしまして、それから二〇一五年、今年は
パーソナルデータに関する
書籍を執筆しております。その間、
経済産業省が主催しております
パーソナルデータワーキンググループの方の
委員も務めさせていただいておりまして、そういったこれまでの
調査研究活動の
成果に基づいた
意見ということで述べさせていただきたいと思います。
それでは、早速ですけれども、
資料に基づきまして
説明をさせていただきます。
一
ページのところに本日の
意見陳述のポイントを書かせていただきました。四点ございまして、
利用目的の
特定について、それから
第三者提供の
制限について、
プロファイリングについて、
子供の
個人情報の処理についてという四点ございます。
一枚めくっていただきまして、まず、
変更前の
利用目的との
関連性についてなんですけれども、第十五条の方で、
個人情報を取り扱うに当たっては、その
利用目的をできる限り
特定しなければならないと、そして、
利用目的を
変更する場合には、
変更前の
利用目的と
関連性を有すると合理的に認められる
範囲を超えて行ってはならないというふうになっております。
改正案の方では、
相当のという、
相当の
関連性を有するというふうな文言が以前はありましたけれども、こちらの方が削除されたということで、
利用目的の
変更可能な
範囲が拡大されることになったと理解しておりますけれども、その
範囲ですね、
本人が通常予期し得る限度内の
目的の
変更範囲というものはどこまでになるのかという点で是非慎重な検討をお願いしたいというふうに考えております。
例えばですけれども、先般の
議論でもございましたけれども、
スマートメーターなんかを使った
電気使用量の見える化といった
サービスがございますけれども、こちら、当初の
目的が省エネのアドバイスを行う、
変更後の
利用目的が
電気使用量の
傾向を分析して
安否確認サービスを提供すると。こういったものが果たして
変更前の
利用目的と
関連性を有すると合理的に認められるかどうかということなんですけれども、それ以外、こういった
電力使用量の見える化から何ができるかと申し上げますと、悪い
利用目的例でございますけれども、例えば
留守宅を分析すると。
電気が
使用されていない時間が分かれば、この時間にはこの家は
留守だということが分かってしまう。あるいは、お
風呂場の
電力の
使用量を見ていけば入浴時間というものが分かってしまうわけでして、
使い方によっては、非常に悪意を持った人が使えばこういった
使い方もできてしまうということでして、この
利用目的に関しましてはなるべくやはり
特定をして、広げ過ぎないということを御検討いただければというように考えております。
EUの方では、
データ管理者の正当な
利益が
消費者の
プライバシーリスクと比較して適切と判断される場合は、再度、
利用目的を
変更した場合に
同意を
取得する必要はないというふうにされておりますけれども、
データ管理者の正当な
利益に
必然性があるか、あるいは
本人が
パーソナルデータがどのように
利用されるのか想定できるか、そして
利用しやすい
オプトアウトを提供すること等が
条件というふうになっております。
一枚めくっていただきまして、三
ページですけれども、具体的に
EUの
データ保護指令二十九条
作業部会の方で、どういった
ケースで
同意が不要で、どういった
ケースで
同意が必要かというような具体的な例示が出ております。
同意が不要な場合ですけれども、例えば
スマートフォンの
モバイルアプリ経由で
ピザを注文して、その際に
マーケティング目的で氏名、住所の
使用を
オプトアウトしなかった
顧客に対して、後日、似たような商品の
割引クーポンを自宅に郵送する、この場合は
同意が不要です。一方で、
同意が必要な場合ですけれども、
ピザ屋が注文したある
顧客の注文
傾向を
保険会社の方に販売する、
保険会社はこの注文
傾向を健康
保険の
保険料の算定に活用すると。これはイメージが付くかと思いますけれども、
ピザを頻繁に注文しているお客さんは健康に何か問題が出るのではないかといったようなことを
保険料の算出に使うというものです。
それからもう一点、事例ですけれども、コンピューターストアが商品購入者に対して購入者の住所へ関連商品のダイレクトメールを送付したり、電子メールで新商品の案内を送信する、こういった場合は
同意が不要であると。ただし、
条件として、
本人から連絡先を
取得したり、メールを送信するたびに、簡単に
オプトアウトできる
機会を提供して、クリックストリーム
データなどを分析して
プロファイリングを行わないということが
条件となっております。一方で、
同意が必要な場合ですけれども、オンライン薬局が、
顧客の購買履歴を性別、年齢などの属性、ウエブの閲覧履歴と組み合わせて分析をしまして、妊娠や
特定の慢性疾患の可能性を予測したり、ダイエットサプリメントやスキンケア商品に対する購入確率を推測する。それから、それに基づいて処方箋の要らない医薬品や健康サプリメントのDMを送信する場合、この場合は
同意が必要であると。
つまり、
データ分析によって、例えばある女性が妊娠をしているとか、ある男性が
特定の慢性疾患にかかっていると、こういったことというのは、一般的には
本人はなるべく知られたくないというような
情報ですから、
データ分析によってこういったことが明らかになってしまう、こういう
ケースもございます。こういった場合に対して何かしらの配慮が必要ではないかというように考えます。
一枚めくっていただきまして、
利用目的の
変更が問題化した例ということで、こちらは海外の、オランダのカーナビメーカーのトムトムという会社の事例でございますけれども、このメーカーは、通常は、カーナビのユーザーから速度や位置
情報を収集して
匿名化した上で渋滞
情報などをリアルタイムに提供する、あるいは政府、自治体に道路計画の策定のために販売するということを行っていましたけれども、あるとき、オランダの警察にも
第三者を通じてこうした
データを販売していたと。
警察は、こういった
データを使いますと、どこの道路でどれぐらいのスピードが出ているかというユーザーの
傾向が明らかになりますから、どこにスピードカメラを設置すればよいのかというような計画策定に
使用していたということが明らかになりまして、これ、非常に
社会的に問題になりました。その後、このカーナビメーカーは、
プライバシーポリシーの方で警察には今後一切販売しないというようなことで、
プライバシーポリシーの
変更を余儀なくされたというようなことになっております。
それから、続きまして、一枚めくっていただきまして、
第三者提供の
制限についてでございますけれども、こちらは
オプトアウトの手段の提供という観点で、今現在、
第三者提供の場合に
本人の
同意を取らなくていい
ケースとして
オプトアウトというものが規定されておりますけれども、今の実際の企業の状況を見ておりますと、事業者によっては
オプトアウト手続が非常に煩雑で分かりにくいという
ケースがございます。
それから、十分な検討期間が用意されていないと。つまり、
第三者提供をしますよとホーム
ページの方に公開をして、それに気付かない
消費者はそのまま
自分の
データが
第三者に提供されてしまうと。それが例えば三十日ぐらい検討期間があれば、その間に
オプトアウトをして、
第三者に提供しないでくれということが申出ができるわけなんですけれども、全くそういった検討期間が用意されていないと、
本人が知らない間に
第三者に
データが提供されてしまうというような
ケースがございます。
ですから、事業者と
消費者側の
利益のバランスの観点からも、
ガイドライン等で周知の徹底を御検討いただきたいというように考えております。
続きまして、六
ページの方に参りますけれども、次は
プロファイリング、いわゆる
プロファイリングについての検討になりますけれども、
プロファイリングは、
パーソナルデータの
利活用に関する制度改正大綱の方で、継続して検討すべき
課題とするということでまとめられておりますけれども、現在の
情報通信技術の進展、例えばインターネット・オブ・シングスというような、日本語で言いますと物のインターネットですけれども、そういった
技術であるとか、
個人向けの
遺伝子検査、日本でも昨年から非常に提供する企業が増えてまいりましたけれども、そういった進展を見ていると、先延ばしにするのではなくて、できるだけ早急な検討が必要であるというように考えております。
こちらは、例えばSNS、検索履歴、それから購買履歴、あるいは遺伝
情報、こういったものを基にしまして、
個人の年齢、出身地、婚姻歴、趣味、資産
情報、それから健康
リスク、思想、信条といった非常に機微
情報を含むものまで
プロファイリングによって明らかにしていくと。
問題なのは、こういった
プロファイリングの結果が必ずしも正しい
情報とは限らないということです。ネットの上を見てみますと、明らかに
自分には関係ないようなことで誹謗中傷を受けるような
ケースもございます。
こういった
情報を、例えば就職志望の学生について企業がその学生の
名前を検索するとその学生に対する誹謗中傷なんかが出てくると、それが正しい
情報でない場合でもその
情報を基に就職ではねてしまうような
ケースも危惧される
部分があります。それから、同じような
ケースで
保険加入であるとかローン
審査あるいは住宅の賃貸、こういった
部分がいわゆる差別につながるおそれがあるのではないかと。
アメリカの場合は、公正信用報告法あるいは
遺伝子情報差別禁止法といったものが制定されておりまして、差別を禁止するような
法律は制定されておりますけれども、日本の場合はこういった
法律がないというところで早急な検討が必要であるというふうに考えております。
次、めくっていただきまして、七
ページの方はこの
プロファイリングについてですけれども、グーグルがどういった
情報を持っているかということで、左側はウエブの検索履歴からユーザーの年齢とか興味、関心事というものを
プロファイリングしたり、あるいは右側は、
スマートフォンのGPSをオンにしておくと、訪問した場所、移動ルート、移動距離、滞在時間、こういったものが一分単位で記録されているということで、こういったものを見ていくと、その人が所属している団体であるとか企業であるとか、そういったものから思想、信条といったものが明らかにされる
ケースもあるのではないかというように考えております。
それから、八
ページの方が、
プロファイリングに関連しまして、
アメリカの名簿屋と言われております
データブローカーが保有している
情報をまとめたものです。こちらですけれども、細かくは
説明いたしませんけれども、氏名、住所、電話
番号といった基本
情報以外にも保有する
情報というのは非常に多岐にわたっております。
こういった
プロファイリングに関する海外動向ですけれども、九
ページの方にまとめております。
EUの場合は、
データ保護規則の二十条で、
プロファイリングに基づく判断につきまして、
データ主体、簡単に言いますと、
消費者側が
プロファイリングに対する拒否権を持つということが明記されておりますし、
アメリカの方ではFTCがこの問題には非常に熱心に取り組んでおりまして、
データブローカーに対して透明性と
説明責任を果たすようにというような要請を何回にもわたって求めているというような状況がございます。
一枚めくっていただきまして、十
ページですけれども、こちらは、
プロファイリングに関して、
アメリカの場合はFTCが
データブローカーに対して何かしらの規制を行うというふうにさんざん、何回にもわたって告知をしてきたわけなんですけれども、それに先駆けて
データブローカーの大手の一社であるアクシオムという企業がそういった立法措置を、先手を打つような形で
自分たちがどういう
情報を持っているかというようなものを明らかにするために開設したポータルサイトの例でございます。こちらのポータルサイトにアクセスすると、どこから
情報を入手したのか、どういった
情報が記録されているのかと。例えば、
自分の年齢、性別、学歴、
子供の数、こういったものが確認できるようになっておりまして、
消費者の方がこの
内容を確認しまして、間違いがあれば修正ができるような、こういったものになっております。
それから、一枚めくっていただきまして、最後になりますけれども、四番目、
子供の
個人情報の処理についてということで、現在の
個人情報保護法の
改正案の方では、
子供の
個人情報の
取得について特段明記がされておりませんけれども、この
部分については、
個人情報の収集について禁止を検討するべきではないかと考えております。
EUの
データ保護規則の第八条、それから
アメリカの場合は児童オンライン
プライバシー保護法の方で、いずれも、
EUも
アメリカも同様ですけれども、十三歳未満の児童から
個人情報を収集するという場合は、親又は後見人、
保護者の
同意が必要であるというように定められております。
日本の場合は、十七条の方で、
個人情報取扱事業者は、偽りその他不正の手段により
個人情報を
取得してはならないということで、これに関連しまして、経産省の
ガイドラインの方では、親の
同意がなく、十分な判断能力を有していない
子供から親の収入
情報などの
家族の
個人情報を
取得する場合は不正の手段であるというように
定義がされておりますけれども、きちんとした形で
EUや
アメリカのように禁止はされていないということで、こういった点について検討が必要であるというように考えております。
私の
意見は以上でございます。ありがとうございました。