オンラインジャーナル/投稿コーナー

　丹野　隆志

①所属：富士通株式会社　セキュリティマネジメントサービス事業本部
　　　　サイバーディフェンスセンター
②出身地：富山県出身【2015年3月、北陸新幹線開通 ♪(^∇^*) 】
・ほたるいか、蜃気楼、ブラックラーメン、鱒寿司が有名。
③社会貢献活動（NPO）：
・日本セキュリティ監査協会（JASA）会員
（パーソナルデータ監査WG、監査市場調査WG）
・日本セキュリティネットワーク協会（JNSA）会員
（セキュリティ理解度チェックWG／脅威を持続的に研究するWG）
・日本プロジェクトマネジメント協会（PMAJ）会員
（ジャーナル編集部員、PMシンポジウム2016未来創造セッションリーダー）
・産業カウンセラー協会会員（東関東支部）　
④所有資格：PMP®、公認セキュリティ監査人、ISMS審査員補、
　　　　　　産業カウンセラーなど、計30個の公的資格を所有。
⑤探求分野：心理学を活用したセキュリティインシデント対応を探求。
⑥尊敬する人物：山本五十六、エーリッヒ・フォン・マンシュタイン
【失われた勝利（上・下）愛読中】
⑦趣　味　：アウトドア（キャンプ、バーベキュー）、ドライブ、旅行
⑧将来目標：セキュリティ人材育成のプロフェッショナルを目指します！
⑨好きな言葉：話し合い、耳を傾け、承認し、任せてやらねば、人は育たず。
　　　　　　　やっている、姿を感謝で見守って、信頼せねば、人は実らず。
　　　　　　　　　　　　　　　　　　　　　　　　　（by 山本五十六）
　⇒☆プロマネの基本と考え、肝に銘じています　(v^ー°)

先号　　　次号

【個人情報の取扱いにおけるグローバル化 (3) 】

富士通(株)　丹野　隆志　[プロフィール]　：8月号

　前回(オンラインジャーナル7月号)投稿した『個人情報の取扱いにおけるグローバル化』では、英国が、国民投票でEU離脱が決定するという大きな動きがあり、欧州諸国の歴史的背景を理解し、情勢を見極めることの重要について記述した。
　今回は、今後、本格的にビッグデータ利活用をする時代に突入した際、企業競争力の向上に活用が期待される『パーソナルデータ』に着目して考察を進めたい。

　そもそも、このパーソナルデータが注目される契機となったのは、2011年1月に開催された世界経済フォーラム(ダボス会議)だといわれている。当時は民主党政権の下、菅総理がダボス会議に出席している。本会議の報告書で、『パーソナルデータは新たな石油となるだろう。それは21世紀におけるかけがえのない資源である。』と報告され、当時はビッグデータというキーワードと合わせて、大きな関心事となった。最も、日本は、この年の3月に東日本大震災が発生し、しばらくは復興に多くのエネルギーを費やすことになる。
　この翌年となる2012年、時代は民主党政権から自民党政権へと移行し、安倍内閣によるアベノミクス『三本の矢』を中心とする日本経済の活性化政策が進行し始めた。2016年4月に開催された産業競争力会議では、新3本の矢により、GDP600兆円経済の実現に向けた新たな有望成長市場創出を目玉とする成長戦略の全体像が示された。そして、この成長戦略によって、日本は自動走行などの第4次産業革命や、世界最先端の健康立国を目指した保険外サービス促進、スポーツの成長産業化などを含め、総額100兆円を上回る経済拡大を目指すことになった。
　尚、IoTやビッグデータ、人工知能、ロボットの活用による第4次産業革命により、2020年には付加価値創出30兆円を目指すことが決定している。
　上記のビッグデータ活用については、各企業がこれまで蓄積してきたパーソナルデータの利活用が期待されており、個人情報保護法が改正されるタイミングでパーソナルデータの活用実現に向けた調査検討が進んでいるものと受け止めている。

　国内経済を活性化させるための国策の実践と合わせて、個人情報保護法の改正が平成29年9月8日までの政令で定める日をもって施行されることになる。一方、2016年4月14日に欧州議会本会議においてEU一般データ保護規則が正式に可決されたが、EUの十分性認定を受けるには、個人情報保護法改正版は、多くの課題を抱えているというのが実情である。
　さて、個人情報保護法第2条第1項では、パーソナルデータを『生存者に関する特定の個人の識別することが出来る情報』と規定している。この情報を具体的に解釈すると、【個人情報に限らず、位置情報や購買情報など個人の行動・状態等に関する情報に代表される、個人識別性のない情報】となるが、法律で規定されているものではないため、有識者においても様々な考えが存在しているのが実態である。
　これを図に表すと、下記のように個人識別性の有無によりパーソナルデータと個人情報が区分される。

　この『パーソナルデータ』の取り扱いについては、個人情報と同様、日本と海外では、相当解釈に隔たりがあるのが実情だ。そもそも、この『パーソナルデータ』は定義づけが目的なのではなく、この情報を企業の競争力向上に活用するため、【パーソナルデータの利活用】を前提としたプライバシー保護を実践すべきであり、海外では、当然のごとく、この考えに基づいて検討が進められている。
　一方、日本ではというと、少なくともこれまでは、【パーソナルデータの定義づけ】が目的になっていた感がゆがめない。

　先日、ある公的機関で新たな資格制度を立ち上げるプロジェクトに参画している知人と談話をする機会があった。この知人は、現在、新資格制度設計に携わっており、現時点では、当資格制度における『どのような人材を何のために・・・』といった所謂、具体的な役割モデルというのが存在せず、方針決定に基づくスケジュールに従い、粛々と制度を確立することが目的になっているのだという。そして、この状況の下では、恐らくではあるが『誰(Who)が何(What)のために』を定めた役割モデルについては、資格制度が確立した後に論議されることになるのだろう。
　後付けで役割モデルという名の【魂】を注入された資格は、以降は普及という次のステップへと進んでいくに違いないが、このようなプロセスで新設される資格制度を今後、社会がどう受け入れていくのか個人的に興味と関心を持っており、今後の動向についてウオッチしていきたいと考えている。

　このように『目的』と『手段』が入れ違ってしまうというのは、別段、公的機関に限らず、日本では往々にしてよくあるのではないだろうか？『目的』は言い換えると、【魂】であり、『手段』というのは、あくまで魂を注入するための【器】に過ぎないのだ。
　今更解説すべきことではないが、特定分野におけるスペシャリストを育成し、業界の活性化を図る、または業界のリスクを低減する・・などの目的が最初に検討され、この目的達成のために制度が確立されるというのが本来のあるべきプロセスである。そして、上記で定義されるスペシャリストに相応しい人材を資格試験により、公的、若しくは業界などの団体が客観的に評価・認定しようというのが資格制度のあるべき姿であることはいうまでもないだろう。
　勿論、国内における資格制度の大半が目的と手段が混同されているとまでは決していうつもりはなく、多くの資格制度があるべき姿に沿って確立しているはずであるし、そう信じたい。

　『パーソナルデータ』についても、前述した資格制度の例と同様の状況といえるだろう。
　何故ならば、法的な枠組みが存在しないまま、利活用の論議だけが先行しているように見えるからだ。前述したとおり、有識者の間でも様々な議論が延々と続いているのは、国としての明確な定義づけができていないからではないか？【魂】の部分が定まっていないのに、先に【器】の論議に入っているのだから、これでは、簡単にゴールも定まらないのではないかと国民の一人として危惧している次第だ。

　さて、日本と海外におけるパーソナルデータの定義の違いについて、下記にて考察を進めたい。

出典：パーソナルデータのプライバシー保護を実現する匿名化・暗号化技術（富士通研究所　2016）

出典：パーソナルデータのプライバシー保護を実現する匿名化・暗号化技術（富士通研究所　2016）

　上表は、EU、米国、日本の3か国におけるパーソナルデータにおける相違点を図表に表しているものだが、まず日本のパーソナルデータの定義においては、現時点では生体情報のみとされ、位置情報、IPアドレスなどが含まれていない。このため、ネット通販の購買履歴はパーソナルデータには含まれないということになる。
　また、2016年4月に欧州議会本会議で正式に可決されたEU一般データ保護規則では、本人同意なしのパーソナルデータの第三者提供が本人の同意ありの場合を除き、原則不可となっているのに対して、第三者への提供を公表し、パーソナルデータの提供先において、個人を再識別しないという条件付きで個人を識別できる記述を削除した匿名加工情報であれば第三者への提供を可能としている。
　匿名加工情報の暗号化技術については、現時点で多くのベンダーが精力的に取り組んでいる状況ではあるが、前述のとおり、パーソナルデータ自体の法的根拠が未だ存在しないこと、パーソナルデータを匿名化加工した際の公的な検証機関や検証プロセスが存在しないという状況となっている。
　仮に、ある企業が所有するパーソナルデータについて、本人の同意を不要とする匿名加工情報を受領した企業などが、この匿名加工情報を再加工することで、個人を特定するに至った場合においても罰則が存在せず、事実上、現場では野放し状態になる危険性が存在していることを一部の専門家が指摘しているが現時点では、少なくとも改善の方向には向かっていないようだ。

　今回の個人情報保護法の改正では、個人情報保護委員会が新たに設立され、匿名加工情報における各分野別の匿名加工基準作成、個人情報取り扱い事業者への立ち入り検査や助言・指導が行われることになった。また、個人情報取り扱い事業者について、現行法(改正前)においては、【5000人以上の個人情報を取り扱う事業者】という制限事項があり、多くの中小企業などの事業者が、個人情報取り扱い事業者に該当せず、個人情報保護法上における適用除外となっていた。しかし、今回の法改正では、この制限事項が廃止され、これまで適用除外とされてきた中小企業を含む多くの事業者が個人情報取り扱い事業者となることから、従来よりも規制が強化されることになる。
　日本の個人情報保護法が施行された背景に、EUデータ保護指令による影響があった経緯を、前回まで訴求してきたが、EUデータ保護指令においては、EU加盟国から個人データを第三国に移転する場合、越境先の国・地域で個人データの十分な保護措置が確保されているかどうかを、ヨーロッパ委員会が審査し、認定する十分性認定を要することになる。そして、EUデータ保護指令の下では、小規模事業者も適用対象とされてきた。
　日本は、まだEUに対して「十分性の認定」の申請をしていないが、今後、EUの十分性認定を受けるための布石として、今回の規制強化を図ろうとしたとみられている。

　個人情報の取り扱いについて、日本と海外では、まだまだ大きな見解の相違が存在しているというのが現状ではあるが、これは、そもそも個人情報とプライバシーに対する根本的解釈の相違に起因していることによるものだ。
　今回は、パーソナルデータを中心に考察を進めたが、次回は、日本と海外における個人情報、およびプライバシーにおける解釈について検証したいと考えている。