連載
» 2020年03月10日 05時00分 公開

「私、1番よね?」「いいえ、2番です」:プライバシーフリーク、リクナビ問題後初の個人情報保護法改正の問題点にかみつく!――プライバシーフリーク・カフェ(PFC)個人情報保護法改正編02 #イベントレポート #完全版 (1/5)

「世界で唯一、個人情報を金で買える国」、ジャパン――リクナビ事件をきっかけに露呈した「日本の個人情報の考え方の問題点」を、鈴木正朝、高木浩光、板倉陽一郎、山本一郎の4人が全方位で解説する。※本稿は、2019年12月2日時点の情報です

[鈴木正朝, 高木浩光, 山本一郎, 板倉陽一郎,@IT]

 2019年12月2日に開催した、プライバシーフリークの会主催の「プライバシーフリーク・カフェneo どうなる? 個人情報保護法改正」のイベントレポート完全版。第2回となる今回は、「個人情報=金問題」「利用目的は誰がどこまで開示すべきか問題」などを討論した。

プライバシーフリーク・カフェ(PFC)は、鈴木正朝、高木浩光、板倉陽一郎、山本一郎の4人が、情報法と社会について、自由気ままに、そして真面目に放談するセミナーで、5年にわたって活動を続けている。

プライバシーフリーク・カフェ(PFC)個人情報保護法改正編01


あなた、持っていてはいけないはずの情報を持っていますね

山本一郎(以降、山本) 誰が「胴元」つまりdata controller(データ管理者)になるかが重要ということですね。そのことと「利用目的の分割問題」はどういう関係にあるのですか。

鈴木正朝(以降、鈴木) 誰が胴元になるのかは通常、複数事業者の当事者間で話し合って決める部分が多いけれど、事業者間の契約だけに閉じた話ではないんですよ。それだけだと消費者、利用者、就活生といった個人データの本人の視点が抜け落ちるので、個人情報保護法が事業者を義務付け、行政庁たる個人情報保護委員会が本人の権利利益の保護の観点から行政指導や処分などの行政規制するわけです。

 第三者提供元と提供先の関係なのか委託元と委託先なのか、当事者の決めの問題として自由に決まるケースもあれば、ビジネスモデルの内容と性質が決定するケースもある。

 なぜならば、利用目的の範囲内で業を取り囲んで、その範囲だったら個人情報を利用できる、利用目的の範囲内で個人データが自由に流通していいという法律を作ったわけですから。複数事業者間で一つのビジネスモデルを一緒に運用していく場合は、全体のビジネスにおける個人情報の取り扱いを分かりやすく通知、公表または明示する責任者が適切に決まらなければならないわけです。個人情報保護法の一番のキーとなる概念が、実は「利用目的」だったわけですから。

 しかし、15条1項の利用目的の特定のコンセプトをガイドラインなどで明らかにしてこなかった。産業界の利活用の声に押されたのか、初期の様子見がそのまま定着してしまったのか、「できる限り特定せよ」と条文にあるのに、行政裁量の中で蛇口を目いっぱい開いてきた。それがリクナビ事件で、「ビジネス単位、サービス単位で何をどこまで書かねばならないのか、その立法趣旨を含めて再確認を要する」と皆で気が付いたということなのかと思います。

 原則は、個人情報取扱事業者単位で個人情報該当性を判断し、個人情報に該当するなら、そこが利用目的を通知、公表、明示すればよかった。原則のままなら、A社はA社として独立して判断して、B社はB社の範囲内で独立して義務を順守すればいい、自社の手持ち情報の中での利用目的をいえばいいということになるんですよ。そうでしょ?

 でも、A社とB社に利用目的が分割されているので、就活生本人には全体のビジネスモデルが見えない。自分のどのような個人情報が何のために使われるのか理解できなくなっている。利用目的をばらばらに見せられても、同一ビジネスモデルで内定辞退率予測のスコアリングという単一利用目的であることを、本人のスキルで読み解けということを強要する結果になってしまう。

 そこで問われる本人同意とはいったい何なんでしょうか? 同意は万能だから同意さえとれば本人保護の錦の御旗になるかのように思っている人が多いとは思うけど、複数事業者が共に1つのビジネスモデルを構築し連携した情報システム上で個人データを取り扱うならば、そのビジネスモデルにおいて個人情報該当性を判断してほしい。誰がそこのdata controllerか必然的に決まるならば、そのdata controllerが本人と対峙するときにしっかりと全体の利用目的をサービス単位で示してほしいと思うわけです。

図1 第127回個人情報保護委員会 資料より

山本 図1の下側に個人がいて、右側に手法があるはずなんです。集めたデータを解析するために人工知能を使いました、それによって信用度をスコアリングとしてアウトプットしました、など。

 内定辞退率は奥が深くて、クライアントにとって価値のある情報にまでスコアリングを弾き出すには、就職活動をしている学生のサンプル数がいっぱい要るというのと、個別の事情として「国家公務員試験を受けている」という事実にもすごく影響されます。

 国家公務員試験を受けている人は、国家公務員に受かればそれまでに得ている民間の内定は辞退する。すなわち民間の内定辞退率が基本的に高い人です。問題は、本当に内定辞退率の精度を上げるならば、国家公務員志望かどうかは重要なファクターになる。では、B社は「なぜその情報を持っているのか」という話になるわけです。

 持っていてはいけないはずの情報を持っている。それは利用目的の中に明文化されているのか。逆に明文化されたとして、「他にここも受けています」「国家公務員試験を受験する予定です」というところまで情報を取得することを利用目的で明示したら、就活生はそれに同意するのか、という話です。

 リクナビの新スキームは、この観点だけでもダメ。もし明文化されていたら、国家公務員試験の受験意思の有無や、どういう企業の面接を受けようとしているのか、どういう業界を志望しているのかというところまで踏まえてないと内定辞退率なんて精度が出るわけないよね、と分かるわけです。

 もう一つ。中小規模な企業は、data controllerとして、リクナビに委託してdata processor(データ処理者)をやってもらい、内定辞退率を出してもらおうにも、サンプル数が少な過ぎて精度の高い結果が出ないはずなのです。

 中途を含めて15〜20人ぐらいを採用している中堅以下の求人企業はたくさんあるんですが、そこを受ける学生の絶対数が不足している限り、内定辞退率は出ないんですよ。でも「出せます」と営業していたいきさつがあるのなら、それはさすがに問題だと思うわけです。

鈴木 学生から「公務員試験を受けているかと面接で聞かれたら、どう答えるべきか?」と聞かれることがあります。恋愛関係で「私、1番よね?」と問われて、「実は2番なんですよねー」とは答えない。そこは自分の不利益にならないようにごまかして答えてもいい場合がありますよね。転職活動をいちいち現職に報告する人もいないじゃないですか。「公務員試験を受けているか」と面接で聞かれて、自分の不利益にならないようにごまかして答えるのもやむを得ない。

 就活生も最初は「正直は美徳、ウソはつけない」と思って、「公務員志望で受験する予定です」と正直に答えて「はい、終わり。帰って!」と言われたりするわけです。そういうことを経験しながら、お互いさまで腹を読み合って曖昧にするすべを会得していくわけでね。

 それが、自分の知らないところでデータを抜き取られたり、ライフログを勝手に分析されたり、守秘義務に反して筒抜けになったりするとか、あり得ないことですよ。そういうのは止めてほしい。

       1|2|3|4|5 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。