JR東日本が、日立製作所にSuicaの利用情報を提供していたとして、IT界隈では少し話題になっています。どういう点が問題かというと、「利用者の情報を勝手に第三者に提供するのはいかがなものか」ということです。プライバシー的な観点ですね。
ニュース – Suica乗降履歴データの外部提供で問われるプライバシー問題—JR東日本に聞く:ITpro
Business Media 誠:ビッグデータとプライバシー:Suica利用履歴販売、JR東は「個人情報に当たらない」との見解 (1/2)
さて、事実関係からすると、JR東日本は日立製作所と共同研究などをこれまでも進めており、Suicaの利用履歴の分析技術に関するレポートを日立製作所が作成、販売することになった、というものです。そのレポート作成のために、Suicaの利用履歴を個人情報が特定できないようにマスキング・加工した上で日立製作所に提供した、ということのようです。
こういうパーソナルデータというのは、経済的価値が高まっているので、積極的に利用できるようにしよう、という流れが生まれています。そのためにもプライバシーを確保した状態のデータの利用を整理しようと、総務省が検討を進めているわけです。
総務省|「パーソナルデータの利用・流通に関する研究会」報告書の公表
今回のJR東日本としては、マスキング等の加工を行っているので個人情報には該当しない、というのがスタンスです。なので、ユーザー等に許可を得なくても問題ない、という整理になっています。確かに法的には問題ないとは思うのですが、このあたりはまさに法的な整備が間に合っていないところです。
今回のSuicaの情報提供の行い方を見ると、IDに相当する情報は残っているので、「頑張れば個人を識別できる状態のデータ」である可能性があります。こういう情報を流通させることは、プライバシーなどを侵害するリスクがあるということです。
また、心理的な抵抗感もあるでしょう。社会的にこういうデータ活用に馴染みがない、というところもあるかもしれませんし、「自分が関わったデータが商売道具にされている」という点に抵抗を覚える人もいるでしょうし、「何となく自分の情報が漏洩しそうで怖い」という点に気持ち悪さを感じる人もいるでしょう。
法的に云々というところ以上に、こういう心理的な部分をどう解消していくかも、現在のコンプライアンスの重要課題になっています。なんというか、ビッグデータとかオープンデータという言葉がバズワードになるぐらい、情報資産の重要性は年々増していると思いますし、法整備もリアルタイムに行われるわけではないので、企業側も個人側もある程度リテラシーを身につけて、情報をコントロールしていかないといけない時代だと感じています。
カードつくらんでよかったわ。