Suicaの乗降履歴データを日立に提供していた問題がありましたが、ビッグデータの時代を迎えて、個人情報保護やプライバシー保護に関して、発想や法整備などを転換しなければいけない時代になっているように感じます。
Suicaデータの外部提供にみる情報化社会とコンプライアンスの問題 | Synapse Diary
個人の特定は非常に容易になっている
日本でもたくさん発生していますが、SNSやブログなどの情報を組み合わせて、あっという間に個人を特定できる状況が生まれています。それだけ個人に関する情報はインターネット上にあふれている、ということです。
自分からたくさん情報を吐き出していたりしますし、企業に意識している・していないに関わらず提供している場合もあります。インターネットを中心にして、情報の取得・管理コストが低下していることで、これまでにないほど自分の情報が外に出ています。
ビッグデータがバズワードになってしばらく経っていますが、本格的に社会に浸透するのはこれからです。個人に関する情報は、個人はどう守り、企業はどう取り扱うべきでしょうか。
二次利用にこそビッグデータの価値がある
ビッグデータというのは、情報を蓄積しながら、派生的にデータの利用価値を高めていくことにひとつの神髄があります。当初は想定していなかった形で、どんどんデータの利用範囲を広げていくのです。
これは非常に経済価値を高める有用な手段であり考え方であるとは思うのですが、欠点もあります。「ビッグデータの正体」に書かれていましたが、今の個人情報保護やプライバシー保護の考え方というのは、情報を提供する前に用途などを説明し同意を得た上で収集することになっています。
つまり、「用途を明示」し「事前に承諾を得る」ということは、「とりあえずデータを収集」し「後で二次利用を考える」という部分と完全に反するわけです。今の考え方では、二次利用を行おうと思ったら、再度提供してもらった個人に承諾を得る、という行為を行わなければいけません。さらに、承諾する人としない人でデータの取扱いも分けなければいけないのです。これは非常にコストになりますし、現実的ではないような気がします。
「事前の承諾」は事実上形骸化しているのではないか
Suicaの件でも改めて考えさせられます。データの利用に関する決まり事は約款のような小さな文字でびっしり書かれたところに含まれており、事実上個人が「事前に承諾した」という形をとったことになっていないのではないのか、ということです。
現時点では、JR東日本はデータ提供を謝罪するとともに、データ利用の拒否を受け付けています。これを読むと、JR東日本が一方的に悪いような印象を受けますが、まさにグレーゾーンに落ちたように見えます。
「ビッグデータの正体」では、価値観の転換が必要、と説いています。二次利用を社会的に許容するのであれば、やはり個人に責任を求めるのは限界があり、企業側が責任を持って取り扱うことをもっと強化すべきである、というところです。さらにそれだけでは不十分なので、会計士や弁護士などと同様に、個人情報の取扱やデータ処理、アルゴリズムなどをチェックする「アルゴリミズスト」なる専門家が社会的な役割として必要になるだろう、と言われています。
つまり、個人で全てをチェックするのは無理、企業も完全にフォローするのは難しい、というわけで第三者的な機能を社会的に構築すべき、ということです。今はまさに法律も社会的な認識も十分に追いついているとは言えない、過渡期と言えるでしょう。