専門家に聞く｢炎上しない｣個人情報の扱い方 情報法制研究所 高木浩光副理事長インタビュー

これは、日本の個人情報保護法が参考にしているOECD（経済協力開発機構）のプライバシーガイドラインの原則にもはっきりと書かれている。しかし日本ではそうした意識が薄い。

欧州などで問題となっているターゲティング広告も、関連性が問われている。購買履歴に基づいてその店の商品を紹介するのであればいいが、他店の購買履歴に基づいたものは関連性がないからだ。

──個人情報の議論では「本人同意」も問題になります。

個人の評価・決定に使わないのであれば、法律の趣旨からして問題とならない。代表的なものでいえば統計だ。例えば製品開発にデータを使う場合、既存の個人データを統計にして使用するのであれば、本人に関する決定に使うわけではない。だから同意なくデータを2次利用して構わない。

問題となるのは、例えばリクナビ事件。就活生の内定辞退率を本人の同意なしに予測し、採用企業に提供していたことが問題となった事件だが、根本的には関連性のないデータによる評価・決定をしたことが問題だった。ウェブの閲覧履歴は相関関係があったかもしれないが、内定辞退とは直接関係がないからだ。

JR東がSuicaのデータ販売で炎上

──JR東日本がSuica（スイカ）のデータを販売した件も炎上しました。

あの事件は統計にして販売するのであって、本人の評価・決定に使う目的ではなかったので、全体としては問題ではなかった。ならばなぜ炎上してしまったのか。それは「氏名を削除しているから個人情報ではない」と言ってしまったからだ。もしそれが個人情報でないなら法律の規制が及ばず、「転々流通」を許すことになってしまう。日本の個人情報保護法はこれを規制していた。

ちょうどその頃、欧州では氏名を削除して「仮名化」しただけでは依然として個人情報であるということが再確認された。個人情報に該当すると使えなくなるわけではなく、規制の下で利用できるというルールだ。

ところが日本の個人情報保護法では、全体として統計目的であっても集計前の個人データを第三者に提供するのは規制されている。これは、厳しいといわれる欧州のルールよりも厳しい。