専門家に聞く｢炎上しない｣個人情報の扱い方 情報法制研究所 高木浩光副理事長インタビュー

問題となるのは、例えばリクナビ事件。就活生の内定辞退率を本人の同意なしに予測し、採用企業に提供していたことが問題となった事件だが、根本的には関連性のないデータによる評価・決定をしたことが問題だった。ウェブの閲覧履歴は相関関係があったかもしれないが、内定辞退とは直接関係がないからだ。

JR東がSuicaのデータ販売で炎上

──JR東日本がSuica（スイカ）のデータを販売した件も炎上しました。

あの事件は統計にして販売するのであって、本人の評価・決定に使う目的ではなかったので、全体としては問題ではなかった。ならばなぜ炎上してしまったのか。それは「氏名を削除しているから個人情報ではない」と言ってしまったからだ。もしそれが個人情報でないなら法律の規制が及ばず、「転々流通」を許すことになってしまう。日本の個人情報保護法はこれを規制していた。

ちょうどその頃、欧州では氏名を削除して「仮名化」しただけでは依然として個人情報であるということが再確認された。個人情報に該当すると使えなくなるわけではなく、規制の下で利用できるというルールだ。

ところが日本の個人情報保護法では、全体として統計目的であっても集計前の個人データを第三者に提供するのは規制されている。これは、厳しいといわれる欧州のルールよりも厳しい。

日本でも政府機関のルールでは、統計目的であれば第三者に集計させるのが許されている。民間のルールでは、立法時の経緯として、名簿業者を規制する狙いがあったため、それが許されていない。ここの規制を見直す余地はある。

進出したい企業が気をつけるべき点

──そういう意味では、個人データの外販は難しいのでしょうか。

規制を見直すとしても、外販した先がどのように使うかまで特定しなければ提供できないルールになるだろう。目的を定めない転売はいずれにせよ認められない。現行法で適法なやり方は委託方式だ。

データの加工や分析について、データを持っているところが自分でできない場合に、専門の処理業者にそれを委託して、集計結果を自らの責任で販売することだ。これは本人同意がなくても認められている。データの提供範囲が委託先までだからだ。転々流通しないというのがポイントだ。

ただし医療データなどで問題となるのが突合（とつごう）の必要性だ。A病院とB病院のデータをそれぞれ委託して突合し分析すると、新たな知見が得られるかもしれない、と考えがち。しかしAとBを交ぜて突合してしまうと、それはもう委託ではなくなってしまい違法な第三者提供ということになる。この点も規制を工夫する余地はある。

──データビジネスに進出したいという企業が気をつけるべき点は。

まずデータビジネス事業の設計段階から、データ化の目的を決めておく必要がある。とくに個人に何らかの決定を及ぼすのであれば、評価・決定の目的を決め、それに関連する情報のみでデータを構成するよう、事業を設計していくことが重要だ。そのうえで、評価・決定の公平性・正確性に注意を払う必要がある。

（聞き手：田島靖久）

田島 靖久：東洋経済 記者