トレジャーデータでカスタマーサクセスを担当している井手です。
2017年11月7日にトレジャーデータのユーザー企業様を対象に、「『TREASURE CDP』活用セミナー・法律解説編」を開催しました。
開催に至る契機として、2017年5月の改正個人情報保護法全面施行が挙げられます。これ以降、わたしたちトレジャーデータにも、お客様から個人情報に関するお問い合わせをいただくことが非常に多くなりました。
個人情報に関しては扱いを誤った場合、非常に大きなインパクトが発生します。一方で、企業活動全般においてデータ活用はますます重要となってきています。クラウド型データプラットフォームを提供するトレジャーデータとしましても、個人情報についての正しい知識のもと、お客様の企業活動と消費者にとって価値あるデータ活用を推進していきたいと考えています。
今回は、情報セキュリティの専門家であるTMI総合法律事務所弁護士の大井哲也氏を講師にお招きし「ビックデータ利活用のための実務対応〜匿名加工情報の作成者及び利用者のための実務指針〜」といった内容で2時間、お話しをいただきました。本稿では、セミナーの様子を抜粋してご紹介します。会場はTECH PLAY SHIBUYAです。
大井氏の主な担当分野はM&A、IPO、企業間紛争、訴訟などです。また、クラウドコンピューティング、インターネット・インフラ/コンテンツ、SNS、アプリ・システム開発、情報セキュリティの各産業分野における実務に精通しており、情報セキュリティマネジメントシステム(ISMS)認証機関公平性委員会委員長、社団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省の情報セキュリティに関するタスクフォース委員を歴任。日本経済新聞社2015年及び2016年弁護士ランキングにも選出されています。
大井氏からは、主に改正個人情報保護法の基本的な考え方と、それに基づく個人情報と匿名加工情報の違いについてご説明いただきました。「個人情報漏えい関係でニューストピックスになるのは年間30〜40件程度かも知れないが、ニュースにならない事案は非常に多い。個人情報の規制を遵守しながらデータを有効に活用するためにどのような点に留意すべきか」(大井氏)。データ活用の実務レベルから、個人情報の扱いについてのポイントを指摘していただきました。
改正個人情報保護法の全面施行と海外の動向
個人情報保護法が改正されたことにより、データの入手や加工、第三者提供に関しての規則が改定されました。集積したデータ、いわゆるビッグデータの扱いに関しては、改定に基いたガイドラインが業界ごとに作成されている現状です。
一方、海外に目を向けた際に大きなトピックとなっているのが、2018年5月に施行される「EU一般データ保護規則(GDPR)」でしょう。
GDPRはEUの法律でありながら、EU圏外の企業がEUにて企業活動を行う場合にも適用されます。日本企業は国内の個人情報保護法を守るのと同時に、国外の個人情報保護規則にも留意する必要があります。それはEU以外の法規制についても同様です。
ビジネス活用対象となるビッグデータにはどのようなものがあるか
ビジネス活用対象としてのビッグデータとして、以下の例が提示されました。
1.SNSの利用履歴
TwitterなどSNS上の書き込み履歴を買い取り、解析しマーケティング活動に利用する。
2.Eコマースでの購買履歴
Amazonや楽天の購買履歴を買い、解析やマーケティング活動に利用する。
3.実店舗での購買履歴
店舗購買の際、クレジットカード情報と会員カード情報(Tポイントカードなど)を紐付けることが可能。ID-POSのデータや会員システムから匿名化されたデータを買いとり、マーケティング活動に利用する。
4.GPS情報
いわゆる位置情報。最近GPS情報に関する問い合わせが急増している。例えば情報カーナビや自動車内に蓄積されているデータ。マシンのスピード情報や制御情報を損保会社などが購入し、ドライバーの危険度などをはかることで、パーソナライズされた保険商品開発などへの応用も可能。
5.検索履歴、キーワード
特に海外企業から、検索キーワードの売買に関しての問い合わせが多い。属性カテゴリーと紐付けて、マーケティング活動に利用する。
6.バイタル(生体)データ
ウェアラブル端末に蓄積された病歴データや処方箋の投薬履歴を製薬会社や病院が買い取り、どういう病気にどういった薬が使われ、どれくらいの効果をもたらすか知ることができる。
データのライフサイクルでは、全タイミングで法規制を遵守しなければならない
データのライフサイクルという考え方があります。まずデータを入手し、加工し、流通(提供)させる。どの要素にもそれぞれ法規制がかかってきますが、個人情報の問題には専門家が少ないという現状があります。特に実務レベルの理解を持った専門家が非常に少ないのは問題です。上記のそれぞれのタイミングでの留意点をまとめました。
個人情報保護法改正後のプライバシーポリシー策定5つのポイント
データを入手する際、つまりお客様から個人情報の提供を受ける際には、その個人情報をどう使うか説明するインフォームドコンセプト(個人の同意を得ること)が重要です。インフォームドコンセプトはプライバシーポリシーに含まれます。大井氏はプライバシーポリシー策定時に取り組むべき要素として以下の5つを挙げられました。
1.提供サービスにおいて取得するパーソナルデータごとに、その内容、取得方法、利用目的、利用方法の詳細
2.第三者提供を行う旨及び提供先に関する事項、具体的には提供先の選定条件
この場合、個別企業を全て提示することは現実的ではないので、提供先を選定する条件を記述する
3.パーソナルデータの加工方法
どういったポリシーで加工(匿名加工情報化)しているのか
4.データの訂正方法・保存期間・廃棄等の管理に関する事項
利用目的が達成されればデータは廃棄されなければいけない、その廃棄方法までを記述する
5.オプトアウト手続き、問い合わせに関する事項
・オプトイン:個人情報を得る時に事前に同意を得ること
・オプトアウト:事前同意を得ずにデータを収集、使用する方法で、お客様から使用停止要請を受けた場合にそれを受け入れること
大井氏は、「重要なのは提供する各サービスごとに、上記のプライバシーポリシーを作成すること」と指摘されました。
推奨されないプライバシーポリシーの例も挙げられました。一例としては企業のプライバシーポリシーに散見される「統計化処理して第三者に提供いたします」という文面です。「統計化」と「匿名化」は異なる概念であるので、「匿名化」の上で第三者提供していることに関して同意を得ているとはいえません。
また、提供先である第三者の選定条件、範囲を明確に示していない場合も、プライバシーポリシーとしてふさわしくありません。
個人情報保護法改正以前に制定されたプライバシーポリシーに関しては適時法規制を遵守した文言、内容に改定を行う必要があります。
「プライバシーポリシー改定前から収集していた情報をビックデータ活用することは個人のお客様に不意打ちを与えることになるのでやめるべきだ」と大井氏は指摘されます。1週間で9,000件のオプトアウト申請を受けたSuicaの例を挙げ、たとえその行為自体が違法ではないとしても「法律の観点プラス一般消費者の目から見てプライバシーの侵害に不安を与えるのであれば、ビジネスとして成立しない」(大井氏)と説明されました。
匿名加工情報の定義と加工手法
改定された個人情報保護法では、個人を特定可能なデータの第三者提供が禁止されました。同時に顧客から提供を受けたデータを第三者へ提供する場合、匿名加工情報にする義務が盛り込まれました。
匿名加工情報とは、「特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報。当該個人情報を復元することができないようにした情報」のことで、匿名加工情報と個人情報は決して交わらない、相反する概念です。
では、特定の個人を識別することができないような加工とはどの程度のことを指すのでしょうか。改正個人情報保護法には「個人情報取り扱い事業者は、匿名加工情報を作成するときは、個人情報保護委員会規則で定める基準に従い、個人情報から特定の個人を識別することができる記述等の削除(他の記述等に置き換えることを含む。)をするなど、当該個人情報を復元することができないようにその加工をしなければならない。」と定められています。しかし、どこまで加工すべきかという問題についての公式かつ具体的な解はありません。
加工例の詳細、また適法なデータの加工方法(抽象化)についての例示はされています。例えば、氏名は削除し、住所は都道府県のみの記載など抽象化、生年月日も年代のみとするなど短縮する必要があるなどです。この際に、特定の個人を識別できる情報を削除したとしても、他のデータベースから情報を持ってきて復元すると個人を特定できるケースがあります。この場合、その情報は個人情報とみなされますので注意が必要です。
「手法はガイドラインで出ているが、絶対的な基準ではない。生のデータセットを見て、その識別リスクを個別で見ていかなければならない。かつ情報の流通度が上がることによって識別リスクは高まっていくので、日々、見直していく必要がある」と大井氏は説明されました。
データの第三者提供と禁止事項
データを個人の特定が不可能な粒度に加工すれば、本人の同意を得ずに第三者機関に提供することが可能であるとしたのが、改正個人情報保護法のポイントです。
データを買い受けた事業者は、個人を再識別する行為が禁止されています。また、加工方法を取得すること、別ルートから入手した情報を紐付けて再識別することも禁止されています。
加えて大井氏より、海外居住者を情報主体とするビッグデータ規制についてや、GDPRにおける匿名加工情報の考え方、UKの規制等が紹介されました。
ビックデータそのものに対する管理権
「ビックデータに所有権はあるのか」「ビックデータは誰のものか」というトピックについて。
データそのものは物と異なり、排他的な専有は観念できず、特許権や著作権によって保護される場合を除いて排他的利用権はありません。大井様はデータ解析プロセスに注目し、生データもしくは単なる生データを集積しただけのファクトデータベースに関しては著作権上保護に値しない一方、解析可能な形式に整理、編集されたデータベースもしくはビッグデータの解析結果に関しては創作性が認められることが多いという見解を示しました。
データ提供契約における3つの必須条件
データ提供契約における必須条項のポイントは3つあります。
1つ目は、ビッグデータを提供するプラットフォーマーやメディアの権利を保護する必要があります。先に上げたビッグデータの管理権等の保護が受けられることを確認することが重要です。
2つ目、データの権利処理として、個人情報、匿名加工情報、統計情報それぞれの第三者提供についてインフォームド・コンセントが為されているかということ。また、個人情報が含まれていないビッグデータの場合においては、適法かつ適切な匿名加工処理が為されていることについて、提供者から提供先に表明保証されていることが必要です。
そして3つ目として、オープンデータ利用の場合は、国や地方自治体が定める利用規約の範囲内での利用であるかを確認することです。
データ主体とのデータ提供契約において定められた利用目的を越える範囲でのデータ利用は認められません。特にDMPからのデータ提供を受け自社データベースに組み込むケースでは、複数のデータソースからなるデータが集積されているため、それぞれのデータソースのプライバシーポリシーに定められた個人情報利用が行われているかが問題となるでしょう。
ビジネスの観点から、消費者が安心できる有効なデータ活用を
現在、Cookieシンクや第三者提供された匿名加工情報同士の結合に関して、研究者等から様々な見解が展開されています。
大井氏は「匿名加工情報同士の結合は許容される。個人情報保護法はあくまでも識別行為を行って本人特定することを禁止しているのであって、データをリッチにすることは禁止していない」と見解を延べられつつ、現状ビジネスにおけるデータ利用の観点を持ちつつ、消費者にとっても安心できるデータ利用が重要であると説明されました。
トレジャーデータはビッグデータのプラットフォーマーとして、改正個人情報保護法をはじめとする個人情報に関する法規制を遵守するとともに、各国のセキュリティ規制に準拠するセキュリティ基準を保持しております。加えて、消費者にとって安心できる、かつ有益なデータ利用を、ビジネスユーザー様、パートナー様と行っていきたいと考えています。
今後もこういったセミナーを開催していく予定です。当ウェブサイトにて適時ご案内いたします。
