【CSIJコラム37(2025,8,29)】
「コンプライアンスとプライバシー問題」
グローバルセキュリティエキスパート株式会社
出本 圭介
本来プライバシー保護はセキュリティ対策の延長線上ではなく、全く別の視点から取り組むべき経営課題ですが、実質はITやセキュリティを担当する部署がまとめて役割を負っているケースもよく見受けられます。プライバシーマークが安全管理策や法令順守だけに着目された結果、「ISMSもPマークもセキュリティでしょ」、という雑な考え方で同一視されている側面もあるかもしれません。
こうしてよくわからないまま組織内で「プライバシー問題」を扱うことになったセキュリティ担当者から、
「これって個人情報保護法的にどこまでやればいいの?」
という問いが出てくるのを聞くと、組織としてプライバシーの問題をどこまで考えているのか、ちょっと心配になることがあります。
総務省が「プライバシーガバナンスガイドブック」[1]を公表しています。このガイドブックでは、プライバシー保護を単なる法令遵守(コンプライアンス)の活動と捉えるのではなく、経営者がリーダーシップを発揮し、消費者からの「信頼」を勝ち取ることで企業価値を高める戦略的取り組みと位置づけるべきと示されています。
コンプライアンスだけでは不十分なことを示す象徴的な事例として、かつて2013年に起きたJR東日本の「Suicaデータ提供問題」[2]があります。
当時、JR東日本はSuicaの利用履歴から氏名などを除き、IDを別の番号に置き換える処理を施した上で、利用者の性別や年代を含むデータを日立製作所に提供していました。JR東日本は、このデータは個人を特定できないため法律上「個人情報」に当たらず、本人同意は不要という見解でした。しかし、自分の移動履歴が知らないうちに企業間でやり取りされることに、市民が不安や反発を感じ、プロジェクトは中止に追い込まれました。
もう一つ、2014年にNICT(情報通信研究機構)がJR大阪駅で計画した実証実験の例[3]があります。
これは駅のカメラで通行人の顔や歩き方を識別し、動きを追跡して施設内の移動状況等の解析に役立てる試みでしたが、「知らないうちに監視されている」という市民の反発を招き、中止に追い込まれました。
いずれの例も、当時の法律上、手続きを踏んでいたにも関わらず、批判を招き継続が困難な状況に陥りました。「法的に問題ない」という主張は、社会的な合意が得られるかどうかの最低限の要素に過ぎず、進んだデータ活用のためには、より踏み込んだ配慮が必要であることが分かります。
こうした過去の教訓を踏まえてなのかは分かりませんが、現在展開されているJR東日本の「駅カルテ」[4]、Osaka Metroの「駅レポート」[5]等のデータ活用・提供サービスを見ると、プライバシー保護、透明性の確保などをかなり慎重に設計され、プライバシー保護の在り方は、世間の要請も踏まえ変化していると考えられます。
具体的には、個人を特定できないよう、①氏名削除やID変換(非特定化)、②年齢を10歳刻みにする等(集計処理)、③少人数のデータは結果から除外(秘匿化処理)といった多段階の加工を行っています。より重要なのは、それらをウェブサイトで詳細に公表し、さらに希望すればいつでも自分のデータを分析対象から外せる「オプトアウト」の仕組みを分かりやすい形で提供している点です。これは、利用者の判断に必要な情報をできる限り丁寧に提供し、その意思を尊重するという明確な姿勢の表れであるといえます。これは、どうせ誰も読まないであろう長文の規約にいろいろ書いておき、形式上「同意」を取っておこう、という考えとは真逆のスタンスといえるでしょう。
最近はデータ分析基盤の発展も相まって、例えば組織を越えたデータ共有・分析・活用などもより進んでいくことが考えられます。一方で、なぜ自分に表示されたか分からない、狙い撃ちされた広告に「気持ち悪い」と感じる人も増えています。このような環境においてデータの利活用を進めるためには、透明性を担保し、安心してパーソナルデータを提供してもらえる環境づくりが重要となります。自分自身の情報や行動履歴が、どこに共有されどのように使われているのか。それができる限り分かり易く伝わり、納得の上でサービスを利用できるようにすること。それが今まで以上に求められてくるのではないでしょうか。
「これって個人情報保護法的にどこまでやればいいの?」
という問いは、ともすれば(形式上)要件を満たすことの議論に目先を向かわせてしまう恐れがあります。もちろんコンプライアンスは大前提で重要ですが、如何にルールを掻い潜るかという話になっては本末転倒で、その先のプライバシーの問題ときちんと向き合うことが大切です。いくら法を守っても、お客さんが離れていく、パーソナルデータを思ったように提供してくれない、ましてやバッシングを受けてそもそもサービスが立ち行かなくなる、ではそもそも意味がないのです。
【脚注】
[1]: 総務省「DX時代における企業のプライバシーガバナンスガイドブックver1.3」
https://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000513.html
[2]; Suica に関するデータの社外への提供についての有識者会議
「Suica に関するデータの社外への提供について とりまとめ」
https://www.jreast.co.jp/information/aas/20151126_torimatome.pdf
[3]; 映像センサー使用大規模実証実験検討委員会「調査報告書」
https://www.nict.go.jp/nrh/iinkai/report.pdf
[4]; JR東日本「駅カルテ」
https://www.jreast.co.jp/suica/corporate/suicadata/eki-karte.html
[5]; 大阪市電気軌道「駅レポート」