なぜ今データ基本権が必要か 情報とプライバシーの未来<2>
2.情報を「たどろうとする行為」への法制度を強化すべき
宮田 コロナ対策では、「集合の世界」が威力を発揮している。グーグルと協力して分析している「人の移動データ」などがそれに当たります。移動データの場合、同意を取れた人だけで集めてしまうと活用価値が限定的なものになります。
山本 そのとおりです。
亀井 グーグルなどにおける「集合の世界」のデータ運用の具体は、どのような立て付けなのでしょうか?
宮田 大まかに言えば、個人の属性はつぶしてわからないようにしています。そうした運用をしていて解析に使うことがありますよと、あらかじめ説明する形でグーグルが規約を取ったグローバルなデータが存在している。そうした集合のデータがあったから、今回、コロナ下でいろいろな予測が立てられたし、未来にむけた政策に活用されています。一方で「集合の世界」のデータ活用についてはプライバシーの侵害可能性など、様々な論点もあります。ただ、命に関わるようなテーマ、公衆衛生という観点で考えた時、「集合の世界」のデータ運用については、様々なアプローチでの活用可能性があります。個人に紐付け可能な状態で運用するデータと、侵害可能性がない状態で運用するデータと、使い方を分けることはその一案です。
亀井 「集合の世界」のデータを扱うには、どこでどのような説明責任を果たしているかが問われることになります。
宮田 そこが要でしょう。GDPR(国際社会において個人情報の保護を強化していく「EU 一般データ保護規則:General Data Protection Regulation」)が2018年に適用されてからの世界では、特にテックジャイアントたちは、「トラスト」をいかに示すかに注力しています。そうでないと自分たちが信用を失って、その次のフェーズ、つまり、データを活かして新たな社会や経済をつくる世界において生き残れないと理解しているからでしょう。
亀井 今、現状においては、信頼を獲得できていると考えてよいのでしょうか?
山本 日本においては「個人の世界」も「集合の世界」も、中途半端な理解しか得られていないのが現状でしょう。その結果、日本の個人情報保護法制は、過少かつ過剰な保護になってきたところがあるように思います。大事なところが十分に守られていないという意味では過小、守らなくていいものを必要以上に守っているという意味では過剰な保護になってきたということです。集合界のデータは、ソーシャルグッドのために、本来もっと積極的に使われるべきです。もちろん、そのためにはセキュリティーやガバナンスの構築、先ほどお話しした再識別行為の禁止などが必要ですが、「集合の世界」のデータ活用まで厳格に規制すべきではありません。「世界」に関する曖昧な理解の中、うまく発展できていません。
亀井 そうした理解が曖昧になってる原因は何でしょうか?
宮田 「集合の世界」をつくるときのステップが、まだ明確ではないという側面はあります。実際は、「これはまだ、丸めていない個人のデータでしょ?」というデータであっても、集合データだと言い張るケースも見受けられます。どこまでが個人で、どこからが集合で、どんなステップを踏んで安全性を担保しているのか、きちんとその過程も含めて説明することによって、これは「気持ち悪い」使われ方をしているわけではないと説明していく必要があります。データの使い方はもとより、「データのつくられ方」を含めた説明が必要です。その説明不足が生じると、「匿名化データだと謳っているのに、実際には個人のデータが見えるじゃないか」と突っ込まれてしまいます。説明の仕方は、もっと洗練させていく必要はあると思います。
亀井 日本は情報の扱いがこなれていないのが現状ですね。海外勢の情報運用はいかがでしょうか?
宮田 海外のテックジャイアントはむしろ、データ運用を「安全側」に振ってます。彼らは、誰に流出しても大丈夫だというぐらい個人情報を丸めた「安全な集合の世界」のデータをつくった上で、それをさらに一切流出させないよう、徹底して管理しています。
山本 かなり厳密な話をすると、丸めたはずの「安全な集合の世界」のデータであっても、技術を徹底して駆使すれば個人までたどれてしまいます。どこまで「丸めれば」集合データになるか、どこまでが「個人情報」で、どこからが「非個人情報」かという基準をめぐる形式的な論議というのは、実はあまり有効ではないと思います。むしろ大事なのは、「たどろうとする行為」自体を問うことです。今まで、日本ではプライバシー権の議論というのは、基本的には漏洩問題に焦点を当ててきました。だから、デジタルの時代になり、集約されたデータから個人を識別したり、内側でプロファイリングするといった行為自体がプライバシーの侵害だという意識を持ちにくかったのです。「外に漏れなきゃいいよね」というところで議論が止まっていました。これがドイツだと、意識がだいぶ違います。歴史上、ユダヤ人差別の問題と結びつくからでしょう。
亀井 ナチスの戸籍制度の問題とつながっているということですね?
山本 そうです。元々ドイツは、国が持っている戸籍制度とIBM社のパンチカードとを結びつけて、ユダヤ人登録制度をつくった歴史がある。こうしたデータの連結や分析から、ユダヤ人の選別を行った忌まわしき過去の教訓から、情報の自己決定権というものを確立する動きにつながったわけです。だから、ドイツでは、個人情報保護の問題は漏洩問題だけではありません。
亀田 彼らはプロファイリングの問題だと受けとめるのですね。
山本 はい。情報を付き合わせて、「たどろうとする行為」自体が権利侵害だという意識が強い。日本の場合には、そうした意識が社会規範として備わっていません。例えば、「次世代医療基盤法」は、匿名化した医療情報なら、集合の世界の情報として積極的に使ってもいいという法律です。そこには、「再識別行為の禁止」が条項として入っているんですが、漏洩に比べてペナルティが重くありません。
亀井 意識としてのウエイトが高くないわけですね。
山本 僕は、再識別行為の禁止に対するペナルティをガーンと上げちゃうほうがよいと考えています。そうすれば、「再識別することが良くないんだ」という社会規範が生まれるからです。たどろうと思えばたどれるかもしれない情報であっても、たどろうとする行為への抑止力を法制度として組み込んでいくことが重要だろうと思います。