|
結構多くの人が個人情報の「定義」を誤解しているそうだ。誤解は一般人に限らず、新聞報道や、Webサービスの利用規約にも見られるという。
「ニッポンの個人情報」(鈴木正朝、高木浩光、山本一郎共著、翔泳社発行)には、個人情報保護法改正を巡る論点や背景などが書かれている。但し、本書は鼎談を記録したものであるため、文体が口語調で、必ずしも体系だっておらず、内容の重複や、結論が分かり難いところがあるように感じた。
また、法律に関する専門的な部分が含まれているので、個人情報保護法についてある程度の知識を有することが前提になるだろう。
事例についても詳細な経緯は書かれていないので、代表的な事例、例えば「JR東日本がSuicaの履歴データを日立製作所に第三者提供した問題」などは、ある程度の予備知識を有することが前提となろう。(従って本書は、個人情報保護法の入門書というよりは、この法律を巡る問題点・論点について一歩踏み込んだところを知りたい人向けの書籍といえる)
冒頭に書いた個人情報の定義に関する誤解であるが、これは本書のサブタイトルにもあるように、「個人を特定する情報が個人情報である」と誤解している人が多くいることを指摘している。
本書によれば、個人情報とは、個人を特定できる情報だけでなく、これを含む情報、例えば購買履歴やWebの閲覧履歴なども含んだ情報のことである。(さらに言えば、「他の情報と容易に照合することが出来、それによって特定の個人を識別できるもの」までも含まれる)
この種の誤解は、新聞報道やYahoo!の利用規約などにも見られるという。
例えば新聞報道に関しては、「産経の6月29日の社説『パーソナルデータ 匿名性は利用の大前提だ』ですが、このへんを読むと、パーソナルデータについて、『氏名や住所の削除など、個人を特定できないように加工すれば、本人の同意がなくとも第三者へ提供したり取得時の目的以外に利用できるとした』と書いてあって、アレレ?と」
氏名や住所を削除すれば、本人の同意なく、利用目的外であっても第三者に提供出来るようなことが、結構多く報道されたようだが、これは誤りだそうだ。正確には、「特定の個人を識別することを禁止するなど適正な取り扱いを定めることによって」という条件が付されている。この条件は、データを受領した側に禁止事項が在るということである。
個人情報で特に問題になるのは、そこに機微な情報が含まれる場合であろう。名前と住所、年齢、性別、電話番号くらいでは大きな問題にはならない。そこに機微な情報、例えば前科・前歴、病歴、思想、信条などが含まれる場合が問題となる。(機微情報の定義は「社会的差別の原因となる恐れがある人種、信条、社会的身分、前科・前歴等に関する情報」である。本書でも少し触れているが社会的身分とは、同和問題などに関係する出自のことで、会社の役職のことではない。)
医療情報が機微情報に含まれるのかという点に関しては、医者の倫理規定(医師法)との整理が必要なようだが、(本書を読んでも)細かい点は良く分からない・・・。
本書を読んで、あらためて驚くのは、結構な数の名簿業者が暗躍していることである。
ベネッセの情報漏えい事件でも、窃取された情報が名簿業者に渡ったことが新聞、テレビなどで報道され、名簿業者の存在と情報ルートが一部明かされた。しかし、その活動の実態はあまり明らかにされなかったと記憶する。
名簿業者が仕入れる個人情報の出どこは1箇所ではない。名簿業者に情報を売る人たちのグループがあって、複数のルートから、すなわち個人に関するいろいろな属性データが名簿業者に流れているようだ。
例えば、不動産業者が管理している入居者情報や、(本人確認に使用した)免許証番号やパスポート番号なども流出しているらしい。名簿業者は、このようにして集めた情報を名寄せして、個人に関する属性情報を増やし、さらに精度を上げていく。データの名寄せとクレンジングを行うことで情報の価値が増していくというわけだ。
例えば、過去にアダルトグッズを購入したことがある人といった条件で個人情報DBからデータを抽出すれば、アダルト業者向けの名簿ができるといった具合だ。
最近、共通ポイントが増えている。例えばTポイントカードは、レンタルビデオ店、コンビニ、外食チェーンなど共通でポイントがたまる。
事業者にとって共通化するメリットは、購買履歴を集約して横串で抽出できるようになることだ。先の名簿業者の場合と同様、個人に対する属性情報が増えれば増えるほど、利用価値が高まるというわけである。
本書には、プライバシーマーク(Pマーク)に関して面白い注釈が出ている。
プライバシーマーク制度とは、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定して、その旨を示すプライバシーマークを付与し、事業活動に関してプライバシーマークの使用を認める制度のことである。
1998年にプライバシーマーク制度が創設されてから、2015年1月までに認証の「取消」があったのは、JISAで1件、JIPDECで1件だけだそうである。このうち、JIPDECの1件は、先の例にあげたベネッセの1件である。
取消がたったの1件であることと、取消等不利益措置の基準の詳細が公表されていないこと、個々の基準の論理的根拠も説明されていないことから、何の認証をしているかのコンセプトが問われているとのことである。
これだけ取消が少ないと、認証制度自体が形骸化しているのではないかと疑いたくもなってこよう。
プライバシー情報の中で、近い将来問題になるのが遺伝子データである。
遺伝子データがあれば、遺伝的な疾患の有無や、高血圧や糖尿病などに罹るリスクの度合い、特定の癌にかかる確率などが分かる。従って、遺伝子データが、保険商品の勧誘や、医薬品やサプリメントの広告(行動ターゲティング広告)などに使われることは容易に想像がつく。また、遺伝子データは本人のプライバシーに係るだけでなく、子供や子孫にも影響を及ぼすことから、個人情報の枠内に収まらないレベルの情報であり、別途検討を要するテーマになるだろう、とのことである。
|
