経産省 日本型PIA導入への動き

2013年09月26日
法律事務所ホームワン

経済産業省は、本年5月に、「IT融合フォーラムパーソナルデータワーキンググループ報告書」を公表し、パーソナルデータの利用ないし活用を進める上で、消費者と事業者の信頼関係の構築が何よりも重要であるとの考え方の下、事業者に求められる取組等を示している。
同省は、この報告書を踏まえ、パーソナルデータを消費者から取得する際に特に重要な、取扱方法等を消費者に分かり易く説明し了解を得る手法を中心に、パーソナルデータを利活用するサービスモデルが消費者との信頼関係の構築という観点から適切なものであるかについて事業者の相談にのり 、評価する取組(日本版PIA)を試行的に実施する。本日9月20日から、この試行に御協力いただける事業者の募集を開始した。

※参照
経済産業省ホームページ
「パーソナルデータの利活用に関する事前相談評価(日本版PIA)試行に御協力いただける事業者を募集します」

(評)
上の文章を読んだだけでは何の事だか分からないだろう。パーソナル・データという言葉は聞いたことがなくても、ビッグ・データという言葉を聞いたことがある人は多いだろう。膨大な個人データを集積、分析し、マーケティング戦略に生かそうという試みだ。
ただ、こうした個人データの収集・利用・第三者への提供が広く行われた場合、プライバシー侵害にならないかが問題になる。こういった個人データは、匿名化された上で(誰のデータかが分からないようにマスキングされた上で)、他に提供される。こうしたデータをパーソナル・データという。パーソナル・データだけを見ても、その情報主体を特定することは不可能なため、個人情報保護法の保護の対象にはならない。ただ、こうしたデータも、他のデータと突き合わせることで、個人を特定できる可能性もある。
JR東日本がSuicaの情報を、日立製作所に売却、その直後から「個人情報保護の観点で問題があるのでは」という指摘が、同社に対し多数寄せられたため、同社は7月25日には販売中止を宣言した。こういった騒ぎを、事情を知らない消費者の無用な心配とし、販売中止する必要もないとの意見を多くみられる。
それも真実だろうが、パーソナル・データの利用方法、第三者に譲渡する場合のプライバシー保護のありようを事業者が丁寧に説明してあれば、こんな騒ぎにならなかったと言えよう。誤解は誤解だろうが、こういった誤解を招かないよう努力をしていなかったのは、やはり失態というべきだろう。
EUには「EUデータ保護指令」があり、Personal Dataに関して十分なデータ保護レベルを確保していない第三国へのデータの移動を禁止している。日本、米国では十分なデータ保護レベルが確保されていないとし、移動が許されていないのが現状である。このため日本企業が、EU加盟国の国民のパーソナル・データを日本本社に送るのは現状禁止されていることになる。こうした世界情勢も踏まえて、今回の動きとなったものである。

注)
PIAとは「Privacy Impact Assessment」「プライバシー影響評価」のこと。
環境アセスメントの手法を、パーソナル・データの利用にも応用しようというもの。

法律事務所ホームワン 代表弁護士 山田冬樹