...

ダウンロード - Researchmap

by user

on
Category: Documents
13

views

Report

Comments

Transcript

ダウンロード - Researchmap
JIPDEC ID 連携トラスト
2015/3/13
データ利用における
個人情報の保護
中川裕志
(東京大学)
次から次へと問題が起こる:その1
 Suica事件:JR東日本がSuicaデータを個人名を消す程度
の処理で日立に売却しようとした。
 以下の議論では、データ構造は下のように想定します。
 (個人名,疑似ID,それ以外(機微情報,その他))
 プライバシーを不安視する声が大きくなり、結局売却は中止。
 技術的にはどの範囲まで個人情報を削除すればよいかが
問題
  トラストフレームワークだと起きない問題(ただし、トラストフレー
ムワークの参加者のコンプライアンスが破れないという条件の下で)
EUのように行動履歴が原則的に個人情報と見なされると原理的
に売却不可。
この原則は個人名と乗車履歴が完全分離できれば、乗車履
歴だけを売却しても良さそうに見えるのだが、行動履歴は個人
情報と見なせるので簡単ではない。
行動履歴は個人情報と見なせるので簡単ではない。
DVで夫に転居先を知らせていない妻の居住地が分
かるなどのケースもありえる。
トラストフレームワークの参加企業の中にDV夫が
入っていても妻の情報取得できないように個人データ
保護できますか?
つまり、トラストフレームワークの参加企業内部に
敵対者あるいは利益相反者がいない状態をどうやっ
て保証するかという問題!
機微情報の疑似ID化の問題
• 機微情報の疑似ID化
– 機微情報から個人特定への糸口が見つかる状況
– 例1:行動履歴
• 詳細な時刻、地理精度、あるいは長期間にわたる行動履
歴は、その情報自体から個人特定可能になる
– 例2:ゲノム情報
• ゲノム情報は極めて個人識別能力が高い。
– 個人の特定はできないにしても。
• 通常は、ゲノム情報+個人の疑似ID(あるいはIDそのもの)
+病歴などの機微情報までデータベース化されている
• ある人の毛髪などを入手できれば、ゲノムデータベースを
用いて、個人特定可能になるだろう。
次から次へと問題が起こる:その2
 日本の会社が傘下のライフサイエンス企業を米国ファンドへ売却中国資本
の台湾の会社に売却される可能性あり(診療データを含む)日本人の診療
データが個人情報保護に問題のある国に渡るかもしれない。
 個人データ越境の問題は深刻。
 会社が個人データを他国に売却するような越境がまず問題
 この例のように会社の資産としての個人データを会社ごと他国の企業に売却して
しまう場合は、どうするか?
 法律で防ぐしかないか、あるいはデータと会社を分離して売却?会社の価値がなく
なってしまうが。。。。。
 技術的には、個人データが他のデータと分離不可能な状態で混ざってしまうことを
どう防ぐかが問題。
 トラストフレームワークが多国籍化した場合の問題はないか?トラストフレー
ムワーク参加企業が個人データを保存できる場合、その参加企業自体が売
却などで他国に移動してしまうことが問題。
 トラストフレームワーク契約では、参加企業の国籍変更やトラストフレーム
ワーク脱退時に個人データ消去を確実に行う契約にしないと危ない。
個人データ越境に係わる問題
 EUからは十分性のない国への個人データの越境
は禁止
 さて、某社がEU域内での自社製品である車の走
行データを収集したとします。
 行動履歴が個人情報であるというEUの立場から
すると、この走行データは某社が本社を持つ日本
に持ち出せません。
EU内の子会社などを通して、EUの規則に合致するとい
う契約をEU当局と交渉して承諾してもらう必要があるが、
大変な労力。大企業にしかできない!
個人データ越境に係わる問題
 しかし、データはEU域内の計算サーバに乗せたまま、本社
から処理プログラムや計算環境をEUに持ち込んで処理した
ら、処理結果は持ち出せるかという問題が生じます。
 処理結果が完全に個人再識別ができない統計データなら持ち出
せそうです。
 ただし、本社が個人情報保護法の十分でない日本に存在する会
社の支社や子会社の場合、EU市民の個人データをEU域内であっ
ても保持したり処理したりできるのか?
 トラストフレームワークだとトラストフレームワーク自体がEU
との間で契約を締結する必要がある。つまり、トラストフレー
ムワークはEU相手に仕事したければ、EU内に強力なパート
ナーを持つ必要有り。
日本がEUから個人情報法制が十分
でないと言われている問題:十分性
• 第三者機関(個人情報保護委員会の設置)と
個人情報保護法の改正で十分性を得ようとし
たのだが
– 事業者が収集した個人情報の利用目的変更を
同意なしに行える OECDガイドラインに抵触し、
十分性どころではない状況
– http://www.news24.jp/articles/2015/02/06/0726
8775.html#
その後、読売新聞の記事や、自民党の議員グ
ループからの意見で、この項目はなくなる模様。
十分性が無い状態での対策
• http://ameblo.jp/harutoj/entry-11983992966.html
• EU現地法人のケース
• EUデータ保護指令があるからという理由で、最近はEU域内のデータセ
ンターに設備を置いて、情報を収集する企業が増えています。現地法
律事務所などの世話にならなくてはならないのでコスト大
•
ヨーロッパに支社・現地法人などを持つ日本企業が、収集したEU居住
者の個人データを日本側で一括管理したい。
• ①全てのデータ主体(=収集源の個人)に説明して同意をもらう
•
②現地側事業所と日本側本社が標準契約条項(SCC:Standard
Contractual Clauses)に基づいた契約を締結する。
• EU域内からのネットワーク経由情報収集
設備(Webサーバなど)は日本国内にしか存在し
ないが、EU域内の個人に対してインターネットを
経由してサービスを提供し、そのサービス利用
のための個人情報(ID、パスワード、個人情報、
利用履歴など)を収集・活用したいが。。。。
現行の指令でも「域外適用」の条項がある。
– EU域外の企業がEU居住者のデータ処理を行う場合
もEUの法律が適用される
• 今後EUデータ保護指令は規則化されることを視
野に入れると、EU域内に設備や事業所を持たな
くても対応を迫られる可能性がある。
• 域外持ち出しのためにはもう一つBCR: Binding
Corporate Rules(拘束的企業準則)という方法がある。
BCRはSCCよりも包括的なしくみである反面、取得のた
めに時間がかかり(数年など)、コストも高い
– いまのところ日本企業(外資系グローバル企業の日本法
人などを除く)での取得例は不明。
• EU内の企業も含めてトラストフレームワークを形成し
て、そのトラストフレームワークとEUとの契約の形態
に持ち込めないか?
•  トラストフレームワークのグローバル化
補遺:個人データ越境に係わる問題
 そもそもデータの場所をどうやって定義するのか?
 個人データの場合
 個人の国籍あるいは居住場所
 データ収集した場所(EU居住者が日本にいるときの行動履
歴は?)
 企業が収集した個人データの場合
 企業のデータセンターの所在地? 分散ストレージ?
 企業の支社所在地
 企業の本社所在地? どこかの島かも....
次から次へと問題が起こる
Google Suggest 訴訟:自分の名前でGoogle検
索すると、犯罪関連の単語が出るので、関連
単語のリンク削除要求:
東京地裁で2件は1審一勝一敗。東京高裁の2審
ではいずれもGoogle勝ち
Googleの公共性は個人の不利益より公益性が高
いという判断。
次から次へと問題が起こる
 Google 訴訟:自分の名前でGoogle検索すると、過去の犯
罪関連の単語がしつこく出る
 スペインの裁判所では判断できず、EU司法裁判所で
Google敗訴が確定(EUではこれで決着かつ、この判例が
EU全域で有効)
 http://eumag.jp/question/f0714/01
 EU域内ではGoogleは利用者からの個人データ消去の要求に
応じるようになった
 忘れられる権利の執行は、報道の自由とのからみで非常に難
しい
 Googleが対象となったメディアなどに削除記事を通知する...と
しているのは、せっかく忘れかけた個人情報を帰って公に晒し
てしまい、かえってよくないとEUは主張している
次から次へと問題が起こる
 Google訴訟再び:
 犯罪に関わっているかのような検索結果が出てくるのはプライバ
シー侵害だとして、日本人男性がグーグルの米国本社に検索結
果の削除を求めていた仮処分申請で、東京地裁は(2014年10月)
9日、検索結果の一部の削除を命じる決定を出した
人格権侵害の表題やスニペッ
トは削除せよ。
人格権の侵害が検索エンジ
ンの公共利益に勝るとした。
リンク削除を要請しているかど
うか不明
技術的な詳細に触れていな
いようだ
続報
• グーグルが検索結果削除 「裁判所の決定尊重」
•
•
インターネット検索サイト「グーグル」に表示される不名誉な
内容の投稿記事で日本人男性の人格権が侵害されていると
して、東京地裁が検索結果の一部削除を命じた仮処分で、
グーグル日本法人は22日、「裁判所の決定を尊重して仮処
分命令に従う」として検索結果を削除する方針を明らかにした。
男性側の神田弁護士は22日までに、削除対象の大部分が
既に表示されなくなっていることを確認した。
グーグル側が削除に応じない場合に制裁金の支払いを求
める「間接強制」を21日に地裁に申し立てたが、神田弁護士
は「完全削除が確認できれば、間接強制の申し立ては取り下
げることになる」としている。
• 2014/10/22 17:47 【共同通信】
検索エンジンからの個人データ消去を巡る問題
 法律的問題
 「国民の知る権利」とプライバシーに係わる
「忘れられる権利」とのバランスの上で消去すべきかどうか決める
 ケース毎に決めるとなると厄介。
 検索エンジン側としては、消費者から出された全ての消去要求を
受け付けるべきかの判断が難しい
 文句を言ったもの勝ちか?
 機微情報
 機微情報が検索エンジンで晒されることが問題だとすると
 そもそもこの問題には機微情報が何かという定義がはっきりしな
い部分がある。
 犯罪歴、病歴、家族構成、収入、身体的特徴などは機微情報であろ
うが、
 行動履歴が機微情報かどうか?通学している学校名は機微情報
か?
検索エンジンからの個人データ消去を巡る問題
技術的問題
 個人から訴えられたリンクを消すことはプログラムを書いて
ある程度は自動化できるが、人手はかかる
 個人名と文句をつけられたリンク先の入力は人手による
 削除したリンクをオフラインで残しておけば、後に必要に
なったときに使える
 政府からの犯罪やテロなどの捜査要請
 ただし、検索エンジン内部のコンプライアンスが十分でなく
流出するとお問題医療データの連結匿名性に似た問題
のようだ
補遺:連結匿名性
• [個人名,疑似ID(住所,年齢,性別など)、その他情報(病気の
症状などの機微情報)]
• というデータベースを以下のように分解する。
• [個人名,仮名] [仮名,疑似ID,その他情報(機微情報)]
•
同一
• この状態だと分解しても仮名をたどれば元のデータを復元で
きる 連結可能匿名性
• [個人名,仮名]を完全の消去すると
• [仮名,疑似ID,その他情報(機微情報)]から個人名が分から
ない  連結不可能匿名性
– 医療分野では研究目的で患者個人のデータを使う場合は連結不可
能匿名性にしないといけない
検索エンジンからの個人データ消去を巡る問題
技術的問題
 そもそも特定の個人のことを悪く言うサイト自体は残って
いるので、同じことが他の検索エンジンでも起こっている
かもしれない。
 そのようなサイトを見つけて、サイト運営者に削除要求を出
せるか?表現の自由との関係
 Torという多段ルーティングを使われると技術的にそのような
サイトを見つけることが困難かもしれない。匿名の攻撃者が
悪意を持って個人攻撃したければTorを使うことはありえる。
 ただし、Torは内部告発の有効な手段という見方もある。同
じ技術が善にも悪にも使えてしまう。
Torによる多段ルーティング
Onion Routing
検索エンジン
Torで何段もルーティン
グされるとここまでた
どり着けない
そもそも、プライバシーって何?
インターネットが大衆化する以前
• プライバシーとは人々が密集して生活している都市のよ
うな空間において「一人にしておいてもらう権利」という
概念で捉えられていた。以下のように2つのフェーズに
分解
•
– a. 個人の不可侵な領域を設定。例えば、物理的には個人
の身体、情報的には個人に係わるデータ。
• 例えば身体の不可侵さを示すため衣服を着用して身体的プライバ
シーを守っているという考え方。
– b. その領域内の一部ないしは全部を他人との同意に基づ
き、ある対価と引き替えに他人に知らしめることができる。
•
– a. 個人の不可侵な領域を設定。例えば、物理的には個人
の身体、情報的には個人に係わるデータ。
• 例えば身体の不可侵さを示すため衣服を着用して身体的プライバ
シーを守っているという考え方。
– b. その領域内の一部ないしは全部を他人との同意に基づ
き、ある対価と引き替えに他人に知らしめることができる。
•
• aの設定は個人の意志に基づいて決まる。その個人に
関しては、時間や場所によって異なり、状況依存的であ
る。
– 例えば、サラリーマン金融ショップに出入りしたことは、通常
はプライバシーではないかもしれないが、その人が就職活
動中だとかなり高いプライバシーかもしれない。
• bにおいては、同意に基づくという部分が本質的であり、
同意に基づかない場合はプライバシー侵害となる。
インターネットが大衆化後
• プライバシーの焦点はインターネット上を流通
するデータ主体の個人データに移ってきた。
• 「一人にしておいてもらう権利」はインターネッ
トにおける個人という文脈では、
– 「忘れられる権利(the right to be forgotten)」 ある
いは
– 「追跡拒否権(Don’t Track: DNT)」という考え方に変
容する。
 インターネットが大衆化後
• 「忘れられる権利」は、検索エンジンによって自分
のことが書かれているWebページにアクセスでき
ないようにリンクを切断させることである。
• 「追跡拒否権」は検索エンジンが自分のことが記
載されたページを現時点以降に収集しないように
要請し実施させることである。
– DNTはGoogleの裁判で問題になったプロファイリング
に関していえば、プロファイル拒否権という見方ができ
る。
– ただし、opt-outとの関係が微妙
リンクを切って、Aのペー
ジへアクセスできないよう
にする:忘れられる権利
個人:A
検索エンジン
Aのデータが出ているペー
ジを収集しないようにす
る:追跡拒否権
• 図においては「忘れられる権利」と「追跡拒否権」は個人Aから
検索エンジンに対する具体的要請である。
• 「忘れられる権利」をもう少し抽象化して適用範囲を拡げようと
すると、
– データ主体である個人が自身に関する個人データのコントロールを
できる「自己情報コントロール権」をプライバシー権とする考え方に
なる。
• 「自己情報コントロール権」
– 自己情報の開示、訂正、削除を要求し、
– それを不当ではない対価で実現させることである。
– もし、これらの要求に応じられない場合は、その正当な理由を請求
者に知らせなければならない。
• この権利は1980年に制定されたOECDプライバシーガイドライ
ンの8原則のひとつで第13条に記載されている
再続報
• Google to give all users clearer information
about data use
• David Meyer Jan. 30, 2015 - 6:01 AM PST
• https://gigaom.com/2015/01/30/googlepromises-better-privacy-information-to-settleuk-case/
Google、UKに妥協
 どのような利用者情報が保持されているか、および保持の理由が明
確に分かるプライバシーポリシーに改正
 利用者が自己情報コントロールなどの権利を行使するために必要に
なる情報を提供する
 E-メールなどに関するプライバシーポリシーの改訂
 匿名の利用者のIDの収集とその目的をプライバシーポリシーの明記
 Googleのサービスを組み込んでいるサードパーティのサービス(広告
など)利用者に対して、利用者個人データの利用基準を考慮し、デー
タ収集に同意を必要とする
 Google社員に通知と同意 ( notice and consent )の必要性を徹底す
る
アメリカでも潮目が変わった?
• オバマ大統領が言いっぱなしになっていた消
費者権利章典の法制化に言及(実現性は不
透明)
• 米国Yahoo!(CEO)のMarissa Mayerが収集した
個人データの保護や使用法の透明性の確保
がユーザの信頼を得るために重要と主張
– http://www.thedrum.com/news/2015/01/23/yah
oo-s-marissa-mayer-some-internet-vendors-arenot-being-transparent-enoughdata?fb_ref=Default
Yahoo CEO Marissa Mayer 曰く
• 制御された同意を重視。
• つまり、個人データがどのように使われ、どのように移
転されていくかについてデータ主体の個人が認識する
こと。
• データがあれば何をやっても良いというわけではない
– これはあくまで米国Yahooの話であることに注意されたい。
削除要求への技術的対策
• 忘れられる権利 vs 知る権利
– 法務担当者はケース毎に判断するのが人手とコ
ストがかかりすぎ!
• 判例、および削除要求者からの要求にうまく
対処できたケースを正例、失敗したケースを
負例 として分類器を機械学習
• 分類器がうまく動けば法務担当者の労力を
大幅に削減できる。
Cavoukian:Privacy by Design
1.
Proactive not Reactive: 事後の尻ぬぐいではなく事前に対策を;
2.
Privacy 配慮はデフォールト;
3.
Privacy 対応策は制度、システム設計時に;
4.
ゼロサムではなく win-win : Privacy対策をしっかりやれば、デー
タ業者側にも得になる;
5.
End-to-End Security: データが活きている間はいつもProtection;
6.
可視性と透明性: 公開性を確保;
7.
User Privacyを中心に考えるべし.
Schőnbergerの主張
• プライバシーに関しては「同意」万能の風潮があるのだが、それに
対立する意見がSchőnbergerから述べられた
– IAPP Data Protection Congress in Brussels での Viktor MayerSchönberger (「ビッグデータの正体」の著者)のKeynote address
http://www.youtube.com/watch?v=40fSCZaLv_A
• 文書としての出展は"Data Protection Principles for the 21st
Century;”
• http://www.oii.ox.ac.uk/publications/Data_Protection_Principles_f
or_the_21st_Century.pdf
• 上記の文書で触れられている1980年制定のOECDのData
Protection Guideline† 改正案とコメントがSchönbergerの主張
• 以下にその要点を述べる。
†各国のデータ保護法制の基礎になってきた。
データ業者が個人情報を収集、利用する
ことについての同意の形骸化
 Webサービスに参加、あるいはWebアプリやソフトのダウンロード時に、
「同意します」を儀式的にクリックするが、その一方で、契約文書を読んだ
人は果たしてどれほどいるだろうか?
 例えば、2008年の調査では、このような契約文書(プライバシー・ポリ
シー)をちゃんと読むと、年間244時間(=30日間のフル仕事)になってし
まう。
 多くの契約文書はほとんどコピペだとも言われる!
 プライバシー・ポリシーはサービスやアプリの利用者に自己情報開示の
度合いを選ぶ権利を与えていない。さらに第3者への利用者データの転
移の状況も教えないという。そして、「同意」しなきゃサービスやアプリは
使えないだけだよ、というある意味非常に不平等な契約。
 (付合契約というらしい)
 こんなわけで、本来は「通知と同意」(notice and consent)という枠組みは
有効なプライバシー保護を与えるはずだったのに、現状では全く非効率
ないし実質的に機能しない
同意から説明責任へ
 データ主体の個人の同意が実効性がなくなっているので、別のアプ
ローチが必要
 本質的に個人データ収集時には、どのような利用方法があるか予測
しきれない。
 同意の内容は「データ利用法を限定しない包括的」かつ「データ事業者
側に有利なもの」にならざるを得ない。
 別の方向性
 データ事業者(個人データ収集とデータマイニングなどの利用を行う
業者)が、収集、利用について説明責任(accountability)を持つ。
 データ源の個人からの要求による説明責任の実行は法律で担保す
る。
 この説明責任の実行がデータ事業者が個人データの利用以前、以
後を通じてできるのかどうかがキーポイント。(利用方法変更の問題)
 しかし、企業の説明責任をどう法制化するかが問題
 このお目付役が個人情報保護委員会であるべきではないか
トラストフレームワークでは?
 Schőnbergerの主張における「企業」はトラストフレームワーク
の執行主体であるメディエータになる。
 メディエータは、トラストフレームワークの個人データ使用条件に
関して個人と企業の摺り合わせを行い、条件のマッチングができ
た場合、個人データを企業に使わせるという執行を行う。
 Schőnbergerの言う「説明責任」の実行がデータ事業者
 個人データの利用以前、以後を通じてできるのかどうか
 企業の説明責任をどう法制化するか
 トラストフレームワークの場合、説明責任の主体はトラストフ
レームワークの執行主体であるメディエータか?
 だとすると、メディエイターの規約や行動を個人情報保護委
員会がチェックするという体制が有力な解。
Cavoukian のカウンターの提案
Personal Data Ecosystem:PDE
情報サイロと呼ばれる寡占状態を打破して、
個人に自己データの利用決定権を取り戻し、
他人(あるいはデータ事業者)と契約により
シェアする
個人による自己データ管理のアイデアに賛同
し、それをシェアするための新規ツール、技
術、ポリシーを共有するデータ事業者の集合
をPDEと呼ぶ
Cavoukian のカウンターの提案
Personal Data Ecosystem:PDE
 個人データ管理権が個人になることによって、新規
の方法でデータ利用することが、個人も巻き込んで
進展すれば、個人、データ事業者の双方にとって
win-win という主張
理想的ではあるが、特に知識を持たない一般の個人が
それだけの判断ができるかどうか疑問なので
個人とデータ事業者の間にデータ仲介者:メディエータ
ツールはVRM(Vender Relation Management)に関連した
ものであり、仲介者はVRMにおける第4者(Fourth Party)
になるかもしれない(ドク・サールズのインテンション・エコ
ノミー)
Vender Relation Management:VRM
• PbDに近いアイデアをVRMが提唱している。
– インテンション・エコノミー(ドク・サールズ著)2013
• データ源の個人のプライバシー保護に関しては、
PbDとVRMは驚くほど似た主張をしている
– VRMはマーケティングの話なので、元々の分野が違
う。
– PbDの実現形態としてVRM。ただし、両者は完全一
致するわけではない
– 以下では、インテンション・エコノミーに記載されてい
ることで、 SchönbergerとCavoukian論争、およびPbD
に関連することを紹介する。
付合契約
• 契約当事者の一方(企業側)が契約内容の全て
を決める契約であって、もう一方(個人顧客)は、
(1)その契約に同意するか、(2)サービスを受けな
いか、の二者択一しかできない契約
– Webサービスやソフトライセンスはほとんど全てこの
契約になっており、 「同意」は不平等。だから、
Schönbergerは企業側のaccountabilityを重視する。
– Accountabilityが実効性があるのは法律の裏付けが
ある場合のみだろう  法制度改革にスピードは?
– 個人顧客側のパワーを上げるための仕掛けとしての
フレームネットワークという考え方
ステークホルダーの関係図
従来ないし
現在の構図
第3者
クレジットカード会社
など
弱い
第2者
企業
第1者 個人
顧客
ステークホルダーの関係図
従来ないし
現在の構図
第2者
企業
第1者 個人
顧客
VRM:
第4者:メディエイター
個人顧客の
代理人
VRMの提唱する構図
個人側から自分の個人データ
を選んだ企業に使わせてやる、
という契約の仕方
当然、個人データの管理権は
個人側にある
A right to data portabilityに対応
する仕掛け
フォースパーティ:第4者
• 図にある第4者(メディエイター)はVRM提案の概
念で、顧客の利益を代表し、その代理人として機
能する存在。以下の特性を持つ
– トラストフレームワークの実装にも関係が深い部分。
1. 取引相手企業の置き換え可能性
2. サービスのポータビリティ
3. データの使用企業を顧客が選べる(ポータビリティ)
 これがPbDの実装と見なせる部分
4. 独立性
5. 説明責任(企業にaccountabilityを要求する)
パーソナル・ドットコムの2011年の
「所有者データ契約」
• これがPbDのアイデアの実装となる契約と読
み取れる
1. 個人自身が自分のデータを所有
2. 個人が他者のデータへのアクセスをコントロー
ル
3. 個人が承認した形でだけ業者はデータ利用可
4. 個人の要求による削除
完全な自己情報コントロールになっている。
実現可能なストーリー
 パーソナル・ドットコムの2011年の「所有者データ
契約」は完全な自己情報コントロールの実現
だが、既存のデータ処理業者には負担も大きく、抵抗
も激しいだろう。
 既存の事業者が取り込むことは望み薄なので、
VRMシンパとして新規企業を巻き込むか(Project
VRM)
 既存企業に対して個人は第4者を代理人として
使って、accountabilityを実現させるか
(Schönbergerの路線)
Accountabilityの実効性を法律的に担保する公の機関
として個人情報保護委員会
実現可能なストーリー
 Accountabilityの実効性を法律的に担保する公の機関として個人
情報保護委員会
 データ業者のプライバシー取り扱い資格を個人情報保護委員会
が与える。
 ということは、すなわち
データ主体の個人の代理人であるVRMの第4者へのお墨付きも個
人情報保護委員会が与える
 この業務をこなせる強力な権限と実行力を持つ個人情報保護委員会が
作れるかどうか。。。。 相当大変そう  実現可能じゃないかも
 いずれにしても、世界的にはトラストフレームワークとして動
き始めている
この論争のまとめ
 SchönbergerもCavoukianも個人データをデータ業者がどのように蓄積
し使うかをデータ源の個人が知り、場合によっては訂正、消去させる
権利(自己情報コントロール)の実効性を重視している。
 Schönbergerはデータ業者側のaccountabilityの形を推奨。ただし、自
己情報コントロールがどのタイミングで発動できるかは明らかでない
 ただし、データ業者としてトラストフレームワークのメディエイターを想定
できるなら、自己情報コントロールも説明責任も容易に実現できそう
 Cavoukianは個人データの管理まで含めてデータ源の個人が持つ方
向を目指す。当然、自己情報コントロールの発動は任意の時刻にで
きる。
 トラストフレームワークのメディエイターが個人データ管理の代理人にな
ると、メディエーターと個人の間の関係がクリティカルになるのではない
か
 個人がトラストフレームワークに苦情を言う、あるいは裁判を求める
 そう言う個人からのアクションの駆け込み寺として個人情報保護委員会が機能
するかどうか。。。
参考文献
• 情報処理 学会誌2015年12月号
• 特集「パーソナルデータの利活用における技術および
各国法制度の動向」
• 執筆者はプライバシー保護の分野での著名な方々で
す。
• 法律関係では高崎晴夫、石井夏生利、森 亮二先生
• システム関係では、神嶌敏弘、佐古和恵、高橋克巳
先生
• まとめ:私
Lesson to take home
 トラストフレームワークを自己情報コントロール
権の実装手段として考える。
 個人ではなくフレームワークの枠組みで
消費者権利の実効性の向上
個人情報保護委員会とのインタフェースの設計
 トラストフレームワークのグローバル化
標準契約条項(SCC)の契約母体として機能させ、十
分性への対応手段となりえないかの検討
補遺
プライバシー保護を巡る海外の状況
 米国:FTC3要件
 米国:消費者プライバシー権利章典
 REPORT TO THE PRESIDENT BIG DATA AND
PRIVACY, USA, 2014/5
 匿名化に加えて、自己情報コントロール(忘れられる権利、あ
るいは開示、訂正、消去の要求できる権利)が明記されてきて
いる。
 EU: OECDプライバシーガイドライン改正
旧版は1980年
 EU:Data Protection Regulation Revision(個人
データ保護規則改正案) 2014/3
FTC3要件
1.
データ事業者はそのデータの非識別化を確保するために合理的
な措置を講ずるべき
個人の識別ができないよう
にすること。含む「匿名化」
2.
データ事業者は、そのデータを非識別化された形態で保有及び利
用し、そのデータの再識別化を試みないことを、公に約束すべき
第3者への提供が前提になっています。
3.
データ事業者が非識別化されたデータを他の事業者に提供する場
合には、それがサービス提供事業者であろうとその他の第三者で
あろうと、その事業者がデータの再識別化を試みることを契約で禁
止
• ※個人を識別可能なデータと、ここで説明した非識別化のための措
置を講じたデータの双方を保有及び利用する場合には、これらの
データは別々に保管すべき
• 違反した場合の罰則執行はFTC5条による。
• FTCには法的執行機能があることに留意されたし。(課徴金や仲裁)
EU: OECDプライバシーガイドライン改正
提案されたOECD Data Protection Principles
Accountability関連の改正の骨子
a.
データ事業者(データ収集者を含む)は、どのようなデータがどのように
使われるか、またデータ源の個人はどのような権利を有するかを開示
しなければならない (無料)
b.
データ事業者は、彼らのミスによって起こる可能性のある被害を明記す
ること
c.
データ源の個人は、自己データへのアクセス、訂正、消去を速やかに
実行させる権利を持つ。
a.
d.
権利執行にかかる費用は不当なものであってはならない。
データ事業者は上記の個人からの要請に応えなければならない。もし
応えられない場合は、その合法的な理由を明示しなければならない
次から次へと問題が起こる:その3
 ベネッセの会員データの名簿業者への流出事件
典型的な部内者によるプライバシー・データの持ち出
し
名簿業者への横流しして金銭授受
セキュリティの典型的内部犯行問題だが
ベネッセがファイルにわざと混ぜておいた架空の会員デー
タは鮮やかに排除された後、残った個人データが使われて
いる。
高度な処理技術と名寄せ技術の悪用が推測される
トラストフレームワークだと個人単位で契約するので危険性
は低いが、個人データを集積するような業務をするメンバー
がトラストフレームワーク内にいるとどうなるだろうか?
名寄せ技術のおさらい
属性1,2,3
太郎
…
次郎
***
花子
@@@
属性1,2,3,4,5
太郎
…¥¥
属性3,4,5
次郎
***??
太郎
.¥¥
花子
@@@^^
次郎
*??
花子
@^^
という概念を名寄せだと思うのは間違い
太郎ではなくTaroと記述され
ているかもしれない
個人名の異表記を統一するという拡張をす
れば名寄せだというのでもまだ甘い
名寄せの本当の脅威
IDを含むDB
属性1,2,3,4
太郎
…..
次郎
**??
花子
@@@@
IDを含まないが機微情報:
年収を含むDB
属性3,4,年収
属性1,2,3,4,年
収
太郎
… 1K$
次郎
**?? 3M$
花子
@@@ 5M$
.. 1K$
?? 3M$
@@ 5M$
属性3,4をキーにして、機微情報:年収と個人IDが
結びついてしまう
このような仕掛けで種々の外部データベースと名
寄せされると、流出する個人のプライバシー情報
はどんどん拡大する:蟻の一穴攻撃
Data Protection Regulation Revision
• Data Protection Regulation改正案は2014年3月12日にEU議会で可
決。
• This reform (MEMO/13/923 and MEMO/14/60) was approved by EU
parliament on March 12, 2014 by voting in plenary with 621 votes in
favour, 10 against and 22 abstentions for the Regulation and 371
votes in favour, 276 against and 30 abstentions for the Directive.
– http://europa.eu/rapid/press-release_MEMO-14-186_en.htm
– 旧Data Protection Directiveは1980年
• 中心的ポイントを以下に述べるが、Cavoukianの考えに近い。
– ただし、人権に基礎をおき、かなり急進的と言われる。
– 成案となるためには欧州の各国代表からなる理事会でも可決しないと
いけないため、見通しは不透明。
– 各国別個の立法を要請する「指令」ではなく、EU全域に効力を持つ「規
則」であることが争点だという話もある
Data Protection Regulation Revision 抜粋1
http://europa.eu/rapid/press-release_MEMO-14-186_en.htm
• A right to be forgotten: (忘れられる権利)
– When you no longer want your data to be processed
and there are no legitimate grounds for retaining it,
the data will be deleted. This is about empowering
individuals, not about erasing past events or
報道の自由とプライバ
restricting freedom of the press.
シーの微妙なバランス
• Easier access to your own data: (自分の個人
データへの容易なアクセスの権利)
– A right to data portability will make it easier for you to
transfer your personal data between service providers.
– これはCavoukianのPDEに近い
Data Protection Regulation Revision 抜粋2
http://europa.eu/rapid/press-release_MEMO-14-186_en.htm
• Putting you in control: (個人データ利用の同意はexplictに)
– When your consent is required to process your data, you must be
asked to give it explicitly. It cannot be assumed. Saying nothing is
not the same thing as saying yes. Businesses and organisations
will also need to inform you without undue delay about data
breaches that could adversely affect you.
– ここはaccountabilityでも対応するかもしれない
• Data protection first, not an afterthought:(個人データ保護
はシステム設計時から考慮すべき)
– ‘Privacy by design’ and ‘privacy by default’ will also become
essential principles in EU data protection rules – this means that
data protection safeguards should be built into products and
services from the earliest stage of development, and that privacyfriendly default settings should be the norm – for example on
social networks.
– CavoukianのPrivacy by Design のアイデアを直接利用
k-匿名化をdisる
濡れ衣
 以下の議論では、データ構造は下のように想定します。
 (個人名,疑似ID,それ以外(機微情報,その他))
K-匿名化:ところが事態はそう簡単ではない
名前
年齢
性別
住所
N月M日P時の所在
一郎
35
男
文京区本郷XX
K消費者金融店舗
次郎
30
男
文京区湯島YY
T大学
三男
33
男
文京区弥生ZZ
T大学
四郎
39
男
文京区千駄木WW
4-匿名化
Y病院
名前(匿名化)
年齢
性別 住所
N月M日P時の所在
一郎
30代
男
文京区
K消費者金融店舗
次郎
30代
男
文京区
T大学
三子
30代
男
文京区
T大学
四郎
30代
男
文京区
Y病院
次郎、三子、四郎も一郎と区別出来なくなった
結果、4人ともK消費者金融店舗に居たことを
疑われるK-匿名化が誘発する濡れ衣現象
L-多様性を導入するともっと面倒なことになる
名前(匿名化)
年齢
性別 住所
N月M日P時の所在
一郎
30代
男
文京区
K消費者金融店舗
次郎
30代
男
文京区
K消費者金融店舗
三子
30代
男
文京区
K消費者金融店舗
四郎
30代
男
文京区
K消費者金融店舗
個人を入れ替えて2-多様化
これでは4人とも消費者金融に居たことが
露呈
名前(匿名化)
年齢
性別 住所
N月M日P時の所在
一郎
30代
男
文京区
K消費者金融店舗
研次郎
30代
男
文京区
K消費者金融店舗
研三子
30代
男
文京区
K消費者金融店舗
研四郎
30代
男
文京区
T大学
研四郎もK消費者金融に居たのではないかと疑われる
L-多様化が誘発する濡れ衣現象
Fly UP