1. - 経済産業省

by user

on 28 марта 2017

Category: Documents

>> Downloads: 2

views

Report

Comments

Description

Download 1. - 経済産業省

Transcript

1. - 経済産業省

資料４
前回までの議論のまとめ
平成25年2月22日
商務情報政策局
議論の全体像
○消費者が納得、又は受容できる信頼関係の構築について、「分かり易さ」に絞り込み議論
○「分かり易い」記述に関する議論を通じて、信頼性の担保（第三者による認証・評価・審査）の必要性や、消費者による開
示制御（消費者による情報制御）に係る課題が顕在化
1
「分かり易さ」に関する手法・アプローチ
事例：キタコレ、情報共有標準ラベル、ToS；DR
納得・受容
信頼
2
第三者による認証・評価・審査
事例：ToS；DR、EuroPriSe、スマートフォンアプリ
マーケット
ブランド
3
消費者に
よる選択
サービス自体
の魅力
消費者による情報制御
事例：マイライフ・アシストサービス（情報大航海
プロジェクト）、PPM（IT融合）、VRM
事例：Google、Amazon
1
1. 分かり易さに関する手法・アプローチ
1. 議論の骨格（フレームワーク）：分かり易さとは
2. これまでの議論の整理（「分かり易さ」に関する手法・アプローチのメリット・課題）
3. 『分かり易さ』の事例
【参考資料】



プライバシー・個人情報保護における各国法令の経緯
各国の法令の位置付け（オプトイン/オプトアウト）
国内の関係ガイドラインの状況
1.議論の骨格（フレームワーク）：分かり易さとは
第三者機関
信頼
主観的な分かり易さ
内容、表示（表現）
分かり易さ
事後審査
事例：キタコレ！
客観的な分かり易さ
指標、集合知
事前審査
事例：情報共有標準ラベル、ToS;DR
お墨付き
分かり易さの分類
内容の分かり
易さ
主観的
表示の分かり
易さ
指標
議論の観点
解決すべき課題
事例などの解決例
利用目的、情報
項目の提示
消費者が見逃さな
いわかりやすいや
り方はあるのか
キタコレ宣言のようなサンプル
取得される情報項目の表示
利用目的と取得情報を審査
する
適切なタイミン
グや場所での
情報提示
消費者が理解しや
すい表現のテクニッ
ク
利用規約のテンプレート
必要な情報項目が的確に提
示されているかを審査する
わかりやすく表
示する取り組み
何がわかりやすくな
り、何が見落とされ
るのか
デメリットを解消した指標
標準評価ラベルのようなラベ
リング
評判をどのよう
に形成するか
評判のスキームは
可能なのか
消費者自身がスコアリングできるフィード
バック系の仕組み
Tos:DRのような民間主導の
スコアリングサービス
客観的
集合知
第三者評価機関の役割
3
2.「分かり易さ」に関する手法・アプローチのメリット・課題①
○ 「分りやすさ」に関する手法・アプローチにより、サービス利用者は容易にサービスの内容や、事業者によるパーソナル情報の活用のし方の把握
が可能
○ 一方で、同意取得を細かくすることにより、利用者が増えない懸念や、その手法に信頼性の担保が必要である課題が顕在化
【ＷＧでの議論の構造化】～主観的な分かり易さ～
スコープ
全般
要点
○ 利用者に読んでもらうための分かりやすい表
記が必要
発言内容
○ 後になってトラブルになることが多いので表示の仕方は重要である
○ 分かり易い表記にしても読まないのではないか
事前同意
(opt-in)
○ 事前同意は個人情報保護法で規定されてい ○ 個人情報保護法では同意に係る規定はない
ないが、EU保護規則で規定されているので分 ○ EU保護規制では、事前同意を原則としている
かり易さという点でも同意原則を徹底するのが
○ 分かり易さが重要であり、同意原則を徹底すれば良いのではない
良い。
表示方法
○ 利用目的の通知が利用約款とプライバシーポ ○ SNSなどは利用約款とプライバシーポリシーの両者を契約とみなしている
リシーのどちらに記載しているかがサービスに ○ 個人情報保護法18条で利用目的を通知しなければならないが、記載が混在していて分かりに
よって混在されており、わかりにくい。
くい
属性情報
○ 識別情報と同時に属性情報についても利用目
的について通知すべきだ。その場合、どの属 ○ 情報の種類ごとに、どういった情報については許諾が必要か整理すべきではないか
性情報について許諾が必要かを整理する必 ○ 識別情報と同時に、属性情報の利用目的についても通知すべきではないか
要がある。
同意の
プロセス
○ サービスを受ける時の同意と、設定を変えたり後から同意を止めたりするような同意の２つが
必要なのではないか。オプトアウトは重要である
○ 同意取得を求めるような事業者にとって、事業
者が不利なことをどう改善していくのか。個人 ○ 個人の期待をそのまま受け入れて企業がやるというのは疑問
の期待をそのまま受け入れることは疑問であ ○ 同意取得を求めるような事業者が不利なことをどう改善していくのか
る。
○ 2次利用する場合において、現状逆になっている同意の向き（個人→（同意する）→企業）をど
うしていくかが課題である
○ 同意項目におけるクリックトレーニングをどう ○ デフォルトをoffにするという制約をどこでつけるのか
避けるのか。デフォルトの設定が認識されない ○ 同意項目を少なくするとクリックトレーニングになってしまう
ことは問題
○ デフォルトがonになっているのは問題
4
2.「分かり易さ」に関する手法・アプローチのメリット・課題②
【ＷＧでの議論の構造化】～客観的な分かり易さ～
スコープ
属性情報の
アクセス範囲
要点
発言内容
○ 想定されたアクセス範囲かを判断 ○ アクセス制限を調べても無理がある
するためには、アクセス制限を調べ ○ 想定されるアクセスの範囲であれば○、分からなければ△、範囲外であれば×程度で良いのではな
ても難しい。
いか
○ 表示であっても顧客を誘引して誤っていた場合のエンフォースメントもありうるのではないか
○ 一方的な評価だが、事業者との間で評価に際してはコミュニケーションがあった方がよいのではない
○ ToS-DRのような第三者評価機関
か
が決めるアイコンによって利用者と
○ 消費者団体がアイコンを決めるべきではないか
のコミュニケーションがとりやすいも
○ ToS-DRのようなアイコンがあれば今の利用約款よりも、コミュニケーションがとりやすくなるだろう
第三者評価
のを決める必要はある。。二次利
○ 本人側からの契約というのを前提とすべき。一時利用は契約。2次利用は利用約款にかかれて入れ
用についてもアイコンがあればい
ばいいでは済まないだろう。改善の余地がある。サービス毎にアイコンを表示して、本人に対するある
い。
同意を示す。個人としては二次利用されるかどうかは大きな部分だから、事業者の宣言として二次利
用ON/OFFのアイコンがあればよい
表現方法
○ 項目を標準化しないと、事業者によるバラつきが出るのではないか
○ 事業者としてはあえてこのサービス内容であれば、情報共有標準ラベルレベル1（最低）でよいという
選択もありうるだろう。ただしレベル1なのに消費者はレベル3と思っていたというようなミスコミュニ
○ 表示ラベルの項目の標準化をしな
ケーションは避けなければならない
いと事業者ごとにバラツキがでてし
まう。プライバシーポリシーを情報 ○ 情報共有標準ラベルをすべての会社が出していこうということであれば、効果的だと思う。プライバシ
ポリシをこの形にまとめるレベルでは対応可能である
共有標準ラベルに纏められれば効
果的である。
○ リアルビジネスでは、普及していない段階では、店舗で質問対応が必要になると実際の業務がまわら
なくなる。浸透した段階で対応すべきものではないか
○ プライバシーはお客様の主観に依るので、個別に表現するのは難しいのではないか
フィードバッ
ク
○ 表示されている内容が本当に実行 ○ 罰則がなければ、事業には関係してこない。他の事業者の評価と見比べて、突出して悪いようにはな
されているかを利用者がわかる仕
らないようにするだろうが、そのためのコストと見比べてというところだろう
組みが必要、それによって事業者 ○ 表示されている内容が本当に実行されているのか、担保する必要があるだろう
も改善を促すことができる。
○ 表示内容ができ、成果は利用者が判断すべき
5
2.「分かり易さ」に関する手法・アプローチのメリット・課題③
【ＷＧでの議論の構造化】～その他～
スコープ
法的背景
要点
発言内容
○ 個人情報保護法では、利用目的の通知義務はあっても、利用項目の通知はない。
○ 個人情報保護法では規定されていないが、同意よりも
どのような情報を取得しているかをきちんと明示して ○ ２次利用がなければ、包括合意で良いのではないか
通知する必要がある。
○ 同意の前に、どのような情報を取得しているか明示すべきではないか
○ 取得していない情報を証明することは難しく、その同
同意の限界
意の期限などもわからない。有効性の問題がある。
○ 情報を取得していないことを証明するのは難しい
○ 1回同意をするとその同意がずっとつづくのか。期限が長すぎるとその有効性も問
題になる
○ 情報を取得する、保管する、利用するというメリハリをつけるべきではないか
6
3.分かり易さの事例：キタコレ
【概要】
○ 政府や社会規範に裏打ちされた法律・基準が無く、将来新しい規制が作られた場合、プライバシー侵害により利用者から訴えられるかもしれな
い、という未来リスクを想定し、「きちんと利用者本人に事情が分かるように説明すること。嫌だと言ったら消せるようにしておくこと」を目指した
取り組み
○ 「運用」と「販売」で物理的にデータ端末を切り分け、かつ情報を吸い上げる際にパーソナル情報を匿名化することで、安全性を担保
主体
メリット
メディアジャンプ
○ 長文の利用規約を読むことがなく、簡
潔に理解できる。
デメリット
○ 異なる手法を用いることによる気持ち悪さ
○ 書き方によっては、気持ち悪さを与える。
参考URL：http://www.kita-colle.com/
7
3.分かり易さの事例： ToS;DR(Terms of Service ; Didn’t Read)
【プロジェクトの概要】
○ 様々なWebサービスの利用規約（ToS）の記述内容ついて、4種類の評価（「良い」「あまり良くない」「要注意」「有益」）をい、それをグラフィカル
に表示することで、利用者の理解の向上や、不安感を払しょくすることを目的としている
○ ソーシャル・ネットワーク、検索エンジン、画像共有などの主なサービスの利用規約の分析と、カテゴリ別の項目比較や採点のシステムの構築
が完了（2012年6月α版公開）
○ プロジェクトに関心のある人であれば、誰でも評価に参加することができる（メールやtwitter、Googleグループ等を通じ、ボランタリーコミュティ
ティとして活動している）
主体
メリット
Free Software
Foundation Europe
○ 長文の利用規約を読むことなく、簡潔
に理解できる。
○ 評価する際に、事業者とのコミュニ
ケーションをとることにより、事業者の
意識を高められる。
デメリット
○ レイティングする者の中立性の担保の方法
（課題）
○ 規定された評価基準がない。
参考URL：http://tos-dr.info/
8
3.分かり易さの事例：情報共有標準ラベル
【概要】
○ Kantara Initiative の Information Sharing Work Group で検討されている仕様
○ 食品の成分表示のように、「標準化」された形で、何が、どのように、何のために、共有されるのか、を表現することで、契約内容の理解を得る仕
組み
主体
メリット
デメリット
カンターラ・イニシア
ティブ
○ 長文の利用規約を読むことなく、簡潔
に理解できる。
○ （標準化によって）異なる手法を採用
することに対する気持ち悪さを払しょく
できる。
○ 異なる手法を用いることによる気持ち悪さ
○ ラベルに記載すべき項目の定め方（課題）
○ ラベルの表記に虚偽があった場合の対処（課
題）
参考URL：http://www.sakimura.org/2012/06/1660/
9
【参考】情報共有標準ラベルを用いた表示例（情報項目の具体化）
項目
取得者
取
得
情
報
Facebook（http://www.facebook.com/）
サービス提供に必要な情報
氏名、住所、年齢、性別、趣味、好きな楽曲、好きなスポーツ････
取得者の分析に利用される
情報
IPアドレス、位置情報・・・・
オプトアウトの方法
コントロール画面よりチェックボックスを外す
取得元
Webページより利用者が入力したもの
取得時
約款の『同意ボタン』を押したときから
利用目的
１．友人と状況を共有するため
・・・・
利用期限
ユーザ登録を抹消するまで
開
示
先
標準的な情報共有標準
ラベル項目に、本ＷＧで
出た項目を追加
記述例
二
次
利
用
第
三
者
提
供
公開範囲
自分とユーザのタイムライン及び････
公開範囲の変更
有無
有
情報項目
性別、IPアドレス･･･
目的
新サービスの研究・開発・・・・
方法
識別情報を削除して個人を特定できない状態で利用
（データサンプル http://www.facebook.com/sample）
有無
有
情報項目
性別、趣味････
目的
広告精度の充実････
提供先
Google、マイクロソフト････
基本契約
２０１１年････
第三者評価
ToS-DRでの評価（http://tos-dr.info/）
Exampleレーティング
規約の変更
７日間の掲示を以て変更
10
【参考】プライバシー・個人情報保護における各国法令の経緯
コミッショナー会議
1979
―――――――――――――――――――――――――――――――――――――――――――――――――――――――
データ保護及びプライバシーコミッショナー国際会議開催
OECD
1980
―――――――――――――――――――――――――――――――――――――――――――――――――――――――
プライバシー保護と個人データの国際流通についてのガイドライン
に関する理事会勧告採択
日本
1988
―――――――――――――――――――――――――――――――――――――――――――――――――――――――
行政機関の保有する個人情報の保護に関する法律(行政機関個
人情報保護法)成立。
米国
2000
―――――――――――――――――――――――――――――――――――――――――――――――――――――――
セーフハーバー協定締結
日本
2003
―――――――――――――――――――――――――――――――――――――――――――――――――――――――
個人情報の保護に関する法律（個人情報保護法）成立。
2005年に全面施行
Council of Europe（欧州評議会）
1981
―――――――――――――――――――――――――――――――――――――――――――――――――――――――
個人データの自動処理に係る個人の保護に関する条約発布
1985年発行（基本的にOECD理事会勧告に基づいたもの）
European Union（欧州連合）
1992
―――――――――――――――――――――――――――――――――――――――――――――――――――――――
欧州連合の誕生
European Union（欧州連合）
1995
―――――――――――――――――――――――――――――――――――――――――――――――――――――――
EUデータ保護指令（個人データ処理に係る個人の保護及び当該
データの自由な移動に関する指令（95/46/EC））
European Union（欧州連合）
2002
―――――――――――――――――――――――――――――――――――――――――――――――――――――――
e-プライバシー指令（電子通信部門における個人情報の処理とプ
ライバシー保護に関する指令（2002/58/EC））
コミッショナー会議
2010
―――――――――――――――――――――――――――――――――――――――――――――――――――――――
プライバシー・バイ・デザインの決議
米国
2012
―――――――――――――――――――――――――――――――――――――――――――――――――――――――
消費者プライバシー権利章典立法勧告
European Union（欧州連合）
2012
―――――――――――――――――――――――――――――――――――――――――――――――――――――――
個人データ処理に係る個人の保護及び当該データの自由な移動
に関する欧州議会及び理事会の規則（一般データ保護規則）の提
案
11
11
【参考】各国の法令の位置付け（オプトインかオプトアウトか）
EU保護規則
米国プライバシー権利
章典（※）
APECプライバシーフ
レームワーク
個人情報保護法
オプトイン
(同意の取得)
管理者は、データの対象者が
自身の個人データが定められ
た目的のために処理さえると
いうことに同意しているとの立
証責任を負うものとする。
(JIPDEC訳)
記載なし
（オプトインとオプトアウトの機
会を提供することを求めており、
オプトインが原則とはしていな
い）
個人情報の収集は、当該個人
のへの通知、または同意を得
て、収集とそのような情報の目
的に関連して、適法かつ公正
な手段によって取得されなけ
ればならず、適切な情報に限
定されるべきである。(JIPDEC
訳)
記載なし
(但し、第三者提供の場合につ
いては、第二十三条にて原則
として同意を得なければならな
いとしている。)
消費者による
情報のコント
ロール
記載あり
記載あり
記載あり
記載なし
(事業者法)
オプトアウト
(同意の取り
下げ)
データの対象者本人は、いつ
でも同意を取り下げる権利が
あるものとする。また、同意の
取り下げは、取り下げる前の
同意に基づく処理の合法性に
なんら影響をあたえない。
(JIPDEC訳)
Do not track(追跡拒否)を全
記載なし
体方針として記載
（オプトインとオプトアウトの機
会を提供することを求めており、
オプトインが原則とはしていな
い）
第二十七条利用の停止
保有個人データの利用の停
止又は消去（以下この条にお
いて「利用停止等」という。）を
求められた場合であって、そ
の求めに理由があることが判
明したときは、違反を是正する
ために必要な限度で、遅滞な
く、当該保有個人データの利
用停止等を行わなければなら
ない。
（無条件なオプトアウト対応で
はない）
※米国プライバシー権利章典は、既存法令をもとに上位概念として作成されたものであり、各分野ごとに法令が存在する。
12
【参考】国内の関係ガイドラインの状況
○インターネットサービスを行う事業者が対象となる関係ガイドラインにおいて、目的の明示、取得項目、保存期限、オプト
アウトの方法などが明記されているものは少ない
個人情報の保護に関する法
律についての経済産業分野
を対象とするガイドライン
電気通信事業における個人
情報保護ガイドライン
医療・介護関係事業者にお
ける個人情報の適切な取扱
いのためのガイドライン
作成者
○ 経済産業省
○ 総務省
○ 厚生労働省
○ JIAA（一般社団法人イン
ターネット広告推進協議会）
作成日
○ 平成16年10月22日（策定）
○ 平成21年10月9日（最終改
訂）
○ 平成16年8月31日（策定）
○ 平成22年7月29日（最終改
正）
○ 平成16年12月24日
○ 2009年（制定）
○ 2010 年 6 月 3 日（改訂）
提供される
情報項目
○ 個人情報保護法の引用
（明確なリストなし）
○ 個人情報保護法の引用
（明確なリストなし）
○ 個人情報保護法の引用
（明確なリストなし）
○ 提供項目の明示・通知義務
保存期間
○ 設定の必要性のみ
○ 設定の必要性のみ
○ 保存期間についての記載な
し
（※保存する情報ごとに関係法
令が存在）
○ 保存期間の設定と明示・通
知義務
本人を特定
できない情報
の利用
○ 特に記載なし
○ 特に記載なし
○ 十分な匿名化が困難な場合
は、本人の同意を得なけれ
ばならない
○ 本人を特定しない情報（匿
名化した行動履歴）のみが
対象
第三者への
提供・共有
○ 具体的な利用目的を特定し
たうえで事前同意が必要
○ 具体的な利用目的を特定し
たうえで事前同意が必要
○ 具体的な利用目的を特定し
たうえで事前同意が必要
○ 第三者からさらに他社へ提
供を行う場合、同じ条件を付
した上で提供を行う義務を
負わせる
利用の停止
○ 本人からの求めに応じて利
用停止しなければならない
○ 事業者都合による場合、本
人への通知が必要
○ 本人からの求めに応じて利
用停止しなければならない
○ 具体的な利用目的を特定し
たうえで事前同意が必要
○ 医療・介護関係事業者は、
訂正等、利用停止等又は第
三者への提供の停止が求
められた保有個人データの
全部又は一部について、こ
れらの措置を行わない旨決
定した場合、本人に対する
その理由の説明に当たって
は、文書により示すことを基
本とする。
ガイドライン
名
行動ターゲッティング広告ガ
イドライン
○ 明確な記述なし
13
2. 第三者による認証・評価・審査
1.
2.
3.
4.
議論の骨格（フレームワーク）：第三者による認証・評価・審査
これまでの議論の整理（「第三者による認証・評価・審査」のメリット・課題）
望まれる『第三者認証機関』の役割
『第三者認証機関』の性質





プライバシーコミッショナー制度
欧米と日本の個人情報保護に関する法令（ハードロー）の比較
ソフトローによる第三者認証の試み
JISQ15001の内容
個人情報保護法（利用目的に関する部分）
1.議論の骨格（フレームワーク）：第三者による認証・評価・審査
○第三者による認証・評価・審査に関しては、第三者機関の役割、実施主体、認証・評価・審査を支える法的枠組みに関する
議論があった。
○考えられうる第三者機関の実現レベルは1つではなく、様々な実現レベルが存在すると思われるため、レベルに応じた役割、
主体、法的枠組の検討が必要である。
○さらに、第三者機関による認証・評価・審査のしくみ自体を浸透させるための課題検討も必要である。
第三者による認証・評価・審査
エンフォースメント
○ どの程度の強制力/拘束力を持つべきか
審査の内容
○ どのような審査内容で、どのような認証
を実施すべきか
実施主体の性質
○ 実施主体に求められる性質や機能のバ
リエーションやレベルにはどのようなもの
があるか
役割
主体
法的枠組
その他
ハードロー
○ ハードローの果たすべき役割や内容は
どのようなものか
ソフトロー
○ ソフトローの果たすべき役割や内容はど
のようなものか
現行規則の援用
○ 現行規則の援用として、どのようなルー
ルやしくみづくりが可能か
普及・啓蒙
○ しくみとしての第三者機関による認証・
評価・審査をどのように浸透させるか
15
2.「第三者による認証・評価・審査」のメリット・課題①
○分かり易く見せる手法・アプローチだけでは、消費者の信頼性が得られるとは言い難く、これに加え、第三者による認証・評
価・審査を行い、信頼性を担保する仕組みによって補完することで、信頼性を得る可能性が高まる。
○また、その信頼性を担保する仕組みを、外部から更に担保する仕組みがあることによって、より強固な信頼性を得ることが
できる。外部から担保する仕組みとして、事前（水準）・事後（マネジメント）が考えられ、またADR（駆け込み寺）のようなもの
も必要なのではないか
【ＷＧでの議論の構造化】～役割～
スコープ
要点
エンフォース
メント
○ 中小企業やベンチャー向けに第
三者認証は必要である。
発言内容
○ 中小企業やベンチャーに必要ではないか
○ 単純にチェックだけではなく、助言機能も必要ではないか
○ 第三者がどこまでそのビジネスを適正化と言えるかは疑問である
○ 第三者認証はビジネスの適正化
までは難しい。役割を限定すべき。 ○ ビジネスそのものを評価するのではなく、個人情報周りの評価をすれば良いのではないか
○ 実在性を確認するだけでも良いのではないか
審査
○ 既存のJISQ15001などで規定し
て、取得は任意にすることもあり
うる。
○ JISQ15001（プライバシー・マーク）などで規定するのが現実的ではないか
○ 同意を得ることをしたくない場合に、意図的に取得しないという選択肢があり得る
○ アプリケーションのアップデートご
とに審査するのは大変なので資
格審査のようなものにする。
○ アプリケーションの審査をアップデートするたびに審査をうけると負荷が大きくなるため、資格審査
のようなものとして考えられないか
○ 消費者はどのようにやっている
かではなく、対策をきちんとして
いることを求めている。
○ 消費者が第1にもとめるのは、どのようにやっているか（マネジメントシステム）ではなくて、対策を
きちんとしていること（そもそも失敗してくれるなということ）。マネジメントシステムの認定なのに（失
敗しないことの保証でないのに）、あたかも失敗しないことが保障されているように受け取られてい
るのもおかしい。マネジメントシステムの認定は、そもそも、その業務内容がよくわかっていないと
踏み込んではできないはず。業界団体が専門性をもって実施すべきである
○ 消費者が過剰に期待を寄せすぎているのではないか
○ ISO27001のようなマネジメント審査とセキュリティを高める話は別ではないか
16
2.「第三者による認証・評価・審査」のメリット・課題②
【ＷＧでの議論の構造化】～主体～
スコープ
主体
要点
○ 公的機関の必要性
発言内容
○ 事業者ごとに個別にやっても信用されないので、第三者にお墨付きをもらって信用を得る。
信頼確保の手段であれば、個別の事業者がやっても良いのではないか
○ ADRは公的機関が良いのではないか
○ 消費者は公的機関を信頼しているが、負担が大きい
○ 第三者機関の話は難しいので、公的機関のメリット・デメリットを整理した方が良いのでは
ないか
○ ベンチャーのような事業者の気づきの場と
しての機関としての必要性
○ コミュニケーションプロセスがあった方が、先ほどあった大学生のベンチャーのような事業
者の気づきの場になり、いい方向に導けるのではないか
○ 消費者団体内容、規格を決めていく機関と
しての必要性
○ ToS-DRや、BBB on lineなどは消費者団体が内容、規格を決めていくことも効果的では
ないか
○ 草の根的な活動と、reputationをうまく組み合わせる必要があるのではないか
○ 第三者がどこまでそのビジネスを適正化と言えるかは疑問である
○ 罰則がなければ、事業には関係してこない
17
2.「第三者による認証・評価・審査」のメリット・課題③
【ＷＧでの議論の構造化】～法的枠組～
スコープ
ハードロー
要点
○ 罰則の規定が必要である。
発言内容
○ Cookieなどの受け入れなどの変更を簡単にしておかないと、ICOに50万ドル（約7000万
円）の罰金を支払うことになる
○ 日本の場合、プライバシー侵害になっても損害賠償が５万円で済む。また個人情報保護
法では刑罰もない。クリアなルールがあれば法執行にも意味がある
○ ブラックリスト、ホワイトリストと言った形だとサービスに制限がかかってしまう
○ 法律で決めていくのは難しい。情報主体の判断ができる仕組みが良いのではないか
現行規則の
援用
○ 情報共有標準ラベルの表示をFTCなどの
第三者機関が追跡することも必要
○ 情報共有標準ラベルの表示をFTCなどの第三者機関が追跡調査するようなこともあり得
るのではないか
○ 個人情報保護法第５０条の安全管理のため
の必要な処置として公表義務化する。
○ 個人情報保護法第５０条の安全管理のための必要な処置として公表義務化をしたらどう
か
○ 安全管理措置（セキュリティ）は徹底するとコストが高くなっていく
18
3.望まれる『第三者認証機関』の役割
○事業者と消費者では、第三者機関に求める役割のニーズは異なる。
○第三者機関には、それぞれのニーズを満たした機能が必要なのではないか。
立場
望まれる役割
事業者
事業者がビジネスを行
ううえで、妨げにならず、
ビジネスを活性化させる
ためのしくみやルール
の提供
消費者
消費者がサービスやア
プリに対して、不安や不
信を抱かないで利用す
るためのしくみやルール
の提供
役割の細分化
主体の例
助言
事業者が何か新しいサービスを開始す
るとき、相談や助言を与える
○起業家支援サービス
○プライバシーコミッショ
ナー
○ADR
お墨付き
事業者が提供するサービスやアプリケー
ションを審査し、問題がないことを証明す
る
駆け込み
寺
事業者が提供するサービスやアプリケー
ションが「炎上」してしまった場合に、問
題解決のための仲裁などを行う
審査
事業者が提示する利用規約や取得する ○ToS;DR
情報項目などに虚偽がないかどうかを審 ○公的機関（法執行機関）
査する
罰則
何らかの不正があった場合の罰則を課
し、それを実施する
19
4. 『第三者認証機関』の性質
○第三者認証機関には、法的拘束力の有無（ハードローかソフトローか）、機関の主体（公的機関か、民間か）、審査基準の
有無等、いくつかの実現のレベルが考えられる。
○さらに、「認証」を実施する以外に、「助言機関」として機能する形態もありうる。
法的拘束力
有り(罰則も有り)
機関の主体
公的機関
審査基準
法的(ハードロー)な審
査により認証
サービス例
技適マーク
メリット
デメリット
事業者は法的なお
墨付きによる法的リ
スクの回避。信頼性
の向上が図られる。
評価基準が法制度とリ
ンクしている必要がある。
事業者に事業リスク
をある程度低減させ
ることができる。消
費者による信頼感
を与えることができ
る。
法的リスクを完全に除
去できない。実効性の
ある標準やソフトローが
ないと普及が難しい。
一定の実績があれ
ば消費者に信頼感
を与えることができ
る。
信頼性の根拠となる標
準やソフトローにどこま
で準拠しているかが不
明のため信頼性の担保
ができない。
中小企業がサービ
スを始めるときに相
談できる。
助言でも回避できない
法的リスクが存在する。
（電波法）
無し(ソフトローには
該当)
準公的機関
標準(ソフトロー)な審
査により認証
プライバシーマーク
（プライバシーマーク
制度）
無し
民間機関
独自の審査による認
証
TRUSTeシール
（日本プライバシー認
証機構）
なし
助言機関
なし
起業家支援サービス
20
【参考】プライバシーコミッショナー制度
○データ保護プライバシー・コミッショナーとは，法令に基づく公的機関で，自主性・独立性を保障され，調査権等の権限を有
する監督機関であり，欧州諸国で設けられている。
○日本では、国家行政組織法は第三条で、内閣の行政事務を行う組織を「府」と「省」とし、その外局として「委員会」と「庁」を
置くことを規定している（三条委員会）。この第三条に基づく委員会は国家公安委員会や公正取引委員会など七つあり、い
ずれも「庁」と同格の独立した行政組織と見なされるため、日本に設置するとした場合には、三条委員会の形で良いか。
OPC（加）
OPCL（米）
ICO（英）
OPC（豪）
UDL（独）
概要
Privacy Actおよび
PIPEDAの順守状況を監
視する権限を有するととも
に、プライバシーにかか
わる調査研究、普及啓発
を実施
Privacy Act:1974およ
び電子政府法とのコン
プライアンスを含み、プ
ライバシー保護および
人権擁護にかかわる調
整等を実施
The Data Protection
Act.、The Freedom of
Information Act.と関連
の規制に基づき、 Data
Privacyに関する普及啓
発、個別の問題解決、規
制等を実施
Privacy Act:1988に基づ
き、政府機関として豪州
におけるプライバシー関
連の施策を統括
設立は2000年、個人情
報保護に関する管理及
びアドバイス機関、個人
情報保護に関する研究
や実践の施策を開発
所属
独立機関
司法省
独立機関
内閣（独立に活動）
州機関
(シュレースヴィヒ=ホル
シュタイン)州
罰則権限
あり
あり
あり
あり
あり
助言機関
（※１）
あり
特になし
特になし
あり
あり
実施事項
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
監査
調査
普及啓発
PIAレビュー
立法の際の助言
プライバシーに関する
調査結果レポート発行
監査
調査
政策との調整
PIAガイドライン
ポリシー策定
プライバシーに関す
る定期報告書発行
監査
調査
普及啓発
情報・助言提供
苦情処理
データコントローラの
登録
監査
普及啓発
情報・助言提供
苦情処理
監査
普及啓発
情報・助言提供
ポリシー策定
※１カナダ、ニュージーランドにおける助言機関としてのプライバシーコミッショナーの機能は、、プライバシー法の執行に関する助言や、ＰＩＡ（プライバシー
影響力評価）の助言を指す。カナダでは、起業する際の相談を各州のプライバシーコミッショナーが対応している。
21
【参考】欧米と日本の個人情報保護に関する法令（ハードロー）の比較
Personal
Information
Protection and
Electronic
Documents Act
(PIPEDA)
国
（地域）
概要
EGovernment
Act
Health
Insurance
Portability
and
Accountabili
ty Act
(HIPAA)
The Data
Protection
Act.
個人情報保護
法
アメリカ
アメリカ
アメリカ
イギリス
日本
米国連邦政府
機関によって
維持管理され
る記録システ
ムにおいて、
収集、維持、
利用、配布さ
れる識別可能
な個人情報に
関する法令、
1974年施行。
情報提供者の
明確な同意
（書面）がない
場合、記録シ
ステムに記録
された情報を
開示することを
禁じる。
情報提供者個
人の情報の閲
覧および更新
に関する手続
きを各省庁に
提供するよう
に定める。
電子政府サー
ビスの運営と
促進を向上さ
せる目的で制
定、2002年制
定、2003年施
行。第208条で
は、全連邦政
府機関におい
て、識別可能
な個人情報の
収集・維持・配
布を行う新規
調達システム
に対する
Privacy
Impact
Assessment(
PIA)の実施を
求める。
医療情報の電
子化の推進と
それに関係す
るプライバシー
保護やセキュ
リティ確保につ
いて規定、
1996年制定、
2003年施行
自身に関する
情報について、
組織等の保有
状況を知る権
利、ならびに、
これらの情報
を適切に扱う
ことを確実に
するルールを
規定、1998年
制定、2000年
施行
Privacy Act.
Personal
Health
Information
Protection
Act (PHIPA)
Personal
Information
Protection
Act (PIPA)
Privacy Act
カナダ
カナダ
カナダ
（オンタリオ）
カナダ
（ブリティッシュ
コロンビア）
個人に関わる情報
に関し、収集、利用
と開示について規
定、2000年制定、
2001年施行
個人に関わる
情報に関して、
情報提供者個
人の保護と情
報へのアクセ
スについて既
定、1982年制
定、1983年施
行
オンタリオ州に
おける医療情
報の収集、使
用、公開につ
いて規定、
2003年制定、
2004年施行
ブリティッシュ
コロンビア州に
おける個人の
個人情報への
アクセスの権
利や、ブリ
ティッシュコロ
ンビア州内の
組織の情報収
集、使用、公
開について規
定、2003年制
定、2004年施
行
22
【参考】ソフトローによる第三者認証の試み
分かり易い表現をJISQ15001で認証できるか？
○ 消費者に情報項目などを明示する旨を詳細に規定しているものに、FTC「行動ターゲッティング広告における自主規制」があり、これを踏襲して
作成されたガイドラインがJIAA（インターネット広告推進協議会）の『行動ターゲッティング広告ガイドライン』である。
○ 既存のJISQ15001を適用することによって、当該ガイドラインが遵守されているか認証することが可能である。
○ 「分かり易い表現」について、JISQ15001の認証を受けることによって担保することができるのではないか。
FTC自主規制に準拠した行動ターゲッティング広告ガイドラインの項目
JISQ15001の項目（3.4.2.4項）
① 取得の事実
本3.4.2.4項により規定
② 事業者の氏名または名称
a) 事業者の氏名または名称
―
b) 個人情報保護管理者
③ 取得される情報の項目
d3) 提供の手段または方法
④ 取得方法
⑤ 第三者提供の事実
e) 個人情報の取扱いの委託を行うこと
⑥ 提供を受ける者の範囲
d4)当該情報の提供を受ける者
⑦ 提供される情報の項目
d2) 提供する個人情報の項目
⑧ 利用目的
c) 利用目的
d1) 第三者に提供する目的
d5) 個人情報の取扱いに関する契約
⑨ 保存期間
3.4.3適正管理により規定
⑩ 利用者関与の手段
g) 本人が個人情報を与えることの任意性および当該情報を与えなかっ
た場合に本人に生じる結果
⑪ 個人を特定できない情報の利用
h) 本人が容易に認識できない方法によって個人情報を取得
⑫ 個人情報に関するポリシー
3.4.3.2 安全管理措置により規定
⑬ ガイドライン遵守の明示
上記同様
⑭ 留意・配慮している領域
f) 3.4.4.4～3.4.4.7に該当する場合
JKA補助事業平成22年度「情報化推進に関する調査研究等補助事業「パーソナル情報の利用のための調査研究」報告書をもとに作成
23
【参考】JISQ15001の内容
○ JISQ15001:2006（個人情報保護マネジメントシステム-要求事項）は、事業者が業務上取り扱う個人情報を安全で適切に管理するための標準
である。
○ 事業者が保有する個人情報を把握し、取得や利用に先立ち個人情報の指す本人から同意を得ること、事業者が個人情報保護のための組織を
設けること、その体制を定期的に見直し改善すること、そしてこれらを実践するためのシステム（個人情報保護マネジメントシステム）を持つこと
などを求めている。
○ JISQ15001:2006の3.4.2.4項を以下に示す。
3.4.2.4 本人から直接書面によって取得する場合の措置
本人から，書面（電子的方式，磁気的方式その他人の知覚によっては認識できない方式で作られる記録を含む。以下，同じ。）に記載された個人
情報を直接に取得する場合には，少なくとも，次に示す事項又はそれと同等以上の内容の事項を，あらかじめ，書面によって明示し，本人の同意
を得なければならない。
a) 事業者の氏名または名称
b) 個人情報保護管理者(若しくはその代理人)の氏名または職名，所属および連絡先
c) 利用目的
d) 個人情報を第三者に提供することが予定される場合の事項
d1) 第三者に提供する目的
d2) 提供する個人情報の項目
d3) 提供の手段または方法
d4) 当該情報の提供を受ける者または提供を受ける者の組織の種類，および属性
d5) 個人情報の取扱いに関する契約がある場合はその旨
e) 個人情報の取扱いの委託を行うことが予定される場合には，その旨
f) 3.4.4.4～3.4.4.7 に該当する場合には，その求めに応じる旨および問合せ窓口
g) 本人が個人情報を与えることの任意性および当該情報を与えなかった場合に本人に生じる結果
h) 本人が容易に認識できない方法によって個人情報を取得する場合には，その旨
24
【参考】個人情報保護法（利用目的に関する部分）
○個人情報保護法では、JIS Q 15001:2006と違い、取得する個人情報の項目名などの明示すべき事項が記述されていない。
また本人同意(第三者提供を除く)が義務化されていない。
（利用目的による制限）
第十六条個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超
えて、個人情報を取り扱ってはならない。
２個人情報取扱事業者は、合併その他の事由により他の個人情報取扱事業者から事業を承継することに伴って個人情報を取得した場
合は、あらかじめ本人の同意を得ないで、承継前における当該個人情報の利用目的の達成に必要な範囲を超えて、当該個人情報を取り
扱ってはならない。
３前二項の規定は、次に掲げる場合については、適用しない。
一法令に基づく場合
二人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合で
あって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき
（取得に際しての利用目的の通知等）
第十八条個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利
用目的を、本人に通知し、又は公表しなければならない。
２個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面（電子的方式、磁
気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。）に記載された当該本
人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、そ
の利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
25
3. 消費者による情報制御
1. 議論の骨格（フレームワーク）：消費者による情報制御
2. これまでの議論の整理（「消費者による情報制御」のメリットと課題）
3. 消費者による情報制御～IdPの例～
 IdPとAP/RPの関係（例）
 IdPのニーズ（本人確認の課題）
 AP/RPの評価の考え方
4. IT融合での試み
 PPMにおける実装の検討要素
5. 消費者による情報制御の取組（海外事例の紹介）




パーソナル・データ・エコシステム(PDE)
パーソナル・データ・ヴォールト（PDV）
データ共有プラットフォームの例
midata（英）の動向
【参考資料】
1.議論の骨格（フレームワーク）：消費者による情報制御
○「消費者による情報制御」の実現手段の1つとして、「IdP：Identity Provider」の事例が挙げられる。
○その他、IT融合による試みとして、「PPM：Privacy Policy Manager」が検討中である。
○さらに、海外でも複数の試みが進行中である。
○これらの事例を参照しつつ、「消費者による情報制御」にはどのような手段が考えられ、実現の際の主体はどのようなもの
があり、要件としてどのようなものが考えられるか、という検討が必要である。
消費者による情報制御
手段
実現の手段
○ 消費者による情報制御の実現は、どの
ような手段で実現可能であるか
※IdP、PPM など
主体
事例研究
※国内外の事例
要件
要件の明確化
※事例研究を通じ
たベスト・プラクティ
ス
○ IdPやPPMにおいて、どのようなしくみで
消費者による情報制御を実現している
か
○ 海外では、消費者による情報制御の試
みとして、どのようなプロジェクトが進行
中であるか
○ 消費者による情報制御を実現するため
には、どのような役割を担う組織や全体
のしくみが考えられるか
27
2. 「消費者による情報制御」のメリットと課題
○前回WGにおいて、自分情報（個人情報、ライフログ）が格納されている場所があり、事業者はそこから選択的に情報を取
るモデル（小林）の提案があった。
○消費者による情報管理・コントロールについては、IT融合での取り組みなどを題材にして、引き続き議論が必要ではないか。
【ＷＧでの議論の構造化】
スコープ
要点
発言内容
○ 自分の情報が格納されている場所があり、消費者がそれ
を利用するのが便利ではないか。
○ 自分の情報（個人情報＋ライフログ）がどこかに格納されている場所があり、事
業者はそこから選択的に情報を取る。その時に、消費者はあらかじめ設定した
内容を示すAPIがあって、それを利用するのだと便利ではないか
○ IdPという概念があり、APIの標準化なども進んでいる
○ IT融合プロジェクトでは、消費者のプライバシーポリシーを消費者視点で管理
するための基盤として、「PPM：Privacy Policy Manager」の開発に取り組んで
いる
○ FacebookやGoogleはIdPである。消費者は選択できる。
○ Facebookや、GoogleもIdPである。消費者が選択できることが重要である
○ IdPが存在しなくても選択的な情報提供は可能ではないか
手段
主体
要件
○ 大切な情報を預けるのであれば公的機関である必要性はないのか
○ ビジネスとして成り立つのか
○ IdPのポリシーのガイドラインはあるが、手段などの規定
はない
○ IdPのポリシーのガイドラインはあるが、手段などの規定はない
28
3.消費者による情報制御の仕組み～IdPの例～
○消費者による情報制御のしくみのひとつとして、IdP：Identity Providerが考えられる。
○サービスに必要な本人確認を、ユーザおよびサービス事業者の代わりに実施し、複数のサービス事業者が持つ属性情報
を高い信頼性で同一人物のものであることを証明する仕組みでは、名寄せの回避」「個人の安心」「企業の効率化」すること
ができると考えられる。
サービス事業者（ AP/RP ）
IdP：Identity Provider
○ 通信事業者（NTTグループ）
○ ネット決済・ポイント（楽天、ヤフー！ジャパン、
KDDI、ペイパル）
○ SNS（facebook、mixi）
○ 金融サービス（イ・ートレード・フィナンシャル）
○ SaaSプラットフォーム（Google Apps、セー
ルスフォース・ドットコム）
②ID情報の提供やサービスの実行
を要求
④ID情報の提供、サービスの実行
結果の提供
○ ECサイト
○ Eラーニング
○ 福利構成サービス
○ オンラインゲーム
○ コミュニティサイト
○ オンラインニュース
○ SaaS事業者
○ 市民向け行政サービス
※カッコ内は主な事業者
①サービスにアクセス
③ユーザー認証、属性提供・サービス
呼び出しの可否の確認
ユーザ
（対象者）
観点
消費者の実在担保
⑤サービスを提供
論点
○ 確かな本人を担保するための登録手段が必要なのではないか
消費者の信頼
○ どのような主体が運用すると消費者の信頼感が得られるか
○ 透明性、保護レベルの提示、同意をどのように行えば信頼感を得られるか
○ 監査基準、正当性、法的規制を行うべきではないか
IdPとAPの関係
○ Idp、AP/RPの関係（契約など）をどのように規定すれば、ユーザの信頼感を得られるか
○ 受け渡される属性情報の品質を保つことが必要ではないか。（正確性レベルの提示、受け渡し規定、管理基準など）
野村総合研究所資料をもとに事務局作成
引用元：http://www.nri.co.jp/opinion/chitekishisan/2011/pdf/cs20110309.pdf
AP：Attribute Provider（属性情報提供者）
RP：Relying Party（証明書利用者）
29
【参考】IdPとAP/RPの関係（例）
○現状でも、IdPに相当するサービス事業者が存在し、AP/RPに相当する事業者は主にIdPを本人確認の手段として利用し、
サービスを行っている。
○複数のIdPが存在し、AP/RPは複数のIdPを利用している。
IdP
Google
AP/RP
ドミノピザ
アニメイト
Yahoo! Japan
ZOZOTOWN
USEN(Video Complex)
セゾン
Facebook
ドクターシーラボ
ニコニコ動画
twitter
mixi
サイボウズLive
ロケタッチ
foursquare
livedoor
みんなの就活
楽天
30
【参考】 IdPのニーズ（本人確認の課題）
○現状、消費者・事業者間でサービスの授受を行う場合に、本人確認が必要であるが、個人・事業者それぞれに課題がある。
○特に、消費者による情報制御を行う場合に、本人確認の検討を行う必要があるのではないか。
【指摘事項】
このスライドは必要？？？
本人確認と属性
の受け渡し
【利用者の課題】
○ 何かの申請ごとに、書類の記載等の
本人確認を行わなければならず、面
倒である。
○ 誤った情報（移転前の住所など）を出
す場合もある。
○ 企業間での利用は、名寄せや追跡の
可能性があり怖い。
○ その事業者が信頼できるか分からな
いので、プライバシーに関わる情報は
渡したくない。
利
用
さ
れ
る
こ
と
が
想
定
さ
れ
る
も
の
住民基本台帳カード
運転免許証
パスポート
学生証
・・・
【事業者の課題】
○ 民間事業者は、正確な本人特定・本人確
認のために時間や労力を要している。
○ 本人確認の厳格さには差（レベル）があり、
高いレベルほど確認には時間や労力がか
かる。
○ サービスに余計な個人情報は極力持ちたく
ない。
○ それぞれの民間事業者が属性情報を管理、
蓄積をおこなっており、複数の事業者間で
同一人物の属性情報であるとの確認が行
えない。
○ 証明書の人物と同一人物であるか確認す
るのに、真正性を担保するには手間がか
かる。（ICカードの証明書があるが、民間で
は検証ができない）
31
【参考】 AP/RPの評価の考え方①
○カナダ・オンタリオ州のCHEOでは、 PHIPA（オンタリオ州である法医療個人情報保護法）の公認レジストリになっている
Born（新生児と母親の医療データ）の2次利用を推進している。
○ここでは、CHEOがデータを渡す事業者について、リスク評価を実施している。CHEOがIdPに相当し、2次利用データを受
け取る事業者がAP/RPの位置づけに相当する。
【CHEOのリスク評価の項目】
テーマ
分類
軽減制御
CHEOとの関係
○ データ共有協定を締結している（または締結する準備をしている）
○ 個人と特定できないデータ（または集合データ）の提供を求めている
○ 長期保有の際にはCHEOによる外部監査を受けることを了承している
○ 保有期間を過ぎたデータを廃棄することに合意している
○ データは国内でのみ処理、保持、アクセスされる
○ 第三者への開示や共有はしない
情報の取り扱い
○ 渡されるデータは、認証されたスタッフのみアクセスする。
○ スタッフ及び外部協力者と秘密保持契約を結んでいる
○ 開示データを含むコンピュータや、ファイルは厳重に施錠された場所に置かれる
事業者の環境
評価項目（ISO27002に準拠した項目を利用）
○ 情報システムに対する脅威、及びリスク脆弱性の監査を実施している
○ プライバシー、機密性、セキュリティに関して、組織的な管理フレームワークを有する。
○ データ保持、管理、アクセスに関して、組織的なポリシーを持つ
○ プライバシー・ポリシー、セキュリティ・ポリシーが監視され、効力を有する
○ 関係者に対するプライバシー、機密保持、セキュリティのトレーニングを強制的に実施している
○ プライバシー、機密、セキュリティ違反時のプロトコル（手順）がある
○ プライバシー、機密、セキュリティ違反時の罰則がある
○ プライバシー監査が内部のものに加えて、外部のものもある
○ プライバシーオフィサー、又はデータ管理委員会が任命されている
○ 情報システムに適切な認証をかけている
○ データに適切な認証をかけている
○ データへのリモートアクセスに対して、特別な保護策を導入している
○ ウィルスチェックを実施している
○ 利用記録をモニタリングしている
○ データを電子的に送付する際に、暗号プロトコルを利用している
○ スタッフには、写真付きIDカード、又は磁気カードが配布されている
32
32
【参考】 AP/RPの評価の考え方②
テーマ
分類
評価項目（ISO27002に準拠した項目を利用）
軽減制御
事業者の環境
○ 訪問者をスクリーニングや管理している
○ アラートシステムが設置されている
○ パーソナル情報を保存する場所は最小限で、且つ特定されている
○ センシティブデータを保持する場所では、一般の人は入室不可の措置を取っている
○ 定常的な敷地内の監視が実施されている
○ 物理的なセキュリティ対策がとられている
○ プライバシー担当者のコンタクト先が提示されている
○ 従業員管理担当者のコンタクト情報が提示されている
○ 組織の透明性と、情報公開の仕組みが整っている
○ 苦情窓口がある
○ REB（Research Ethics Board）のような独立した組織がデータの２次利用に関わる申し出を承認している。
○ 内外の監査、モニタリングが実施されている
○ 独立諮問機関、又は管理委員会が監視している
モチベーション
○ 再特定を行う可能性があるか、且つ、その能力を有しているか
33
4. IT融合での試み
【概要】
○ IT融合事業『都市空間情報と多様なサービスの連携を実現するスマートモビリティシステムの構
築に向けた研究開発』の中で構築されるパーソナル情報の流通基盤として、PPM（privacy
policy manager）の構築を推進している。
○ 複数のサービス間において、消費者のポリシーに応じた情報の安全な受け渡しを実現すると共
に、都市空間の中で取得されるセンサーデータ及び匿名化された個人の行動履歴などを集約す
ることで、人流情報や街の活況状況などを推定する手法の実現を目指している。
【具体化に向けて検討中の項目】（技術開発と並行して実施）
対象
PPM
（プラット
フォーム
運営事業者）
具体化検討項目
目的
検討する規格（調査中）
透明性の担保
○ 消費者のプライバシーへの影
響を「事前」に評価し、情報シ
ステムの構築・運用を適正に
実施しているか否か。
○ PIA（プライバシー影響評価）の実
装
信頼性の担保
○ 発行する仮名情報が保証でき
るものであるか否か。
○ IAF（Identity Assurance
Framework；アイデンティティ管理）
の実装による保証レベルの明示
○ サービス間の認証、アクセス
制御の相互運用時の信頼性
があるか否か。
○ LOA（Levels of Assurance；利用者
認証の評価）の実装による信頼性
レベルの明示
○ 情報の取り扱いについて十分
な保護能力があるか否か。
○ LOP（Levels of Protection）の実装
による保護能力の明示
○ サービス間の認証、アクセス
制御の相互運用時の信頼性
があるか否か。
○ LOAの実装による信頼性レベルの
明示
○ 上記の各諸要素の直感的理
解の促進
○ 情報共有標準ラベルの実装
プラット
フォーム
利用事業者
信頼性の担保
消費者
判りやすい契約
資料提供：KDDI研究所
34
【参考】PPMにおける実装の検討要素
○ PIAの実装については、関係法令と、関連国際規格から運用方法の
組み立てと、PPMの構成する技術の評価から検討する。
○ IAFはID連携を行うWebサービス事業者間において、情報の信頼性等の相
互確認等をより確実かつ簡素に行うために、「①ID情報の保証レベル」「②
保証レベルごとに各事業者が満たすべき認証方式等の統一基準」「③第三
者機関によるIAF適合性試験実施手順」の要件定義を行う標準文書である
（NISTも採用）。
○ これを利用することで、（1）サービス事業者等の組織が満たすべき要件，
（2）提供するサービスにおいて満たすべき要件，（3）組織が利用者の認証
情報を発行する場合に満たすべき要件について、利用者が判断できる定性
的な評価軸を整理する。
4
○ LOAは、アイデンティティ保証レ
ベルの規定であり、当該アイデ
ンティティの機微度（機密性が高
い情報か否か）、当該機能を提
供する事業者や組織や取り扱う
事業の特性などに応じた当該ア
イデンティティを保護する上での
重要度、優先順位を評価するも
のである。
○ PPMを行う事業者の評価基準を
策定する。
○ 情報共有標準ラベルは、属性情報の第三者への提供可否等を判断する
サービスを外部に移管し、利用者が簡単かつ確実に管理できる環境を提
供する方式を取る場合の判断指標として推奨されているものである。
○ これを利用することで、情報の利用状況を直感的に把握し、サービス参加
する環境整備を検討する。
関係資料から事務局作成
35
5.消費者による情報制御の取組～海外の事例～
○海外での「消費者による情報制御」の取組としては、民間主導のコンソーシアムである「PDE：Personal Data Ecosystem」
や、英国の事例である政府主導の「midata」等の取組が活発化してきている。
○それぞれの取組は、OECD8原則やPrivacy by Designのコンセプトに基づき、消費者によるパーソナルデータの制御を実
現するためのしくみづくりを目的としている。
○さらに、PDEの具体的な要素として、「PDV：Personal Data Vault」という考え方も提唱されている。
パーソナル・データ・ヴォールト
（PDV：Personal Data Vault）
実現のための具体
的なツールやアプリ
ケーションの要件
情報制御の
モデリング
（英政府主導の取組）
（民間主導の取組）
midata
パーソナル・データ・エコシステム
(PDE：Personal Data Ecosystem)
消費者による情報
制御の根底にある
考えかた
影響を与えている
プライバシーバイデザイン
Privacy by Design
消費者による情報
制御の根底にある
考えかた
OECD8原則
36
【事例】パーソナル・データ・エコシステム(PDE)
○プライバシー・バイ・デザインの著者であるアン・カブキアン博士（カナダ・オンタリオ州プラバシー・コミッショナー）が昨年
『 Privacy by Design and the Emerging Personal Data Ecosystem 』を発表した。
○個人が自分の“公式記録” の共有を管理し、何かの目的でその個人情報にアクセスして使用できる人物についてルールを
設定することによって、ユーザを管理者として個人情報を取り扱う仕組みである。
内容：
序文
はじめに
パーソナル・データ・エコシステム
パーソナル・データ・ヴォールト
プライバシー問題とPDE
プライバシー・バイ・デザインとPDE
PDEの中でのプライバシー・バイ・デザインの実施
ケース・スタディ：Personal.comのプライバシー・バイ・デザインへのアプローチ
ケース・スタディ：Respect NetworkとSWIFT Digital Asset Gridの
データ共有プラットフォーム
結論
参考資料
参考URL： http://privacybydesign.ca/content/uploads/2012/10/pbd-pde.pdf
37
【事例】パーソナル・データ・ヴォールト（PDV）
○PDE分野には、幅広く選択された技術、サービス、ツールが含まれる。現在のところ最も成熟しているモデルとしてパーソナ
ル・データ・ヴォールト(Personal Data Vaults、以下PDV) がある。PDVは、個人が自分の個人情報を完全に自分のコント
ロール下の方法で収集、保管、使用、共有、アクセス権提供、管理することを助ける。
○Personal Data Vaultは、Personal Data Store、Personal Data Locker、Personal Cloud、Personal Data Serviceとも呼
ばれている。
市場規模
• PDV市場は、投資規模が100万～1,100万ドルの新興企業で大部分が構成されている。安全なデータ交換のためにPDVと
パーソナル・ネットワークをユーザーに提供するプラットフォームのPersonal.comだけでも、2011年の投資額は730万ドルに
上り、2012年には350万ドルを追加投資する。ベンチャー・キャピタルの投資は、PDE/PDV市場の成長の最初の段階を表し
ている。第２段階は大規模な持続可能性を生み出すものになろう。つまり、独立して利益をもたらすようになるこうした製品
のための市場である。
• 英国のPDV市場は、単独で2016年までに3,000万ポンドに達すると予測されている。しかし、市場が爆発的に拡大すれば、
市場は2016年までに10億ポンド程度に成長する可能性がある。同様に、これは消費者データを入手する市場からサード
パーティーを閉め出す可能性がある。こうした市場の現在の規模は、米国だけでも20億ドルである。
動向
• Ctrl-Shiftの調査によると、最大で20のPDVがすでに機能しているか2012年末までに機能を開始する。
機能
• PDVはユーザーの個人情報（興味、連絡先、所属、好み、友人など）の中心点をユーザーに提供する。こうした情報には、テ
キスト、画像、ビデオ、音などの構造化されたデータや構造化されていないデータが含まれる。
• PDVに置くことが選択された情報は実際は一般的であろうが、医療や教育情報といった特定のトピックと関係づけたり、オン
ライン上の行動を管理するなど特殊な目的に関連する情報にすることもできる。
• PDVのキー・コンセプトは、“controlled push”と“informed pull”である。消費者は自分の個人データをコントロールして押し
出すが、自分の基準（たとえば、自動車保険の最安値）に基づいて異なる情報源からデータを要求して、データを引き込むこ
ともできる。
システム
• PDVシステムは、データの保管、認証、アクセス管理メカニズムのための特殊なソフトウェアと分散型ハードウェアを使用す
る。PDVの多くは、開発者がアクセスするためのAPI (Application Programming Interface) も提供する。
• PDVを１つの場所に設置したり、複数の連携情報源の間で分散することができる。また、ユーザーがセルフホスティングする
こともできる（つまり、ユーザー自身のサーバーを使用したり、ホスティング・サービスを提供して個人データの代理人として
合法的に行動するサードパーティーを使用する）。
38
【事例】データ共有プラットフォームの例
○PVDに近いデータ共有プラットフォームの例として、Respect Networkと、Personal.comがあげられる。
例1：
Respect
Network
• プライバシーを保護した個人情報の交換のために相互運用性のあるネットワークをオープン・スタンダード
のOASIS XDI (Extensible Data Interchange) プロトコルを基盤に構築しているRespect Networkと、
Open Identity Exchangeに認定されたRespect Trust Frameworkアグリーメントである。
• その目標は、異なるプロバイダーの複数のPDVの相互運用性と、接続を希望するビジネスとの相互運用
性を実現することである。これは、クレジットカードのネットワークが異なる銀行と商人の間で電子決済を相
互に可能にしているのと同じである。
• Respect Networkビジネス・モデルもクレジットカードのネットワークに似ている。主な違いは、企業は取引
の値を元に交換手数料を課す代わりに、ネットワークで維持されるそれぞれの消費者関係の値のために関
係手数料を支払う点にある。ネットワーク全体のピア・ツー・ピア評判システムが売り手と消費者に平等に
適用される点もRespect Networkの特徴である。
例2：
Personal.co
m
• もう１つのプラットフォームにPersonal.comがある。
• Webと携帯機器で利用できるPersonalは、個人が他のユーザー、組織、アプリと個人的なネットワークを通
して自分の個人情報の価値を管理、共有、獲得するためのデータ保管場所とツールを個人に提供する。
• 個人はPersonalを使って自分の生活と身元に関する構造化データ、メモ、ファイルの集合化、活用、交換
が安全にしかも簡単にできる。
• Personalは最近、アプリケーションのプログラミング・インターフェースを発表した。これにより、企業とアプリ
開発者は、独自のアプリ内でデータ交換とユーザー認証を行うためのPersonalのプライバシーとセキュリ
ティが強化されたプラットフォーム機能を利用することができる。
39
【事例】midata（英）の動向
○英国BISのmidataは、その実証実験が終了し、パブリックコメント『midata 2012 review and consultation（ 2012年7月27
日～9月10日）』が実施された。
○英国政府では、消費者の取引履歴を消費者の求めに応じて、オープンスタンダード形式で提供することを義務付ける法令
の検討を開始した。
• 英国政府は、消費者の取引履歴と消費データをコンピュータで処理できるオープン・スタンダード書式で消
費者の求めに応じて提供することを義務付ける法的要素を導入する提案を検討している。（データ保護法
1998（Data Protection Act、DPA）では、個人は企業が保管している個人情報にアクセスを要求すること
ができるが、その正確な形式については自由裁量に任されている。）
• 対象となる「取引データ（transaction data）」は消費者の購入・消費に関する取引データはファクトだけで
あり、データ保管者が情報について後で試みたいかなる分析も対象としない。義務は、この情報を電子的
にすでに保管している企業だけに適用される。（ただし小規模事業（従業員10名未満）は義務対象外、中
小企業も義務免除を検討）
• 英国政府はまず特定のセクター（エネルギー、金融、電気通信分野）を対象に義務を課すことを進める予
定。
• Reviewでは、懸念として、（義務の対象となる企業より）実装の潜在的コスト、競合他社に発生する利益、
プライバシーの問題等がよせられた。
参考資料： midata Government response to 2012 consultation（2012年11月19日）
40
【参考】パーソナル・データ・エコシステム（PDE）について①
○PDEを実施する前提として、個人が自分の“公式記録” の共有を管理し、何かの目的でその個人情報にアクセスして使
用できる人物についてルールを設定することを求めている。
【PDEが効率的に機能するための、3つの重要な要素】
個人データを管理
する技術
この技術的コンポーネントには、データの保管、アクセス制御、セキュリティ、認
証と、データとIDを管理する機能のセットをユーザーに提供するユーザー・イン
タフェースが含まれる。
サポート要因
データ管理規格、通信規格、信頼フレームワーク（許可ベースの情報共有にお
ける許可の設定・監視・強化のためのルールとプロセス）、さまざまな利害関係
者とサードパーティーの間の相互運用性、法律の相互運用性、規制の要件お
よび設定。こうしたすべての要因は信頼が高く拡張可能なPDEの基盤となる。
利害関係者
新たなPDEの主要な利害関係者であり、自らの目的に対して自分の個人デー
タの管理とコントロールを次第に強化する個人と、個人の権限強化を助ける
Personal Data Vault（以下、PDV）などの専門サービスと、政府および他の
公共組織と、新しい信頼に基づいて個人と情報を共有して利用することを希望
する民間企業が利害関係者である。
※事務局注 Vault：（特に銀行の）貴重品保管室
41
【参考】パーソナル・データ・エコシステム（PDE）について②
• 現在のパーソナル情報を利用したビジネスモデルは以下の理由で非効率的である。
1. ユーザーは個人データの管理と利用について管理が制限されている。
2. サービスのプライバシー方針と設定がそれぞれ異なる。
3. ユーザーにはプライバシー設定を管理する能力が全くないかほとんどない。
4. 各オンライン・サービスはユーザーにパスワードとユーザー名を設定することを要求するほかにも、特にそのサービスに対して細かな
個人情報（住所や誕生日など）の共有を要求している。これにより、センシティブなデータがコピーされ、漏洩するリスクが高まっている。
5. 各オンライン・サービスは、ユーザーのオンラインIDを必要な保証レベルに合わせて単独で検証しなければならない。
6. 各オンライン・サービスは、各ユーザーを部分的にしかとらえることができず、憶測、誤り、無駄につながっている。
• PDEではユーザは主要プレーヤーとして管理者の地位に位置する。
ユーザは、機能として以下を有する。
①自分の個人情報を管理する能力がある
②自分の習慣と活動について、単一の全体像を作る
③身元証明を提供して検証を要求する
④自ら選択した組織と自分の全体像を選択的に共有する
⑤自分の情報をツールを活用する
⑥組織から戻される個人情報を受け取る
⑦自分の情報に適用した分析を利用して傾向を発見する
⑧他のユーザーと対話して意見と考え方を共有する（P2Pの製品レビューなど）、
⑨生活のさまざまな場面について優先度を設定して計画を立てる（結婚、引退計画など）
現状
PDE
組織が消費者のデータを管理
個人が自分のデータを管理
消費者のデータは組織間で分散
個人がデータ統合の中心
情報は組織自身の目的とプライバシー方針によって収集、
利用、公開
情報は個人自身の目的とプライバシー設定によって収集、
利用、公開
42
【参考】パーソナル・データ・エコシステム（PDE）関連動向①
世界経済フォーラム
• “Report about Personal Data: The Emergence of a New Asset Class”（2010年）：必要な信
頼フレームワークを確立する試みに民間部門と政策立案者が投資する必要性や、規制機関と
民間部門の対話拡大の必要性等。
• “Rethinking Personal Data: Strengthening Trust”（2012年）：個人が信頼して許可したデー
タ・フローを異なる文脈で取得するためのルールに関するコンセンサスを拡大させるための補
足的な勧告。
民間主導
の動き
• パーソナル・データ・エコシステム・コンソーシアムは、ユーザー中心のモデルをサポートする業
界団体で、30社以上が参加している。
パーソナ
ル・データ・
エコシステ
ム・コンソー
シアム
2012年
2011年
Respect
Network
Corporati
on
Allfiled、bitWorld、Cloudstore Technologies、Consumer Marketing Rights、
COMRADITY、Lifedash、Metaconnectors、PIB-d Ltd、Planetwork、Privowny、Tangled、
Virtrue
Azigo、Buyosphere、Connect.me、archify、Gluu、Kynetx、Mydex、MyINFOSAFE、
Peercraft、Personal InfoCloud、Personal、Privo、Project Danube、Qiy、Reputation.com、
Singly、Synergetics、SwitchBook、The Customer’s Voice
• 信頼ある個人データ・ネットワークとして‘Respect Network’を確立。
• 非集中型のマルチ・プロバイダー・ネットワークで、現在の電子メールや、銀行ネットワークに
そっくりである。
• Respect Networkを設立したパートナーは、Kynetx、Gluu、The OpenXDI Project、Project
Danube、The Customer’s Voice、Planetwork、Bitworld。
• 最近、リアルタイム情報と分析を国際的に提供する信頼ある中立プロバイダーであるNeustar
と、欧州で最も信頼あるブランドの１つであるスイスの大手電気通信会社のSwisscomが出資
パートナーとして加わったほか、ユーザー中心のID検証技術を提供するMiicard、BioID、
Virtrue、TrustCloudの４社も参加した。
• 全てのメンバーは、Open Identity Exchangeに認定された個人情報の共有の新しいモデル
Respect Trust Frameworkの会員である。
43
【参考】パーソナル・データ・エコシステム（PDE）関連動向②
政府主導
の動き
• 政府も市民にデータを返すために対策を講じており、他の組織にも同じことを奨励している。
米国政府
• オープン・データ・イニシアティブを開始し、大量のデータ・セットを公開し、医療、エネルギー消
費、教育などに関する個人記録を個人に返している。
• 復員軍人援護局（Department of Veteran Affairs）のBlue Buttonイニシアティブでは、退役軍
人は自分の健康記録をテキストかPDFファイルでダウンロードできる。Blue Buttonのコンセプ
トは別の政府機関にも拡張されると予測されている。
• Green Buttonイニシアティブは、消費者は自分のエネルギー消費情報にアクセスできなけれ
ばならないという見解に沿って、扱いが簡単でダウンロードできる電子書式で、消費者が契約
している公益事業体かエネルギー小売り業者から提供される。2011年９月、米国のアニー
シュ・チョプラ（Aneesh Chopra）最高技術責任者（Chief Technology Officer）は、全国の公
益事業体にGreen Buttonイニシアティブに参加するよう呼びかけた。たとえば、カリフォルニ
ア州の公益事業体はすでにこの機能を実施している。
英国政府
• midataプロジェクトの下で組織が保管している個人情報を、ポータビリティがあり、コンピュー
タで処理でき、再利用できる書式で消費者に公開し直すことを促進している。Mydex PDV
サービスはこのイニシアティブを支援している。
• また、英国政府は、消費者の取引履歴と消費データをコンピュータで処理できるオープン・ス
タンダード書式で消費者の求めに応じて提供することを義務付ける法的要件を導入する提案
を検討している（”Midata 2012 review and consultation”）。
44
【参考】パーソナル・データ・ヴォールト（PDV）の機能について
PVDのコア機
能
共有：友人、
サプライヤー、
アドバイザー
と
管理
ストレージ
PVD可能機能
PIMＳ使用
可能性
分析
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
デジタル郵便箱：請求書、銀行明細、midata(受信)など
意思表示(送信)
書式の事前入力(送信)
ID管理/証明(送信)
検証済み要求と属性の表示(送信)
お気に入りと許可の設定および変更(送信)
記録/履歴/プロフィールを友人、サプライヤー、アドバイザーと共有(送信)
基本管理：更新、追加、訂正、変更
住所録と連絡帳：友人と家族、仕事、サプライヤー
申込用紙になど対してデータのアクセスおよび検索
プロフィールの作成：生活/登場人物の特定の役割に関するデータの集合の作成
仕事/タスク管理：すくにすべきタスクに関するデータの集合の作成
合図と警告
データと文書の安全性およびセキュリティ
ファイリング、記録維持
画像とその他のライブラリ
決定サポート：習慣の変化/監視、アドバイス、仮定シナリオ、購入サービス、改善
生活管理：プロセス（資金、家、健康などの管理）、エピソード（結婚、引っ越し、引退な
ど）
傾向とパターンの識別
目標の設定、逸脱の監視
グラフ化
"数量的自己"のサポート
45
【参考】PDVが可能なパーソナル・データ・エコシステム
○Respect Network、英国のMydexやオランダのQIYといったPDVプロバイダーなどのインフラ提供業者と、個人のPDVに許
可ベースで自分のサービスをリンクさせる個人データの専門ユーザーが、PDVになり得るとしている。
PDVが可能なパーソナル・データ・エコシステム
目標とされるPDサービス
いくつかのPDV型機能を提供しているか、
提供するサービスを強化するためにPDVに
密接にリンクしている非PDVサービス。コア
提供エリアに分類
ソーシャル評判管理
Webアーカイブ
ID管理
許可マーケティング
開始するときにPDVと統合が可能
コア/全体的PDV
幅広いデータ型に対してデータ保管、管理、
共有を提供するサービス。自分自身かサー
ドパーティーのプラットフォームによってサ
ポート
PDVプラットフォーム
コアPDV機能をサポートする基本的技術的
ソリューション - データ転送ソリューションを
重視
46