ニュース

パーソナルデータの取り扱いにルールを、総務省の研究会がパブコメを募集

 総務省は20日、パーソナルデータ(個人に関する情報)のネットワーク上での利用・流通の促進に向けた方策について検討してきた「パーソナルデータの利用・流通に関する研究会」がとりまとめた報告書案を公表し、パブリックコメントの募集を開始した。意見提出期限は5月31日。

 報告書案では、パーソナルデータの利活用には多くの可能性が期待されている一方、プライバシー保護の観点から様々な課題が指摘されていると説明。課題の多くは、パーソナルデータ利活用のルールが明確でないことから、企業にとってはどのような利活用であれば適正と言えるかを判断することが困難であり、消費者にとっては自己のパーソナルデータが適正に取り扱われ、プライバシーが適切に保護されているかが不明確になっており、懸念が生じていることにあるとしている。

 こうした点から、パーソナルデータ利活用の枠組みについては、基本理念と原則を明確にし、その上で具体的なルールを設定・運用していく必要があると指摘。パーソナルデータ利活用の基本理念としては、1)個人情報を含むパーソナルデータの保護は、主としてプライバシー保護のために行うものである、2)プライバシーの保護は、絶対的な価値ではなく、表現の自由、営業の自由などの他の価値との関係で相対的に判断されるべきものである――の2点を挙げている。

 さらに、基本理念を具体化するものとして、「透明性の確保」「本人の関与の機会の確保」「取得の際の経緯(コンテキスト)の尊重」「必要最小限の取得」「適正な手段による取得」「適切な安全管理措置」「プライバシー・バイ・デザイン」の7項目を、パーソナルデータ利活用の原則として提示している。

保護されるパーソナルデータの範囲は「実質的な個人識別性」で判断

 保護されるパーナルデータの範囲については、プライバシーの保護という基本理念を踏まえて実質的に判断されることが必要だと指摘。データ取得の際には特定の個人が識別されなかったとしても、他のパーソナルデータとあわせて分析されることなどにより、特定の個人が識別される可能性があることに十分配慮する必要があるとしている。

 具体的には、個人のPCやスマートフォンなどの識別情報(端末ID)などは、一義的には特定の装置を識別するものであるが、実質的に特定の個人と継続的に結びついており、プライバシーの保護という基本理念を踏まえて判断すると、実質的個人識別性の要件を満たし、保護されるパーソナルデータの範囲に含まれると考えられるとしている。

 一方で、IPアドレスやクッキーについては、必ずしもすべての場合において継続的に特定の装置を識別するものではないことから、一般的には他のパーソナルデータと連結する形で取得・利用される場合において、保護されるパーソナルデータの範囲に含まれると整理されるべきものと考えられると説明。ただし、EUのeプライバシー指令がすべてのクッキーをその規律の対象としていることなども踏まえ、さらに検討していく必要があると考えられるとしている。

 また、継続的に収集される購買・貸出履歴、視聴履歴、位置情報などについては、仮に氏名などの他の実質的個人識別性の要件を満たす情報と連結しない形で取得・利用される場合であったとしても、特定の個人を識別することができるようになる蓋然性が高く、プライバシーの保護という基本理念を踏まえて判断すると、実質的個人識別性の要件を満たし、保護されるパーソナルデータの範囲に含まれると考えられるとしている。

 さらに、保護されるパーソナルデータをプライバシー性が高くない「一般パーソナルデータ」、プライバシー性が高い「慎重な取り扱いが求められるパーソナルデータ」、プライバシー性が極めて高い「センシティブデータ」に分類し、プライバシー性が高い情報の取得にはユーザーの明示的な同意を求めるなど、プライバシー性の高さに応じて適切に取り扱うべきだとしている。

 報告書案では、こうした枠組みの本格的な実施のためには、国際的な調和や永続性、安定性の確保といった観点からも、日本における「プライバシー・コミッショナー制度」(パーソナルデータ保護のための独立した第三者機関)について、政府全体として速やかに検討を進めていくことが必要だとしている。

(三柳 英樹)