この半年の動き

• • 総務省　パーソナルデータの利用・流通に関する研究会
    • 情報セキュリティ対策室10月設置、6月報告書
    • 個人情報保護法を超越した保護。利活用の制度を提案
    • パーソナルデータ⊃個人情報
  • 経産省　IT融合フォーラム　パーソナルデータWG
    • 情報経済課 11月設置、5月報告書
    • 消費者と事業者の信頼関係の構築→有効な同意の確保へ
  • 内閣府　規制改革会議　創業等WG
    • 内閣総理大臣諮問　1月設置　3-5月WG、6月答申
    • 氏名住所削除で匿名データとみなそうとするが失敗
    • 現行法を無視してガイドラインで合法化を目指す方向性

6月14日 世界最先端IT国家創造宣言

国際先端テストの結論(消費者庁)
「匿名化情報の利用に関する日本と欧米の制度の比較」
特定個人を識別できるような対応表を廃棄すれば問題ない、法改正は必要ない
→そんなことはない

個人情報保護法

個人情報とは
生存する個人に関する情報であって
氏名、生年月日その他の記述等により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)

法解釈上の論点
「識別することができる」は誰によって識別という話か？
提供者基準(政府及び消費者庁・経産省、鈴木)
受領者基準(岡村)

岡村久道 個人情報保護法　新訂版、商事法務、2009
Aにとって識別性を具備しない情報を、これを具備するBに提供するケースは実際に発生しうるか疑問
→これは誤り

X(識別性あり) → Y(識別性なし) → Z(識別性あり) を想定していない

• 業務委託との混同に注意
• データ分析の業務委託の場合(政府説での理解)
  • 委託契約の元で履歴データを提供(預託)する
  • データから氏名等を削除して臨時のIDを付して渡すのが通例
  • その意図は、安全管理措置として事故字の被害を軽減するためであり、個人データの提供に当たらなくする(個人情報に該当しなくする)ためではない
  • 委託先は委託元と一体であるから委託先においても個人データ

JR-日立の例
一旦JRが受け取った後の統計データであればまだよかった
業務委託した日立がデータ提供しているのが問題
似てるようで全然違う
現行法だと違法だと言っていい

現行法
提供毎にランダムIDを付与するのは合法
→提供毎に過去全部のデータを提供してしまえば無意味

データ自体による照合性
k-匿名性との関係(全データがk=1だったら？)

適切な匿名化措置
匿名化したデータを再識別化しないことを約束・好評
第三者に提供する場合は、提供先が再識別化することを禁止すること