経済産業省
文字サイズ変更

IT融合フォーラム パーソナルデータワーキンググループ(第5回)‐議事要旨

日時:平成25年4月10日(水曜日)10時~12時
場所:経済産業省 別館5階 513共用会議室

出席者

委員
石井(夏)委員、石井(純)委員、大倉委員、金子委員、小林委員、小松委員、森委員(座長代理)、小向委員、崎村委員、佐藤委員、城田委員、高崎委員
経済産業省
商務情報政策局 永塚局長、中山審議官
情報経済課 佐脇課長、宮田補佐
オブザーバー
総務省 情報流通行政局情報流通振興課情報セキュリティ対策室 藤波補佐

議題

  1. とりまとめ案「パーソナルデータ利活用の基盤となる消費者の基盤となる消費者と事業者の信頼関係の構築に向けて(案)」について
  2. 討議

議事概要

1. とりまとめ(案)本文の表現について

  • 「分かり易さに関する手法・アプローチ」の部分で「トラブルにつながりやすい内容を優先的に表示」と読めるが、「消費者が想定しないようなもの、意外に思うようなものを優先的に」ということではないか。
  • 利用規約の「平易で簡潔な表示」の提示例で、消費者から取得する情報の用途を一次利用と二次利用に分類しているが、「一次利用=サービスを受けるのに必須な情報」という風に位置づければよい。必須とそうではない情報、ということで区別したほうが分り易いのではないか。
  • 議論の枠組み提示している部分では「消費者による選択」としているが、資料の途中から「制御」という言葉になってしまっている。選択と制御は違うので注意が必要である。また、「情報開示レベル」としている箇所も、「情報制御レベル」もしくは「情報利用レベル」のほうがふさわしい。「レベル」というカタカナも「度合い」等の日本語にしたほうが良い。「情報の利用度合い」ではどうか。
  • 議論全体のまとめの部分に関して、慎重に書かれているのでわかりにくく感じる。法制度の見直しの必要性等、具体的に書いてしまって良いのではないか。

2. 取得した情報の一次利用や二次利用、同意のあり方について

  • 取得した情報の扱いについて、一次利用、二次利用という言葉はわかりにくい。情報の取得が「必須」か「任意」か、と整理したほうが良い。取得した情報の一次利用、二次利用に関して、「同意」という面からみると、本当に必要にしているものが「必須」である。たとえば、マーケティング利用(広告)が目的であればそれが一次利用であり、「必須」とすべき。「必須」と「そうでないもの」をきちんと分ければよい。
  • 消費者が望むサービスを受けるために必須な情報、事業者がサービスを提供するために必須な情報と、必須ではないが、事業者としてはできれば欲しいと考えている情報は違う。それをどこまで分けて表示・提示するか、という議論である。
  • 極論すれば、「利用者が望むものを提供するために必要な情報(一次利用)」は同意が不要なのではないか?たとえば、地図アプリで利用者の位置情報を取得するのは当たり前(位置情報を取得しないとサービス自体が成立しない)で、それに同意を求めるのは矛盾している。
  • 当たり前のものまで同意をとるのは、逆に同意の実効性の意味をなくしてしまうだろう。当たり前のものに対しては同意が不要なのではないか、という視点が抜けているように感じる。本来はそこも議論すべきであろう。
  • 法的な観点から言うと、サービスを利用している時点で、同意しているということになる。ここで議論しているのは、「お伺いをたてる」という行為に対して、明示的に同意を得るかどうかという点であり、そこは注意すべきである。

3. WGで議論した内容の実証について

  • 実証という観点では、IT融合プロジェクトにおいて、PPM(Privacy Policy Manager)の実証を行う。PPMのプロトタイプの運用を行い、何がネックになるのか、事業者にとってどうなのかを実証する予定である。日本ではPPMのような自己情報の制御に関する実績がないため、国内の有識者、海外のキーパーソンとも会話をしながら、実証を進めていく。
  • EUのPrimeLifeプロジェクトでは、膨大な実証を行なっている。そのプロジェクトリーダーとも話を進めており、PPMについて意見交換を行なっている。
  • 国際的な展開を考えた時、UIやインターオペラビリティが重要である。報告書でも、具体的な実証の必要性等についても触れるべきである。

4. 専門家による審査について

  • アプリベンダーとしては、既存の民間企業による審査の影響は大きいと感じている。審査にかかる時間やリリースのタイミングなどは、サービスローンチに影響する。たとえば、クリスマス商戦前は審査に時間がかかる等の理由で審査時期をずらすなどの対応が必要になってくる。審査について、どれだけ簡易に実現できるかが重要であり、そのときに自主申告とするかなどの手法論の議論も必要である。
  • 専門家による評価については、法的に強制力がないものを作っても意味が無い。法的な強制力が無いものに対しては、事業者は「やらなくてもいい」と判断してしまう可能性もある。
  • とりまとめ(案)の整理は、具体的な例示に欠けている印象がある。また、主観的(事業者寄り)な記述となっており、消費者視点での記述も必要に感じられる。
  • 「専門家の位置付け」を明確にしたほうがよい。とりまとめ(案)では、参考として海外事例のプライバシーコミッショナー制度の紹介があるが、プライバシーコミッショナーと本WGで議論してきた専門家の役割は若干異なるので、位置付けは明確化すべきである。
  • 専門家の役割として、「認証・審査・助言機関」と「駆け込み寺」に整理しているが、助言機関が認証・審査と同じ括りにされていることに若干違和感がある。助言は駆け込み寺と同じ括りになるのではないか。「認証・審査・助言機関」が事業者向け窓口、「駆け込み寺」が消費者向け窓口なのではないか。
  • 「駆け込み寺」という表現だと、消費者向けという印象が強い。事業者向けであれば、「駆け込み寺」という言葉ではなく「助言」で良いのではないか。
  • 専門家の位置付けは事業者向けということだが、やはり消費者視点が欠けている。専門家についての議論を整理している箇所の冒頭で、「消費者の安心感を高める手法の1つ」とある通り、消費者に正確な情報を与えることで安心感を与える、ということは重要だろう。
  • 「認証・審査・助言機関」は事前で、「駆け込み寺」のほうは、何かあった時に社会的に助言のような役割を担える機関ということで整理したい。

5、消費者と事業者の信頼関係について

  • 本WGの位置付けは、パーソナルデータの安全な利活用のための課題の議論であろう。その視点でみると、「~であるべき」「~すべき」という議論ばかりだと、息苦しくなってしまい、本来のパーソナルデータの利活用のための議論ができないのではないか。
  • WG全体として、「信頼関係の構築」にフォーカスし、そのために何をすべきか?ということを議論してきた。したがって、信頼関係の構築にあたってすべきことは議論の必要があるだろう。
  • 「信頼」の実現においては、法的な義務付けという何かがあるわけではない。消費者の信頼をいかにして勝ち得ていくか、パーソナルデータを安心に利活用するときに、どのようなプラットフォームが必要か、という議論が必要ではないか。
  • 議論の枠組みを示している図で「安心感」とあるが、「信頼」ではなかったか?信頼を得るためには消費者に安心感を与える必要があるのではないか、という意図もあるかもしれないが、「安心」と「信頼」は異なり、「信頼」のためのメカニズムをどう作るか、と考えた時の1つの要素が「安心感」である。

6. 個人情報保護法との関連について

  • 本WGの検討範囲を示している部分で、現行法との関連をどう示すか、ということが重要である。データ収集、管理、利活用という本WGでの検討範囲の分類は、現行の個人情報保護法の3つのフェーズとは異なる。これには理由があるはずであるので、それを明記すべきだろう。
  • 消費者目線に欠けている感もある。本WGの議論の枠組みを示す部分で、「分かり易さ」の前に「透明性」に関する事業者側のコミットが必要なのではないか。それがあっての信頼感の構築になるのではないか。法的な義務付け以前に、透明性の課題があると思う。
  • 実際の事業者からすると、データの収集・管理・利用というフェーズ分けは自然であるように思う。個人情報保護法との違いについては、違いを述べることで回答になると思われる。

7. ルールとしての強制力や法制度改正への意見等について

  • ルールとしての強制力に関しては、あまり窮屈にならずに実現できると良い。ただし、第1回WGでも議論として問題提起がなされており、メッセージ(問題意識)としては触れておいても良いかもしれない。
  • 利用目的をどう特定するか、という部分については、今後踏み込んだ議論が必要なのではないか。個人情報保護法制の見直しを(将来的な)視野に入れるのであれば、そういう議論をした上での記述が必要だろう。
  • 法改正は必要である、という考えを持つ委員がいた、ということはきちんと残すべきだろう。法改正に関する議論は今回のWGのスコープ外としたが、上記の指摘や現状についても報告書の冒頭で触れていただきたい。

8. 消費者の受容性とサービスの魅力について

  • 消費者の受容性の研究において、ある懸念材料があったとき、サービスの魅力(消費者の便益)があれば懸念は消えるのかという仮説があるが、実際には懸念は消えないという研究結果がある。また、別の研究では、複合的な要素を組み合わせた調査では、逆にサービスの魅力が勝る(トレードオフする)という研究結果もある。
  • 上記の違いは「消費者の非合理的な選択」と呼ばれるもので、消費者が必ずしも正しい選択をしているとは限らないため、安心は得られるが、信頼構築には至らない。それは実証で確認していくべきだろう。
  • 一般的に言われてきているのは、プライバシーを提供しないなら利便性が減る、ということではなく、プライバシーを守りつつ利便性を提供できる方法を探るべきである、という点にではないか。必要最低限の原則、というものをきちんと触れないと、消費者視点での記述にならないのではないか。
  • 消費者による情報制御の議論で、「現状では、消費者は、事業者が一方的に定める利用規約やプライバシーポリシーに応じて、事業者が求める情報を開示するか、あるいはサービスを利用しないか、という二者択一を迫られる場合が多い」という記述があるが、世の中的にはそればかりではない、ということも記述しておくべきだろう。

9. 海外事例の紹介(自己情報の制御)と自主規制・法規制について

  • ロイター社(UK)のWebサイトでは、サイトで使われているcookieの状態を確認できるようになっている。cookieがターゲティング広告に使われている状況が視覚化され、ON/OFFの制御のためのI/Fも提供している。
  • 非常に示唆に富んだ事例である。消費者による情報制御の1つの解とも言えるだろう。
  • ロイター社(UK)の事例は、EUデータ保護規則に対応したものである。米国やカナダはEUデータ保護規則の対象外となるため、米国やカナダでのロイター社のWebサイトにはないものである。
  • プライバシー保護については、法規制以外に、自主規制のような枠組みとして、報告書に記述してはどうか。
  • ロイター社の事例は、規制への解答という側面もあるが、利用者に対しての視覚化や情報制御の方法を提案しているという側面もある。自主規制のなかでこういうことも可能であり、実践すべきなのではないかという事例として報告書で紹介してもよいだろう。

10. 個人情報とパーソナルデータについて

  • パーソナルデータの「範囲」や「定義」については、誤解を招かないよう、きちんと定義してから論じたほうが良い。そこには個人情報が含まれるのか、個人情報とは何が違うのかというところを整理すべきである。
  • 議論の前提として、「個人情報ではないが取り扱いに留意すべきもの」としてパーソナルデータを位置づけていると思うが、個人情報ではないものに対して個人情報保護法の話が出ることに違和感を覚える。はじめにきちんと整理したほうが良いのではないか。
  • 個人情報はパーソナルデータの部分集合であるとみなせる、ということなのではないか。そうであれば、個人情報保護法についての議論は道を逸れてはいない。ただし、報告書への記載においては、個人情報保護法の「適用」の話、「推奨」の話、パーソナルデータ一般の話、という具合に整理しておいたほうが良い。

11. 利用目的と緊急時の例外措置について

  • 利用目的の特定に関してだが、大震災後のビッグデータ活用のような話で、個人を特定するまではいかないが、それに近いような情報に対し、どう扱うかという点についても触れるべきではないか。緊急時の例外措置としてルール化するか、ルール以外の議論として行うべきではないか。
  • IT融合プロジェクトの実証では、緊急時の対応に対しても機能としては組み込む予定である。
  • 個人情報保護法の23条にも例外はあるだろう。緊急時における情報の取り扱いや対応について、震災「後」にどう扱うかという議論もある。法制度として手当てが必要なのではないかという意見もある。緊急時かどうか、というよりは統計化の度合いの話かもしれない。

以上

お問合せ先

商務情報政策局 情報経済課

関連リンク

最終更新日:2013年7月17日
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.