第3章 課題分析
3.2.2 パーソナル情報の扱い
(1)ライフログの扱い方
ライフログは,人の生活に関わる事柄をデジタルで記録したデータそのものであり,
パーソナル情報のほとんどすべてを含ませることができる.携帯電話あるいはスマー トフォンに搭載されている多彩なセンサで得られる位置,加速度,方位など,パソコ ンで得られる検索ワード,訪問URLなど,そして磁気カードやRFID リーダで得 られる物品購入履歴,交通機関の乗降履歴などの情報,いわゆるライフログを解析し て有効裏に活用すれば,“私設秘書”のような行動支援サービスや推薦サービスが実 現できる.現にドコモの“iコンシェル[76]”サービスなど実用的なサービスも始ま り,その進化,高度化が進んでいる.
各ユーザの位置や動き,購買履歴を統計的に処理すれば,社会システム全体の効率 化にも使える.今どこが込んでいるかが分かればタクシーの効率的な配車につなげら れ,ある時間のある場所に特定の年齢層のユーザが集まると分かれば効率的な広告が 打てる.しかし,ただユーザにとって便利になる,あるいは社会システムが効率化す るという理由で,ユーザの行動履歴を収集し,活用してよいかは悩ましい問題である.
つまり,Webページ上の閲覧履歴,購買履歴,あるいは携帯やカーナビで取得さ れた位置情報などは,氏名や住所と違って個人識別性を有しないパーソナル情報であ り,個人の特定にはつながらず,個人情報保護法の対象にならない.しかし,その第 2条第1項において「個人情報は,・・他の情報と容易に照合することができ,それに より特定の個人を識別することができることとなるものを含む」とあり,ライフログ のように個人識別性を持たない情報であっても,組合せ方によってユーザ個人の特定 につながる情報は,「個人情報」並みに扱う必要があるからである.
図 3.2 取り扱いがあいまいな行動履歴情報
第 3 章 課 題 分 析
31
例えば,通信事業者の契約者固有のIDは,ブラウザや端末を特定する情報ではあ るが,それ自体は個人を特定しない情報であり,それ自体を単独で利用する場合,個 人情報保護法の対象にはならないが,プロバイダの契約者データベースにおいて氏 名・住所などの契約者情報と対応でき,契約者固有のIDは「個人情報」並みに扱う 必要がある.多くのライフログは,実生活に近いデータを集めるほど,個人が丸見え になってしまい,プライバシを侵害することにつながる.そういう面からもライフロ グの利用には万全の配慮が必要である.
ユーザの行動履歴を活用する際のガイドラインや法令が決まっていれば,プロバイ ダはその基準に基づいてサービスを開発し事業を展開できるが,今のところ図3.2示 すように「個人情報」に対する個人情報保護法に該当する法律は,「ライフログ」に 対して何もない状況であり,その取り扱いについての明確な基準がない.図3.3は,
収集したライフログの扱い方に対する基本的な考え方であるが,現状“ユーザに不安 感・不信感を与えない運用”に腐心する以外にない.
図 3.3 ライフログの扱い[68]
政府や社会規範に裏打ちされた基準がないため,通信事業者などのプロバイダとし ては,プライバシ侵害を懸念して活発な動きになりにくく,関連のビジネス活動が大 幅に制限されている状況である.こうした背景から,携帯電話事業者のパーソナルサ ービスでは,位置情報や購買履歴といったユーザの行動履歴をプロバイダ横断的に収 集できず,位置は単にプロバイダ単独で情報配信のトリガーとして使うなど,限られ た用途でしか用いることができてない.公式的にサーバにも記録できず,本格的なサ ービスに至っていないのが現状である.
第 3 章 課 題 分 析
32
そのような状況下において,法的問題点をも含め主に個人情報保護とプライバシ保 護の観点から検討が行われ,行政(総務省)より,利用者の不安感等を緩和し,安心 なインターネット利用環境を確保する観点から,プロバイダに一定の配慮を求める配 慮原則が策定され発表された.発表されてからすでに2年以上経過しているが,何ら 具体的な法的整備に至ってないのが現状である.
プロバイダは,相変わらず,極めて曖昧な“配慮原則”に基づく活動を強いられて いる状況である.各プロバイダは,ライフログ活用サービスを推進する際,この配慮 原則を踏まえ,何らかの具体的な手段を講じていく必要があるが,本研究のアイデア がその支援的な側面で貢献できれば本望である.
(2)配慮原則
パーソナル情報のなかで,個人を特定できる「個人情報」の取り扱いは個人情報保 護法で決められているが,生活記録であるライフログは必ずしも個人特定につながら ず,個人情報保護法の範囲外となり,何の取り決めもない.そのような状況下で総務 省は,“ライフログ活用サービスは揺籃期”にあることから,規制色の強い行政など によるガイドラインではなく,事業者による自主的ガイドラインの策定を促すべきで あるとして,以下の6カ条からなる配慮原則を発表しこれに則った活動を勧告した [65,72].
① 広報,普及,啓発活動の推進
事業者は,提供サービスの仕組みや本配慮原則の取組みについて明らかにし,
ユーザのリテラシの向上や不安感の払拭に資する.
② 透明性の確保
事業者は,サービスの仕組み(対象情報の取得・保存・利活用およびユーザ 関与の手段など)についてユーザに明らかにする.
③ 利用者関与の機会の確保
事業者は,対象情報の取得停止や利用停止など,ユーザが関与できる手段を 提供する.
④ 適正な手段による取得の確保
事業者は,対象情報を適正な手段により取得する.
⑤ 適正な安全管理の確保
事業者は,対象情報の漏えい,遺失などに対して安全管理のため必要かつ適 切な措置を講じる.
⑥ 苦情・質問への対応体制の確保
事業者は,対象情報に関する苦情・質問へ適切に対応する.
第 3 章 課 題 分 析
33
図 3.4 パーソナルサービス提供の注意点
パーソナル情報活用サービスは,プロバイダによる上記の配慮原則に則った取り組 みによりプライバシを保護することが求められ,個人情報保護法の精神と合わせて,
パーソナル情報の収集,蓄積,利用,公開/共有のそれぞれの場面において気を配る 必要がある.この様子を図3.4に示す.
なお,個人情報保護法に関する3つの主要な原則は,以下のとおりである.
・ プライバシステイトメント等で告知(収集趣旨,安全確保など)
・ サービスを利用するにあたり選択肢を与える(オプトイン,オプトアウトなど)
・ パーソナル情報を取得するにあたり同意を得る(利用者,利用目的など)
これらを考慮し収集情報種別,使用目的,期間などの明確化によりサービスの透過 性には十分配慮し,同時にユーザごとに設定可能な匿名化ポリシーの導入や,また匿 名度や提供情報をユーザに可視化することにより段階的にオプトインを実現し,受け るサービス内容と開示情報とのバランスをとり無用な情開示を避けることが望まれる.
ライフログの利活用による新サービス・新市場隆興の期待があるなかで,プラ イバシへの懸念を払拭しユーザとプロバイダの双方がメリットを感じるWin-Win 関係の構築,そして配慮原則に沿ったベストエフォート活動がブレークスルーの キーである.ユーザとプロバイダ間のWin-Win関係の構築は,従来ユーザは希望匿 名度が守られず余計な情報を取得されているのではないかという不安から十分な 情報提供ができず,結果いいサービスが受けられなかった.プロバイダも欲しい 情報が得られず,あるいは取得できる情報はとりあえず取得しておこうという傾 向があって,お互いに好ましくない状況だった.本研究によってユーザは意図し ない情報開示がなくなるので安心して情報提供でき,いいサービスも受けられ,
プロバイダもユーザ承諾のもと安心して信頼できる多くの情報を集められる環境 ができ,相互にメリットが生まれる.図3.5にその様子を示す.
第 3 章 課 題 分 析
34
図 3.5 ユーザ・プロバイダ間の Win-Win 関係
(3)ユーザ情報を極力排除
政府によるガイドラインがない現状でパーソナル情報を活用したサービスを提供す るには,現状の法律や世間の常識に応じた対策を施しておくことでリスクを小さくし ておくことしかない.基本は,収集データの内容とその利用目的などについてユーザ に事前に分かりやすく説明し,実際の運用でその目的以外に使わないことである.い わゆる透過性を確保し,収集したデータを利用目的以外に使っているのではないか,
という疑念を抱かれたとき,口約束でないことを示すためにも,システムの作り方に 気を配る必要がある.
具体的には,データの保存時にはユーザを識別するデータ(ID)とライフログを 分離し,ライフログは統計情報として蓄積するなどである.例えば,「ID:001 の人が調布駅を10時に通過」という情報を記録するのではなくう,他のユーザのデ ータとまとめて「10時に10人通過」などとする.サービスの特性上,どうしても 特定のIDにひも付けをして保存しなければならない場合でも,サービス提供に必要 な最低限の期間しか保存しないようにする.保存期間が長いとその分,個人の動きが 詳細に見えるようになるからである.
あるいはライフログから個人を識別するに足る情報をある程度除去することで匿名 化を施し,個人が特定できない状態にしておくことである.匿名化には「単純匿名化」
と「統合匿名化」があるとされている[65].単純匿名化とは,例えばパーソナル情報 の氏名を削除したり,年齢は20代と曖昧にしたりすることによって,個人を特定で きないようにすることをいう.統計データだけではなく,監視カメラ画像などのリア ル情報についても実施されている.統合匿名化とは,単純匿名化で処理された被パー