二次使用におけるプライバシ保護

（１）二次使用パターンの類型化

二次使用のパターンを類型化するにあたり，パーソナル情報の「主体」と，パーソ ナル情報を合法的に取得した「プロバイダ」との関係に着目すると，パーソナル情報 がユーザ本人に返ってくる場合と，外部の第三者に提供される場合とがある．この際 ＰＰＳはプロバイダから見るとユーザ側と捉えることができるので，ＰＰＳも含めて ユーザとみなす．

例えば，通販サイトにアクセスして「あなたは最近この商品を購入しました」と表 示される情報は，本人に返ってくるタイプであり，「この商品を購入した人はこの商 品も購入しています」と表示される情報は外部に提供され利用された情報である．

最初に提供したプロバイダのみの使用でとどまる場合と外部提供され二次使用に供 される場合などを考慮し，その類型化したパターンを図６.８に示す．

図 ６.８ 二次使用のパターン

第 ６ 章 今 後 の 課 題 と 留 意 点

111

表は，情報が何らかの形でユーザ本人に返ってくる場合とそうでない場合，外部に 提供され二次使用用される場合とそうでない場合，についてのマトリックスである．

Ａ類型は，プロバイダ単独で行う行動支援サービスや情報推薦サービスである．典 型例は，通販サイトにユーザ本人の購買履歴が表される場合などである．お節介に感 じる人は，クッキー（Cookie）を無効にするなどの手段により，履歴の取得を断る（オ プトアウト）機会が与えられているのが通常である．

Ｂ類型は，複数のプロバイダが共同で行う行動支援サービスや行動ターゲティング 広告である．行動支援サービスは，保存・蓄積された行動履歴や属性情報を基に，ユ ーザの興味・嗜好を分析し，趣味・嗜好にマッチした情報をユーザに配信するもので ある．プロバイダは同様のサービスを推進している別のプロバイダから，利用者の動 向（購買，行動など）を受領し，マッチングの精度を上げる．サービス例としては，

ドコモの i コ ンシェ ル [76]，au のケー タイ de ライフ ログ[77]，blippy(米)の blippy[78] 等が挙げられる．行動ターゲティング広告は，蓄積されたインターネット 上の行動履歴から利用者の趣味・嗜好を分析して利用者をクラスターに分類し，クラ スターごとに広告を配信するものである．ユーザのあらゆる行動を分析してターゲテ ィング対象とするユーザを選別するために，プロバイダは別のプロバイダが所有する ユーザの行動情報を契約者固有ＩＤごとに受領する（買取，貸借など）．サービス例 としては，Yahoo!のインタレストマッチ[79]，マイクロアドの MicroAd 行動ターゲテ ィング[80]などが挙げられる

このように複数のプロバイダをまたがるサービスの場合，たとえば通販サイトにお いて，Ａユーザの購買履歴をＢユーザの通販サイトへ提供する場面では，Ａユーザの 購買履歴はＡのプライバシなので，そのままＢユーザのプロバイダに提供することは，

Ａの事前かつ明確な同意がない限り許されない．外部提供の場合，本人の同意なくプ ライバシを第三者に提供することは，違法である．その場合，提供するときに匿名化 された情報を提供するのであれば，プライバシ侵害にあたらないので，本人の事前同 意は必要ない．Ｂ類型は，本人に返ってくるとは言え，外部提供による二次使用にあ たり，事前の明確な同意（オプトイン）が必要と考える．

Ｃ類型の典型例は，個人からライフログを取得し，それを集約して統計処理するこ とにより，統計情報を作成，提供するサービスである．プロバイダの所有するユーザ の動向（購買，行動など）を，情報利用者へ渡す（販売，貸与など）．サービスの例 としては，インテージの購買データ分析販売[81]，構造計画研究所の購買行動分析[82]，

シナジーマーケティングの Insight Box[83]等が挙げられる．

図６.８おいて二次使用アローｅ，ｆ，ｇ，ｈは匿名化すれば，本人了解は要らない が，ｆなどのように本人のデータを統合する場合，匿名にしてしまうと誰のデータか 分からなくなるので，このような場合は，事前了解のもとで処理を行う．

第 ６ 章 今 後 の 課 題 と 留 意 点

112

（２）個人識別情報を除去が必要になる二つの背景ポイント

すでに述べたように二次使用時におけるプライバシ保護のポイントは匿名化であり，

そのキーは，個人識別情報の除去である．その背景は二つある．

その一つは，・・ライフログの二次使用，つまり外部提供時には，事前かつ明確に ユーザ本人の了解をとるか匿名化処理をする必要があることを述べた．しかし，事前 かつ明確に了解を取り付けるのは極めて難しい．第３者に渡ってしまうと，利用期間 や利用目的など，ほとんど分からないからである．そこで，二次使用に当たっては，

匿名化や曖昧化などによって，個人と連結可能な情報を一切削除した形で提示するこ とが必須となる．

もう一つは，・・二次使用において別の事業者が管理する履歴データと合わせて解 析する可能性は十分考えられる[32]．例えば，ポイントサービス運営会社が取得した 商品購買履歴と，携帯電話から収集した位置情報履歴を合体させて解析する場合など である．図６.９は，このような事例を示しており，別々のプロバイダが取得したライ フログをリンクして解析すれば，個人像が明確になる例である[37]．つまり，複数プ ロバイダが結託し協力し合えば，個人識別どころか，コンピュータ上にその人の全人 格が浮き上がってくる¹．

図 ６.９ リンケージ推論[2]

1 プロバイダでどのように扱われても個人特定できない状況にしておくことが今後必須 である．匿名化がキーであり本研究では今後の課題としてより安全な匿名化を行うため の曖昧化，抽象化モジュール構想について，第６章，６.２.２項で述べている．

第 ６ 章 今 後 の 課 題 と 留 意 点

113

このような推定は，オプトイン方式にてユーザより許諾を得ていても，個人情報保 護法の“個人の特定を防ぐ”基本精神から外れるもので許されない．これを防止する には，プロバイダが外部提供する場合，どんなデータと合体されても個人が分からな い状態にしておくことが重要となる．

つまり，以上二つの側面より，外部にパーソナル情報を提供する場合，匿名性を確 保するなどして個人識別因子を除き“非個人情報”化することが不可欠である．

（３）曖昧化，抽象化の考え方

曖昧化や抽象化は，個人と連結不可能にする技術要素である．基本的な考え方は，

個人が含まれる範囲やカテゴリ概念をより広範にしたり，より大概念にすることによ り“非個人情報化”を施し，個人との連結が不可能な状況を作り出し，推論において 個人特定を防ぐことを実現する[48]．

位置情報であれば，半径１Ｋｍにいるすべてのユーザをある代表点にいたとするこ とで，ユーザの居住地などの情報は隠される．住所情報であれば，“町”や“丁目”

などの詳細がない“県”や“市”段階の情報とし，曖昧にする．時間情報なら，９時 台，１０時台といった具合に幅を持たせる．年齢を含む場合は２０代，３０代といっ た具合に丸めてしまうことなどが考えられる．職業なら会社名を伏せて会社員にする とか，学校名を伏せて単に学生にする，などである．

図 ６.１０ 曖昧化，抽象化の考え方[58]

第 ６ 章 今 後 の 課 題 と 留 意 点

114 ポイントをまとめると以下である．

・時間要素は，単位を時間帯，ＡＭ／ＰＭ，など時刻情報粒度を粗にする[43]．

・空間要素は，位置情報の精度を粗くする[16]．

・行動内容は，Ｋ－匿名性などを用いて匿名化する．

・個人要素（氏名など）は，削除するか，仮名などに置き換える．

図６.１０は，上記のような考え方を示したものだが，次のような課題も残る．

・抽象化は情報の希薄化，歪曲化をもたらし有用性を損なう可能性があるのでサ ービスやアプリケーションの種別，内容などを考慮た抽象レベルにする必要が ある[17,31]．

・二次提供する場合は，オプトイン（ユーザの事前了解）が必要である．

今後，ますます多様なサービスの出現が予想される，位置情報サービスに関連する 位置情報の扱いは重要である[36]．特にその情報粒度は，前述したように個人との連 結性をコントロールする要素である．位置情報の匿名性は該当エリアにいるユーザ数 に比例する．例えば，各モードごとに異なる位置情報粒度を定義し，いずれかのモー ドを入力することで希望する匿名度を設定する事例を以下に示す．図６.１１は，この 考え方に基づく位置情報曖昧化のイメージ図である．

図 ６.１１ 位置情報の曖昧化[37]

第 ６ 章 今 後 の 課 題 と 留 意 点

115