タグ

タグ:個人情報保護法

カテゴリ:
このタイミングでこのタイトル・・・普通なら手に取らなかった気がしますが、Twitter上での感想を目にし、また直近のビジネス法務の特集の中で「憲法とAI」の関わり方についての論考を読んだことがきっかけで手に取るに至りました。


著者は、憲法という切り口から、ビッグデータの「素晴らしさ」を十分理解しながらも、日本ではあまりに過少に見積もられている「AIによってプロファイリングされること」へのリスクを説明し、そのAIの「素晴らしさ」を十分享受するためのより良いバランスを取る方策を説いています。


自分が何も考えなくても、着たいであろう服、食べたいであろう料理、買いたいであろう本、目にしたいであろう情報を入手できる世界。
これらの理想郷に向かって加速度的に向かっているように見える産業界、システム開発の世界。

実用レベルとして目指されているとなったAIやロボットは大抵の人よりも平均的に安全かつ優れているという前提を認めつつ、「自動で自分の願ったサービスを受けられる状態が、本当に幸福な状態なのか?」という点に再考を求めています。

健康的な食生活、それは本人のためのように思えて、実は医療費を削減したいという国家側からの必要性が強いことが分析できる。
不健康で刹那的に生きる、そういう自由「愚かに生きる自由」というものも憲法13条でうたっている「人は全て個人として尊重される」という理念に含まれているんだという指摘にはハッとさせられました。

また、日本の個人情報法制の構造的な問題点、社会的な関心が「情報漏洩」問題にばかり行き過ぎていて、本当にビックデータが利活用される際に問題となりうる「プロファイリング」の問題については、無関心かそれに対して問題提起をすること自体が周りから非難を浴びる雰囲気すらあるというのは、予てから高木浩光氏らの指摘するところです。

また、改正個人情報保護法により、要配慮個人情報(病歴や身分などに関わりうるセンシティブな情報)に関しては同意の際の取得が要件となり、一定の配慮が設けられたように見えるけれども、一見どうでも良さそうな「フツウの個人情報」をビックデータとして組み合わせた結果、この人は「鬱状態にある」というようなネガティブに判断されうる状態であるという「推測」が働き、それが近年AIが収集した公開されている情報を組み合わせて採用選考に生かしてゆく、というサービスに利用された際に、それを利用する企業には本人は理由がわからず不採用を繰り返してしまうデストピアが今まさに迫りつつある、という指摘は直近のAIを利用した採用サービスをめぐる一連の議論を想起させました。

まずは、サービスを提供する側が一定のバランス感覚としてこの書籍で指摘されている内容を理解することが重要かと思います。

実際、法務担当者としてこの指摘を具体的なサービスに関する相談の際にどのように盛り込むのか、「悪い意味で法務っぽい」という風になりそうな気もうっすらしつつ、まずは自分の中で両論併記した上でバランスを取って行きたいです。

新書で読みやすいので、一般の読書としてもオススメです。
AI礼賛、ビックデータ最高、という一面的な情報の波に飲まれそうになっていると感じている方へ。
 

カテゴリ:
個人情報保護法に関して理解に混乱が見られるケースが多い気がしているのが、「第三者」と「委託」先という用語の使い分け方。

以下に引用する様に、個人情報保護法上は 「次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。」としている。
その「次に掲げる場合」として、 「個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合」が掲げられている。
この場合の「当該個人データの提供を受ける者」がいわゆる「委託」先であり、これは「第三者に該当しない」とされている。

「委託」先の典型例として、商品を発送するために利用者の個人情報が書かれた封筒を郵送する配達業者などが挙げられる。

「第三者」の典型例は、卒業生の連絡先も書かれた卒業アルバムを各卒業生に配布する際の、各卒業生などが挙げられる。


提供された個人情報の「使われ方」という視点から区別すると以下の通り。
「委託」先は、自身の意図でその情報をどう利用するかという検討をする余地がなく、委託元が行っているのと同様な形でその情報を扱う。
「第三者」は、提供を受けた個人情報を自分のものとしてある程度の裁量の幅を持って利用できる(提供を受けた際の利用目的には制約される)。
また、その個人情報の主体たる本人からの同意が、「委託」先に提供する場合には不要で、
「第三者」の場合は原則必要(オプトアウトを除く)。

この様に、「委託」先か、「第三者」かは、その個人情報の「使われ方」と「本人の同意の要否」という観点から大きく異なる。
ところが、客観的に見ると、どちらも同じく、別の法人に個人情報を提供をしているので、区別がつきにくい。
そして、一般的な日本語感覚として「第三者」というのがとても広い用語として理解されている傾向があるため、まさか「委託」先は「第三者」じゃないとはなかなかスッと理解できないのでは無いかと思う。

数社のプライバシーポリシーをざっと見た感じだと、きっちり使い分けいるものもあれば、広い「第三者」という用語を日本語感覚に従って使っているものも見受けられた。

ひょっとしたら、Pマークのひな形がこの辺り独自の表現になっているのでは?とか、何か理由がありそうだなと感じているものの、元の法文が決してわかりやすく定めていないところに、この混乱の大元がある気がしている。 

まとめ
個人的には、法文の理解に従って「第三者」と「委託」先を使い分けて行くのがいいと思うが、わかりやすさを犠牲にしない様な配慮がいるだろうとも思っている。

改正個人情報保護法は「第三者」への提供に関して「トレーサビリティ」を要求しているのだが、「委託」先についての理解が混乱したままで、「トレーサビリティ」が事業者に取って過度な負担とならない様に、個人情報保護法の理解を広げていく必要がある。
第二十三条  個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
  法令に基づく場合
  人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
  公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
  国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
  個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
  第三者への提供を利用目的とすること。
  第三者に提供される個人データの項目
  第三者への提供の手段又は方法
  本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
  個人情報取扱事業者は、前項第二号又は第三号に掲げる事項を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。
  次に掲げる場合において、当該個人データの提供を受ける者は、前三項の規定の適用については、第三者に該当しないものとする。
  個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託する場合
  合併その他の事由による事業の承継に伴って個人データが提供される場合
  個人データを特定の者との間で共同して利用する場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的及び当該個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
  個人情報取扱事業者は、前項第三号に規定する利用する者の利用目的又は個人データの管理について責任を有する者の氏名若しくは名称を変更する場合は、変更する内容について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置かなければならない。

カテゴリ:
安保法案は合計11個の法案の集合体とのことですが、安保法案より前にいろいろ騒がれた別の法案がスルッと可決したことは相対的に小さく扱われている気がしてなりません。

 マイナンバー法の改正
 個人情報保護法の改正
 労働者派遣法の改正

この辺りはきっと安保法案がなければめっちゃニュースで取り上げられただろうなぁ。

ちなみに、個人情報保護法は3年ごとに改正が行われることも組み込まれた改正になっています。

マイナンバー法は、これが「改正」だということがあまり知られていない。

これら、平時においてはとっても重要、企業活動、市民活動にダイレクトに影響を与え続ける法改正なんだと思うんですが、ぶっちゃけこのどれも同じように国民が関心を持ち続けてかつ正確な情報を受けて議論に参加することって超難しい。

もはや間接民主制ってなんなのかわからない。。。

GitLawじゃないけど、ネットで国民的な直接的な政治意見の反映とか、表明とか、できるんじゃないのかなぁ〜。むりかな〜。

でも、今のような法改正のメンテナンスがうまくいっているようには、あまり思えないんだぜ。
 

カテゴリ:
パーソナルデータ周りの本はだいたい読んだというか唾をつけたみたいな感じ。

本当に精緻な議論が必要な部分だし、法解釈だけじゃなくて情報セキュリティの技術的な素養みたいなのも求められる分野っぽい。

情報セキュリティスペシャリストの勉強をやってて良かった〜みたいな感じはあるけど、正直そこまで個人情報保護法について細かく問われる試験じゃないのも確かなんだが。


年金の情報流出の話を見るに現場の人たちの疲弊感というか、「記者会見でさらし者になっている人可哀想」という感想すらでてしまうのですが。

・年金どういう仕組みか国民にちゃんと説明しないでここまで来た問題

・情報セキュリティ教育とかそこまでちゃんとやらずにパスワードとかその辺徹底できていない問題

・そもそも、個人情報とはなんぞやという部分でコンセンサスが取れていない問題

・ITのシステムについて専門家が素人にわかるような言葉であんまり説明してこなかった問題


この辺りが複雑な関数として噴き出しているようで、それは何も年金機構だけの話じゃない・・・


アナザーパーソンズマウンテン

ザ・他山の石

ターザンズストーーン


ということで、藁にもすがる思いでこの辺りの本はだいたい読んだんだけど、

だいたい読んだだけじゃダメなんだな。

でも、あと2ヶ月で専門家になるよ。





プライバシー大論争 あなたのデータ、「お金」に換えてもいいですか?
日経コンピュータ/大豆生田 崇志/浅川 直輝
日経BP社
2015-02-05





今、あらためて ろじゃあ先生の
「事業者は消費者法を学びましょう!!」

というお言葉の意味が身にしみて理解できるというか。

その時も感じたけど、あの時の言葉は紛れもなく「天啓」だったなぁというか。

はい、そうですよね普通に考えて。

みたいな感じです。


頑張る!!! 

このページのトップヘ

見出し画像
×