デジタル社会の進展に伴うデータリスクにどう向き合えばよいのか。指針となる個人情報保護法はデータの利活用と規制のバランスがカギとなる。現状はブレーキよりもアクセルが強くなっているものの、就職情報サイト「リクナビ」に続き、このほど、対話アプリ「LINE」問題でも行政処分が下され、個人データの不適切な扱いをめぐるトラブルは後を絶たない。データの利活用を安全かつ効果的に推進するための“勘所”を専門コンサルタントに聞いた。(編集委員・斉藤実)

個人関連情報 第三者提供、厳格化

「制度や仕組みがあってもそれは手段でしかなく、新しい価値を生み出すビジネスの成功例はまだ見えていない」―。KPMGコンサルティングの大洞健治郎パートナーは、データ活用を巡る日本の現状をこう語る。

個人情報保護法は3年ごとに見直しがある。直近の2020年度の見直しに伴う改正個人保護法の施行は22年4月と、約1年に迫っている。

今回の法改正では日本型のクッキー(インターネット閲覧などの情報ファイル)規制として取り沙汰される「個人関連情報」や、他の情報と照合しない限り特定の個人を識別できない「仮名加工情報」などが新たに定義された。

個人関連情報とは、生活・行動履歴などの他人に知られたくないセンシティブ(機微)属性を推理するデータを指す。

具体的にはブラウザー(閲覧ソフト)の利用履歴などを個人データにひも付けるクッキーなどの識別子などが該当する。

クッキーや単体の識別子単体だけでは個人情報ではない。だが、「提供先で別のデータやIDなどにひも付けられると個人データとなり得る」(NRIセキュアテクノロジーズの藤井秀之セキュリティコンサルタント)。このため改正個人情報保護法では、個人関連情報を第三者提供する際に本人同意を義務付け、さらにユーザーからの開示請求に応えるために記録・保存も義務付けた。

AI導入 自動判断にリスク

個人データをめぐるトラブルでは、本人同意の有無がクローズアップされることが多い。だが、欧州連合(EU)の一般データ保護規則(GDPR)など、世界にはプライバシーや人権を重んじる傾向が強く、個人データの扱いについても「同意していれば何でもOKというわけではない」(大洞氏)。

炎上した海外事例では、会話機能を組み込んだ子ども向け人形を販売する米企業のケースが興味深い。

問題となったのは、子どもが人形と遊んでいる間の室内音声データの扱い。これを当該企業がネット経由でサーバーに吸い上げ、AIが人形にどう会話させるかを判断していた。子どもの欲しいモノから親の仕事などの家庭事情までも把握できるため、プライバシー侵害につながる。

人形購入時の説明書には「子どもだけで使ってはいけない」などの注意書きがあり、AI機能についても同意を得ていたが、カナダのデータ保護当局が同国内での販売を拒否すると表明した。

もう一つは、人事採用にAI判定を採用したグローバル企業のケース。AI導入後に、白人男性ばかりを採用するようになり、利用を止めた。原因は、学習に用いた教師データにバイアス(偏り)があったこと。例え、うっかりミスでも、弊害が顕在化すれば炎上し、信頼を失墜する。

「AI判定による自動意思決定を導入する際には、リスクをきちんと評価して、対策をとることが重要。そういった仕組みが必要であり、世界中でAIのガイドラインがたくさん作られている」(大洞氏)。

NRIセキュアの藤井セキュリティコンサルタントも「個人データが人の手を介さずに判断・処理され、勝手にプロファイリングが作られ、知らないところで何かが行われるのが一番まずい」と指摘する。

インタビュー/KPMGコンサルティングパートナー・大洞健治郎氏 個人情報、管理体制見直しを

産業界におけるデータ利活用の変化と法規制への対応について、KPMGコンサルティングの大洞健治郎パートナーに聞いた。

―産業界におけるデータ利活用の現状をどうみていますか。
 「データ活用を推進する企業はユーザーの行動履歴などを積極的に集め、データを判断してセンシティブ属性を類推し、最適なサービスを目指している。判断のところに人工知能(AI)を入れるのが最近のトレンドだ」

―具体的には。
 「データの利活用は企業内に閉じた話ではない。例えばスマートメーターによるデータは、送配電の事業者が使うだけでなく、家庭の見守りや宅配業者の配達の効率化などにも役立つ。こうした事業の枠にとらわれないデータの利活用が今後の焦点だが、行き過ぎると問題が生じる」

大洞健治郎氏

―22年4月施行の改正個人情報保護法に向けて、企業に求められる対応とは。
 「期限はあと1年しかなく、改正の要点を理解し、対策を検討すべきだ。個人関連情報や仮名加工情報などを企業内でどう管理しているかを把握し、それらをグループ間で共有したり、事業の枠を超えて共有したりするには、本人確認や記録作成などの管理体制や管理プロセスを見直す必要がある」

改正ポイント 「2000個問題」焦点

個人情報の扱いはビジネスだけでなく、行政や自治体のデジタル化を左右する。議論が進むのは「2000個問題」だ。各自治体は個人情報保護の「条例」を持つ。47都道府県、1700超の市町村、東京23区、100超の広域連合があり、合計は約「2000個」。それぞれ条例が異なると、災害時の対応にも差異が生じるため、「ある程度、統一した方がいいのではないかといった方向で審議が始まっている」(NRIセキュア藤井氏)という。

独立行政法人等個人情報保護法との一体化の法案も出ている。個人情報の取り扱いを定めた法令は「個人情報保護法」だけではない。「行政機関個人情報保護法」、国立大学・病院や研究機関、国立病院などに対する「独立行政法人個人情報保護法」があり、国立大、私大、防衛大では参照する法律が異なる。

結果として、各医学部が持っている医療データを活用しようにも、それぞれ法律が異なるため、データの利活用には不便。このため「個人情報保護法の適用を広げ、一元化する形での議論が進んでいて、2000個問題を含め、個人情報保護法の次の見直しで焦点となる」(藤井氏)という。

「個人情報の扱いを個人情報保護委員会の傘下に入れ、そのど真ん中にデジタル庁が当局として入らないといけない」といった議論も持ち上がっている。