JR東日本がSuicaから取得されるビッグデータを日立製作所に販売をすると発表したところ、問い合わせや苦情を多く受け、それを見合わせるとともに、「Suica に関するデータの社外への提供についての有識者会議」が設置されていました。
このほど、この有識者会議は、5回の開催を経て「中間とりまとめ」を発表しました。その結果、データの社外提供は引き続き見合わせられることとなりました。
今回は、ビックデータの提供に関する法的問題点について解説したいと思います。
JR東日本が販売しようとしたビックデータは、Suica利用に際し集積されたものであり、駅利用者の性別年代構成のほか、改札を通過した駅の名前や日時、Suicaで買い物した店や物、利用額などが含まれているようです。
このデータを利用すると、「この駅の利用者には高齢者が多い」とか「この駅は、夜間の利用者が多く、主に30~40代男性が利用している」といった情報が分かります。このような情報は、効率的なマーケティングに活かすことができます。
では、このようなビッグデータを提供することに個人情報保護法との関係で問題は生じないのでしょうか。
■ビッグデータ提供と個人情報保護法
個人情報保護法にいう「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」と定義されています(個人情報保護法2条1項)。
JR東日本が販売しようとしたビックデータは、自社で保有するSuica利用データから氏名・電話番号・物販情報等を除外し、生年月日を生年月に変換した上、さらに、SuicaID番号を不可逆の別異の番号に変換したデータであるとされ、IDについても長期的にひとつのIDのデータを追いかけることはできないようにされていたようです。
そうすると、特定の個人を識別することはできないため、「個人情報」とはいえないということになります。
「個人情報」に当たる場合には、個人情報を本人の同意なく第三者へ提供することは禁止されていますが(同法23条)、個人情報に当たらない以上、その提供に個人情報保護法上の問題はなかったということができそうです。
■プライバシーとは?
なお、個人情報とよく似た概念としてプライバシーという概念があります。プライバシーは一般に、私生活上の事実または事実らしく受け取られる情報で、一般に知られておらず、一般人なら公開を欲しない情報を指すとされます。
Suicaデータは匿名化されるなどされていたことなどから、プライバシーにも配慮されていたようです。
ちなみに、個人情報保護法は、事業者が「個人情報」を適切に取り扱うべきことを定めるものであるのに対し、プライバシーは個人の権利を守るためのもので、それぞれが想定している場面は若干異なっています。
このような状況であるにもかかわらず、JR東日本が提供に踏み切らないのは、中間報告において、個人情報の定義における特定の個人の識別性の論点について専門家の間でも解釈に幅があることや、法改正が検討されているという点があるようです。
■利用されたくないなら自衛を
自分の情報を、たとえ個人情報に当たらない形で、ビッグデータとしてでも利用されたくないと考える人もいると思います。情報収集とその活用が悪いことであるわけではないので、それを否定するべきではないと考えますが、利用されたくないと考えるのであれば、自衛をしていくしかありません。
たとえば、個人情報の第三者提供は原則禁止ですが、オプトアウトという方法を用いて、原則可能としている場合もあります(ただし、この場合は、本人の求めに応じて第三者への提供を停止することが必要になります)。この場合は、自ら第三者への提供を止めるように動いていく必要があるということです。
個人情報はいたるところで収集されているので、自分の個人情報がどのように扱われるのかについて、自分から関心を持って対処していく必要があるといえます。