Nobody's 法務

略称は「ノバ法」。著作権や特許とかを趣味程度に勉強している企業ホーマーのまとまりのない日記。あくまで個人的な見解であり、正確性等の保証はできませんので予めご了承くださいませ。

JILISセミナーに参加したときのメモ

f:id:kanegoonta:20190914014601j:plain

シンポジウムの様子 

 

先日、「第2回JILIS情報法セミナーin 東京」:就活サイト「内定辞退予測」で揺れる“個人スコア社会”到来の法的問題を考える 〜現行法における課題と個人情報保護法改正への提言〜に参加してきました。

台風後の交通機関の混乱の中、8割以上の席が埋まる 盛況ぶり。それだけ関心が高いテーマであることがわかります。

ちなみに、私服が多くてとてもとても安心した。

 

セミナーでは、個人情報保護法から経済法(独禁法)や労働法(職安法)に至るような広いテーマが議論されました。

もうすでに本セミナーに関する各種報道やブログが多くでているので詳細はそちらを参照してもらえばと思いますが、ここでは印象に残ったことを少しだけメモ。

 

 

目次

 

1.改正法への提案

個人情報保護法からの観点としては、以下画像のように「課題とそれに対する解決提案」がなされました。

 

f:id:kanegoonta:20190914014639j:plain

以下、いくつか興味深かった点をピックアップ。 

 

1.1.「データによる人の選別」に対する意識の欠如

この「課題とそれに対する解決提案」の中では、まず「利用目的をどこまで具体的に書いたら適法なのかはっきりしない」という課題を指摘したうえで、データが流通点々とする中で「データによる人の選別」によって本人に不利益が起こることをしっかり利用目的として特定すべきといった趣旨の説明がされていました。

この「データによる人の選別」にはいわゆる「プロファイリング」も含みます。

 

f:id:kanegoonta:20190914014941j:plain

 

1.2.個人データの定義の明確化

「容易照合性の解釈があいまい」という点も指摘されていました。

「ハッシュ化しておけば個人情報じゃなくなる」という誤解はいまだにありますし(個人的にも経験あり)、「1レコードに紐付いていればどんな情報でも個人データ(たとえYes or Noの情報でも)」というのも理解されにくいところです。

また、「個人データから一部を切り取った(氏名や住所を削除した)データを作成しても、そのデータは引き続き個人データである」というのも理解できていない人も多くいるところだと思います。

 今回は、以下のような提案がなされました。

 

f:id:kanegoonta:20190914015123j:plain



 

1.3 利用目的をサービス単位へ

個人情報の利用目的をプラポリの1つにまとめて記載するのではなく、サービスごとに分けて記載する方向への提案もなされました。

f:id:kanegoonta:20190914015450j:plain



2.委託元にcontrollerとしてのスキルがない

今回のセミナーの中でも板倉先生から指摘があったのですが、

  • 委託元にControllerとしてのスキルがない
  • 一方、委託先(Processor側)には他の委託元からの業務も請け負うのでスキルがたまる。でも委託先は「金を貰う側」なので委託元に「ああしろ、こうしろ」は言いにくい

という構図は個人的にも日々感じるところです。

ただ、どちらかというと、最近(GDPR施行以降)は委託元から(委託元自身がスキルがないことを理解しているので)委託先に相談が飛んでくることが増えてきているように感じます。

そういえばこの類の議論、以前大井先生としていて、「Youコンサルしちゃいなよ!」という結論にいたりました。苦笑

 

実際にコンサル事業化したという話もいくつか聞いたことあるので、コンサル費用を頂く方向で委託元と関係性を作っていくのも今後の一つの方向性なのかもしれませんね。

 

 

3.その他パワーワード(?)

最後に以下、セミナーで発せられたパワーワードをいくつか残しておきます。

  • そもそも本人同意するわけない同意スキームを組むのは頭おかしい
  • 人事・総務は普段から法務に相談しない
  • リ●ルートは武器商人

 

 この中でも

「 人事・総務は普段から法務に相談しない」 

これ聞いて「あー、たしかにそうかもしれない」って思ったんですよね。改めて人事・総務に特化した研修も考えた方がいいのかもと思いました。

 

4.最後に

リクナビ事件は他人事ではなく、次炎上するのは自社かもしれない」と考えて、この事件から学べることをしっかり自社のデータ管理に生かしていくことが大事だと改めて思いました。

また、この事件を踏まえて個人情報保護法がどう改正されるのかも注目ですね。 

「個人情報の委託(個人データの取扱いの委託)」って結局何なんだ?

実務で当たり前のように行われている「個人情報の委託」(正確には、個人データの取扱いの全部または一部の委託、以下「個人データの取扱いの委託」)ですが、どこまでできるのかみなさん考えたことがありますでしょうか。

 

先日書いたエントリーで個人データの取扱いの委託に関する記事をご紹介したのですが、正直もやっとしていて、改めて「個人データの取扱いの委託」としてどこまで個人情報の提供が可能なのか、各種文献を調べてみました。

 

間違った記述がある場合はご指摘お願いいたします。 

 

 

1.「個人データの取扱いの委託」を法律や各種ガイドラインではどのように書いているか

基本的なことですが、改めて法令から見ていきます。

個人情報保護法では、以下のように、原則として本人同意なく個人データを第三者提供できいことになっています。

※太字はkaneko以下同じ。

第二十三条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 法令に基づく場合
二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。

 

ただ一方で、委託に伴って個人データの提供がなされる場合には、当該個人データの受領者は、第三者に該当しない(=本人同意なく提供できる)とされています。

 5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合

 

三者に該当しない理由については、個人情報の保護に関する法律についてのガイドライン(通則編)(以下、ガイドライン通則編)によると以下のように書かれてます。

個人データの提供先は個人情報取扱事業者とは別の主体として形式的には第三者に該当するものの、本人との関係において提供主体である個人情報取扱事業者と一体のものとして取り扱うことに合理性があるため、第三者に該当しないものとする。

ガイドライン通則編 51ページ

 

では、「個人データの取扱いの委託」はどういう定義で具体的にどのような例があてはまるのでしょうか。

ガイドライン通則編では以下のように書かれています。

「個人データの取扱いの委託」とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいう。具体的には、個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うことを委託すること等が想定される。

ガイドライン通則編 44ページ

 

ちなみに、この委託にあたり、「委託先で処理した個人データを委託元に戻す行為は、どうなるの?」という疑問が生じるかと思いますが、これは当然に個人データの第三者提供には当たらないとされてます*1

  

「個人データの取扱いの委託」の具体的な事例としては、ガイドライン通則編と『「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A』(以下、ガイドライン等Q&A)には以下のように記載されています。

 

【OKの例(委託として解釈する例)】

  • データの打ち込み等、情報処理を委託するために個人データを提供する場合(ガイドライン通則編より)
  • 百貨店が注文を受けた商品の配送のために、宅配業者に個人データを提供する場合(ガイドライン通則編より)
  • マンション管理組合が工事会社に修繕を発注する際に、当該工事会社が修繕を行うために個人データの取扱いを委託する必要がある場合(ガイドライン等Q&Aより)

 

【NGの例(委託として解釈できない例)】

 

 NG2例目は、2018年12月の改訂時に追加された例のようですが、「このNG2例目の範囲がどこまでなのか」を以下各文献でみていきます。

 

以下8/6追記

高木先生から以下のご指摘をいただきました。

パブコメ見落としておりました。

ご指摘の箇所(No.7)は以下のような内容になっています。

[寄せられた御意見等]

委託を受けて個人データを処理するに際してその処理方法の技術向上のための研究・開発を当該データを用いて行うことは法23 条 5 項の「委託」を逸脱するものではないことを確認したい。

【理由】

改正案で追記される記載には「委託された業務以外に当該個人データを取り扱うことはできない」とあるが、以下の場合がそのような「できない」場合に当たらないと理解してよいか、確認したい。
○ 個人データを用いたデータ分析の処理を委託された受託事業者が、受託したデータ処理を行う過程において、データ分析の技術を向上する目的で、複数の分析方法を用いて結果を比較するなど、分析技術の改善のための研究・開発を、提供を受けた個人データを用いて行うことは、委託元事業者が特段それを禁止するなど制限していない限り、個人データの目的外利用に当たらず、法 23 条 5 項の「委託」を逸脱するものではなく、「第三者に該当しない場合」に当たらない。
一般財団法人情報法制研究所個人情報保護法研究タスクフォース】

 

これに対し、以下のような回答がされています。

[御意見等に対する考え方]

法第 23 条第5項第1号の「委託」に該当するか否かは、個別の事例ごとに判断することになりますが、個人データを用いたデータ分析の処理を委託された事業者が、データ分析の技術を向上する目的で、その分析処理結果を利用することも、委託元の利用目的の達成に必要な範囲内である限り、法第 23 条第5項第1号の「委託」を逸脱しないと考えられます。

これは委託の範囲内なのですね。勉強になります。

 

ちなみに、このパブコメ、他にも興味深いものが多々あり、

例えばNo.3では

[寄せられた御意見等]

ある事業者が全ての委託元から「当該委託元企業が提供したデータを他の委託元企業から受け取った個人データと突合・解析し、非個人データ化された解析結果を各委託元企業に返却すること」を業務内容として委託を受ける場合、各委託元企業から当該事業者への個人データ提供はガイドライン3-4-3 (1)の委託の範囲内となるでしょうか?
【個人】

 に対して

[御意見等に対する考え方]

個別の事例ごとに判断することになりますが、一般に、各委託元企業において特定した個人情報の利用目的の範囲内であり、かつ、個人データを第三者提供することについての本人の同意を有効に取得している等の事情が存在しない場合には、個人情報保護法ガイドライン3-4-3 (1)の委託の範囲外になると考えられます。

 と回答されているし、

No.6では、

[寄せられた御意見等]

複数の委託を受ける事業者がそれら委託元の異なる個人データを個人情報の本人毎に突合する処理を行う場合は法 23 条 5 項の「委託」を逸脱するものであることを確認したい。
【理由】
改正案で追記される記載には「委託された業務以外に当該個人データを取り扱うことはできない」とあるが、以下の場合がその「できない」場合に当たると理解してよいか、確認したい。

○ 複数の異なる事業者からの業務委託を受けた受託事業者が個人データを処理する場合に、それら複数の受託で提供を受けた個人データについて、データを統合して統計分析する目的で、個人データの本人毎に突合を行うことは、たとえ統合して得られる情報が統計量等の非個人情報に限られる場合であっても、「委託された業務以外」の個人データの取扱いに当たり、「第三者に該当しない場合」に当たる。
○ 上記の場合で、さらに、業務委託元の各事業者の全てがそのような突合によるデータ統合を業務として業務委託する場合についても、たとえそれが業務委託された業務に係る取扱いであろうとも、そのような業務自体が法 23 条5項の「委託」を逸脱するものであり、この場合も「第三者に該当しない場合」に当たる。
一般財団法人情報法制研究所個人情報保護法研究タスクフォース】

 に対して

[御意見等に対する考え方]

法第 23 条第5項第1号の「委託」に該当するか否かは、個別の事例ごとに判断することになりますが、複数の委託を受ける事業者が各委託元から委託に伴い提供を受けた個人データを個人情報の本人ごとに突合する処理を行うことは、各委託元企業において特定した個人情報の利用目的の範囲内であり、かつ、個人データを第三者提供することについての本人の同意を有効に取得している等の事情が存在しない限り、法第 23 条第5項第1号の「委託」には該当しないと考えられます。

と委託の範囲外である旨が明示されていたり、 

No.10では、

[寄せられた御意見等]

【意見】
「…委託された業務以外に当該個人データを取り扱うことはできない。」
に続けて、
「仮に委託された業務以外の目的で当該個人データを取り扱う必要が生じた場合は、提供元が本人の同意を得たうえで当該個人データを提供先へ第三者提供するか、又は提供元と提供先の間で別途委託契約を締結する方法によることとなる。」
の一文を加えてはどうか。
【理由】
近時、情報処理業務の委託を受けて元データを保有している事業者が、委託元から別途、匿名加工情報の作成も委託されるケースが増加していることから、委託の(一体のものと取り扱われる)範囲を明確に示す必要があるため。
一般財団法人日本情報経済社会推進協会】

に対して、

[御意見等に対する考え方] 

仮に提供先において、委託された業務以外の目的で当該個人データを取り扱う必要が生じた場合は、当該個人データを第三者提供することについてあらかじめ本人の同意を得ることが考えられます。また、新たに提供元が委託する業務に含める場合は、別途委託契約を締結する方法等が考えられます。

と書かれていたりと、非常に参考になるパブコメになっていました。

追記ここまで

 

 

2.日置巴美「複数主体におけるパーソナルデータの取扱いと個人情報保護法

三浦法律事務所の日置先生(執筆当時は内田・鮫島法律事務所に在籍)によるNBL*2の記事(以下、日置記事)です。

 

まず委託の範囲としては

委託として認められるためには、委託元が定めた利用目的の範囲内でのみ委託先において個人情報の取扱いがなされる、委託元が個人情報の取扱いについて指揮・命令し得る関係にある等の実態が伴うわないければならない。

日置記事 43ページ

 と比較的ぬるっと?したご説明をされています。

 ただ、以下のようにNG2例目に関する言及がされています。

仮に、委託先が複数の企業から個人情報の取扱いの委託を受けていたとして、これらを分離管理せず、合わせて取り扱った場合には、法20条の安全管理措置義務違反を問われ得ることとなろうし、法17条の不適正取得があったものとしてその違反も問われかねない。なお、このような委託先を選定し、実際に不適切な取扱いを許した委託元は、法22条の責任を問われ得る。

日置記事 45ページ脚注

 ガイドライン等Q&Aの改訂前の2016年時点でこの点をしっかり言及されているのは興味深いですね。

 

3.田中浩之・北山昇「個人データの取扱いの委託と共同利用の最新実務  ガイドラインおよびQ&A改訂内容の実務上の意義も踏まえて」

先日書いたエントリーの再掲にはなりますが、

森・濱田松本法律事務所の田中浩之先生と北山昇先生による「個人データの取扱いの委託と共同利用の最新実務 ガイドラインおよびQ&A改訂内容の実務上の意義も踏まえて」*3(以下、田中・北山記事)です。

2018年12月に改定されたガイドライン等Q&Aの解説記事なのですが、上記のNG事例の2例目をより詳細に検討しています。

 

この記事のなかで以下のように事例が挙げられています。

 

【OKの例】

  • 委託元から委託先に、統計情報や匿名加工情報の作成を委託した場合において、その成果物である統計情報や匿名加工情報を、委託元が委託先において自社利用させることを意図して提供すること

 

【NGの例】

  • 委託先が個人データとして利用することを目的とするわけではなく、委託元から提供を受けた個人データを利用して(委託元から委託のない)統計情報や匿名加工情報の作成を目的とする場合

 

さらに本記事では、「個人データの取扱いの委託」について以下のように言及しています。

委託元A社が委託先B社に対して、A社の個人データとB社を含む他の会社の個人データを突合したうえで分析することを委託した場合であっても、このこと自体、個人情報保護法上の個人データの取扱いの委託の範囲を超えることになり、認められないと解される。そもそも、個人情報保護法上の個人データの取扱いの委託とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に(自らの)個人データの取扱いを行わせることであるから、委託元が、本来、自らがやろうと思えば、できるはずの行為を委託先に依頼することである。

田中・北山記事 57ページ

 

個人情報取扱事業者は、自ら持っている情報を委託先に渡したり、委託先に新に情報を取得することを依頼(取得の委託)はできるが、委託することよりも前に委託先が既に保有していた個人情報や、委託先が他の委託元から入手した個人情報を利用することはできない。

田中・北山記事 57ページ

 

田中・北山記事で興味深いのは、

  • 委託の範囲を明確に定義している点(個人的には狭すぎるようにも感じますが)
  • 委託先が委託元の個人データと委託先の個人データ(自己保有のデータ含む)の突合分析NG

とある点です。

 

この解説だと例えば、(提供先で個人情報に該当するかどうかの問題がありますが、)

  • データ分析を委託するにあたり、ID突合(sync)が合わせて発生する場合
  • 広告主が広告配信をID指定で広告配信事業者に委託した場合

も委託とならない場合がありえるということなのでしょうか。

 

また、「委託先のデータが(委託先にとって)個人データでない場合は委託で突合分析できるのか?」という疑問も生じます。

 

4.影島広泰「改正個人情報保護法と企業実務」(清文社、2017)

上記kanekoの疑問に関して、田中・北山記事とは異なる解説がなされているように読み取れるのがこの本です。

 

この本はNG2例目がガイドライン等Q&Aに追記される前に出版された本であることは理解した上で考える必要がありますが、以下のようにcookieSync等のID突合を「個人データの取扱いの委託」と整理しています。

 現在の実務では、①cookieSync等を使って、企業の会員IDと、広告配信業者(DSP事業者等)が把握するID等を紐づけし、属性情報に従った広告を配信したり、②「30代男性」のデータを、会員IDを別の仮IDに変換するなどして提供し、データの本人の消費行動や広告閲覧の履歴などの情報(例えば、どの会員が実際に商品を購入したか、広告をクリックしたかなどの情報)を提供先からフィードバックしてもらい、自社のビジネスに役立てることなどが行われている。

・・・(中略)・・・

 この場合、一般的には、提供する情報の個人データ該当性(容易照合性を含む)は提供元において考える以上、個人データの提供であると整理した上で、広告配信や情報の分析という個人データの取扱いの「委託」に伴う提供と整理することになると考えられる。
影島広泰「改正個人情報保護法と企業実務」(清文社、2017) 374、375ページ

 

ちなみに、影島先生は、ビジネスロー・ジャーナル2017年7月号「個人情報の取扱いに関する実務FAQ 改正法対応を契機として」でも以下のようにDSP事業者にCookie等を提供する行為を「個人データの取扱いの委託」として整理しています。

 インターネット上でターゲティング広告を出稿するため、Cookieやタグなどにより、IDをDSP(Demand-Side Platform)事業者等に提供することをどのように整理すべきか。アドテクの世界ではさまざまな仕組みが用いられているが、ここでは一般的な例について検討する。
 まず、Cookie やタグ等によって提供されているIDは、受領するDSP事業者にとっては、特定の個人を識別できる情報ではないため、個人情報には該当しないのが通常である。
 しかしながら、提供する情報が個人データであるかどうかは、提供先ではなく、提供元で考える。したがって、たとえDSP事業者に「30男性で缶コーヒーをよく飲むユーザ」というセグメントに属するIDを提供しただけだとしても、提供した各IDが、提供元の会社において会員ID等と紐付いていれば、提供元の事業者にとっては、個人データに該当するから、個人データを提供していることになる。
 もっとも、一般的に、DSP事業者への個人データの提供は、自社が広告主となる広告を出稿するために個人データの取扱いを委託している形になっているから、委託に伴う提供であると解することができる

影島広泰「個人情報の取扱いに関する実務FAQ 改正法対応を契機として」LexisNexisビジネスロー・ジャーナル2017年7月号 41、41ページ

 

なお、広告主からID指定(ユーザー識別子によるターゲット指定)による広告配信のために、広告主からメディア事業者や広告配信事業者へのユーザー識別子の提供については、一般財団法人情報法制研究所 オンライン広告研究タスクフォースの「オーディエンスターゲティング広告における匿名加工情報の利用に関する提言」によると

ユーザ識別子によるターゲット指定の方法が用いられている場合には、ターゲット指定のためのユーザ識別子の送信が、個人データの第三者提供に当たるのではないかが論点となる。これについては、本 TF 第 2 期での検討課題と関係することから、第 2 期で改めて検討する。

一般財団法人情報法制研究所 オンライン広告研究タスクフォース「オーディエンスターゲティング広告における匿名加工情報の利用に関する提言」 28ページ 

と書かれており論点としてはあるものの、今後の検討事項とされています。(第2期って進んでんのかな?)

 

5.皆様からのご指摘(8/6追記)

以下、twitter上での皆様からのご指摘をいくつかピックアップ

 

 

 

 (「あ、これ学会で重鎮が質問するときのフレーズだ。この後(ry」って思いました。苦笑)指摘の箇所は後ほど追記しておきます!

 

 

 

 

 

 

 

 

 

6.最後に

結論:やっぱなんだかもやっとする。

 

このエントリーを書くために15冊程度の個人情報について書かれた書籍(の委託に関する箇所)を読んでみたのですが、「個人データの取扱いの委託」について(ガイドライン等Q&A以上に)詳しく書かれている書籍ほとんどありませんでした。

これだけ日常的に使われているスキームなのに、です。

ご紹介した文献を見たうえでも、なんだか明確じゃないと個人的には感じます。

故に実務でふと不安になるんですよね。「あれ?これってほんとに委託スキームでいけるんだっけ?第三者提供スキームの方にすべきなんじゃないか?」と。

 

もう少し「個人データの取扱いの委託」に関して議論がされてもいいのではないでしょうか。

 

----------------------------------------------------------------

8/5 追記

  • @ahowwota様、@junkiMATSUURA様のご指摘を踏まえて、「個人情報の委託」を「個人データの取扱いの委託」に修正

8/6 追記

  • 高木先生からのご指摘のパブコメを追記
  • twitter上での皆様からのご指摘を追記

 

*1:園部逸夫・藤原靜雄 編、個人情報保護法制研究会 著「個人情報保護法の解説 第二次改訂版」(ぎょうせい、2018) 186ページ

*2:NBL No.1088(2016年12月号)

*3:LexisNexisビジネスロー・ジャーナル 2019年8月号

データポータビリティの未来


f:id:kanegoonta:20190729182404j:image

 

土曜日に情報ネットワーク法学会ビジネス法務研究会主催のシンポジウム「データポータビリティ時代のパーソナルデータの利活用」に参加してきました。

 

データポータビリティと一言に言っても論点は多岐にわたるのですが、今回のシンポジウムで印象に残ったことを少しだけメモ。(なお、kanekoはデータポータビリティについてほぼ無知なのでその前提でお読みください。)

 

 

1.欧米の状況を踏まえつつ、分野ごとにデータポータビリティのあり方を考える必要がある

データポータビリティの議論ではやはり欧米が先行している印象でした。

シンポジウムの中では

  • EUはGDPR20条にデータポータビリティが規定されているのが大きいですがGDPR以外の分野でも、金融の改正決済サービス指令によるAPI開放、非個人データのEU域内自由流通枠組規則などがあり、非常に進んでいる。
  • 米国でも医療分野のデータポータビリティが進んでいる。(HIPPA PRIVACY RULE、HITECH法等)
  • 企業単位でもGAFAあたりではData Transfer Project(DTP)を昨年から開始している。
  • googleにいたってはカナダのトロントにスマートシティを構築すること計画しており、その中ではデータトラストを想定している。

ということで、欧米やGAFAは進んでいるなぁと。

IT業界の片隅にいる身としては、この動きを踏まえてどのようにしたら生き残れるのか考えなければなりませんね。

 

なお、日本においては、議論を始めたばかりの印象でした。ただ、金融業界では、改正銀行法により、各銀行がAPI開放しており比較的進んでいるようです。

(マネーフォワードの方が「API連携のために130行全部と契約しないといけないですよ。法務が大変です。」とおっしゃっていたのが印象的でした。まじで交渉大変そう。)

 

2.技術や標準化の問題

GAFAの大量データを移転させようとしても受け入れられるだけのデータセンターを持つ企業はほとんどなく、結果としてAPI提供の範囲での移転となってしまうのが現実ではないか」という指摘がありました。ただ、APIはセキュリティの問題やAPIを開発する提供元側に依存する点は課題のようです。

 

また、データがあってもそのデータの中の構造として課題がある場合もあり、

たとえば、現行の電子カルテの情報は、患者ごとのデータ構造になっていない(患者個人に紐付いていない)ため、データポータビリティの対応が現実的に難しかったりするようです。

 

3.データポータビリティの議論は、最終的に「データは誰のものであるべきか」という議論にいきつく

このとき「誰にデータオーナーシップを与えると価値が出るのか」という視点が必要とのことでした。

これは、個人情報に限らず問題になるお話ですよね。

 

所有権の対象でもなく、知財の対象でもない場合のデータは誰のものなのか、データを加工した場合はどうのなのか等・・・悩ましい問題です。

 

4.データポータビリティは利用者(本人)にとって本当に必要とされているのか

別所さんが報告の中で以下の趣旨の発表をされていました。

  • データポータビリティよりプロファイリングの方が利用者にとって影響が大きいのではないか
  • データポータビリティよりバックアップとしての役割の方が求められているのではないか

このご指摘は非常に重要だと感じました。

たしかに、行動履歴等の大量データを連結・解析し自動化処理することでその人の能力や趣向が推測されてしまうことの方が利用者(本人)にとっては影響が大きいですよね。昨今話題のスコアリングの問題にも繋がります。

 

5.「データは持っているけどどう使いこなせばいいのかわからない」事業者が多い

データは現代での石油と言われていますが、そのまままでは使えないため「クレンジング(精製)」が必要とのこと。

データからどのような価値を生み出せるかが大事なのに、上記のクレンジングができていないのでデータが死んでいる例がたくさんあるのでしょうね。

逆にここはビジネス的にはチャンスなのかなとも思いました。データ利活用のコンサルは今後も需要が増えそう。

 

 

 

ところで某社が自社で健康保険組合を設立したのは検診データを自社で利用するため、というのまじですげぇってなった。

 

 

【1日1論文】「炎上」時代を生き抜く著作権コンプライアンスー明日から取組める5つのポイント 知財管理vol.67 No.4 2017

 

TMI総合法律事務所の小坂準記先生の記事。

昔一度読んだ気がするのですが、社内の研修資料を考えるうえで改めて読んでみました。

 
本記事は、著作権業務を専門に扱う部署がない企業を念頭に「もし著作権業務の担当者になってしまったらどうしたらいいのか」という点にフォーカスして「やるべきこと」のポイントが記載されています。

 

特に
著作権相談時の簡易チェックリスト

著作権侵害有無の簡易チェックリスト

が書かれており、具体的な著作権業務のフローの大枠がつかめるようになっているのが特徴ですが、個人的に参考になったのが、研修に関する部分です。

 

むしろ社員教育で重要なのは、①著作権侵害にどのようなリスクがあるか(恐怖実例集)、②著作権を活用した成功事例(成功実例集)、③社内における著作権相談対応フローの3つであると考えています。

607ページ

 

著作権担当者としてもっとも重要なミッションは、社員がビジネスを進めていくうえで、「これは著作権的に大丈夫なのかな?」という疑問を日々のビジネスの中で抱いてもらうきっかけをつくり、そして、その疑問を抱いた人が社内で解決できる道筋を明確に示すことだと考えています。

607、608ページ

 
ここでは著作権研修の前提ですが、著作権以外も含めて研修の方法や中身をどうするかというのは非常に悩ましいところです。

受講者の対象者(一般社員なのか管理者なのか等)を決めて

研修を通じて受講者の理解度どこまで持っていくかというゴールを設定してそれに基づいて内容を決めるのかと思いますが

方法だけでも

・対面での講習(講義形式、GW形式)

・e-learning 形式

といった方法がありますし、

中身としても法律論と具体事例をどこまで説明するのかといった点も検討が必要です。

 

本記事を読んで、「こういうことするとなんかヤバイな」という温度感を理解してもらうことの重要性を改めて感じます。

もちろんこの温度感が理解できている人は「温度感はわかったからどうやったらクリアになるの?(法的に白にできるの?)」と聞いてくることになるのかと思います。

ここまで見据えた教育をしていきたいものです。

 

 

 

 

【1日1論文】個人データの取扱いの委託と共同利用の最新実務 ガイドラインおよびQ&A改訂内容の実務上の意義も踏まえて LexisNexisビジネスロー・ジャーナル 2019年8月号

今月のビジネス・ロージャーナルに掲載されていた、森・濱田松本法律事務所の田中浩之先生と北山昇先生による『個人情報の保護に関する法律についてのガイドライン(通則編)』と『「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A』の改訂に関する記事。

 

ガイドラインおよびQ&Aの詳細は以下

https://www.ppc.go.jp/files/pdf/190123_guidelines01.pdf

https://www.ppc.go.jp/files/pdf/1906_APPI_QA_tsuikakoushin.pdf

 

この中でも、個人データの委託に関する箇所が勉強になったので、いくつか抜粋してメモ。

※引用部分の太字はkaneko

  

委託元A社が委託先B社に対して、A社の個人データとB社を含む他の会社の個人データを突合したうえで分析することを委託した場合であっても、このこと自体、個人情報保護法上の個人データの取扱いの委託の範囲を超えることになり、認められないと解される。そもそも、個人情報保護法上の個人データの取扱いの委託とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に(自らの)個人データの取扱いを行わせることであるから、委託元が、本来、自らがやろうと思えば、できるはずの行為を委託先に依頼することである。

57ページ

 

個人情報取扱事業者は、自ら持っている情報を委託先に渡したり、委託先に新に情報を取得することを依頼(取得の委託)はできるが、委託することよりも前に委託先が既に保有していた個人情報や、委託先が他の委託元から入手した個人情報を利用することはできない。

57ページ

 

「結局、委託でどこまでできるんだっけ?」というのは個人データを扱う企業の法務の方であれば、一度は考えたことがあるのではないでしょうか。 

今回の記事は、委託の範囲を考えるうえで個人的に参考になる記事でした。この手のデータ提供を無理やり委託と解釈しようと試みる企業がいないと信じたいですが、とりあえず委託先においてデータを突合するようなケースの場合には、気を付けたいですね。

 

なお、今回は「委託元の個人データと委託先の個人データを突合すること」が想定されていますが、突合する委託先が保有するデータが個人データではない場合でも同様なのか、といったところは気になるところです。(ちゃんと調べてない)

 

 

JILISの第3回情報法制シンポジウムに行って見た。

f:id:kanegoonta:20190616211231j:plain

※実は人生初の東大。完全に観光気分で撮った。

 

JILIS 第3回情報法制シンポジウムにいってきました。

 


非常に興味深いコンテンツが盛りだくさんでしたので、いくつかメモを。

 


1.海賊版とDL違法化

 法基小委の当事者である小島先生(著作権法学会とのハシゴ参加)による報告。

 
DL違法化が盛り上がって見送りになるまでの流れについて、裏話を含めてスリリングに報告されていました。

本当に本当にギリギリの攻防だったんだなぁと。

 

そういや私もパブコメ出したりしたことを思い出しました。

kanegoonta.hatenablog.com

 
(メインのお話ではありませんでしたが)「私的使用範囲での著作物利用は本来著作権法が及ぶが、例外的に許容している」ではなく、「著作権法が私的使用範囲にはそもそも及ばない」とする小島説が個人的に興味深かったです。

 
私も前者が通説だと理解しておりますが、小島説は私の個人的な考えと一致していて、先生の論文を読んでみたいと思いました。

 


2.コインハイブ事件

先日横浜地裁で無罪判決が言い渡された「コインハイブ事件(仮想通貨のマイニングツールCoinhiveをサイトに設置して、サイト訪問者のPCで実行させた行為がコンピュータウィルス罪に問われた事件)」の代理人だった平野弁護士による報告。

 
そもそも刑法とはなんぞやのところから解説していただき、この法分野に疎い私でも理解しやすかったです。

 
主な論点に関して

  1. 反意図性→認めらる
  2. 不正性→認められない
  3. 実行の用に供する目的→認められない

として無罪が言い渡されたわけですが、判決文での規範では、

「反意図性が認められると原則として不正性が認められる(例外的に不正性が否定される)」となるため、

ヒートマップツールやエイプリルフールネタ等でも問題が生じるし、新しいツールの開発にも少なからず影響があるため、控訴審がどうなるか気になるところです。

 
なお、反意図性を否定するために利用規約等に記載しておけば安心というわけでもなさそうなのが難しいところ。(「警察除けにはなるかも」とおっしゃっていましたが)

 
この問題で参考になるサイトは下記

コインハイブ事件 横浜地判平31.3.27(平30(わ)509) - IT・システム判例メモ

被告弁護人と高木浩光氏は何と闘ったのか、そしてエンジニアは警察に逮捕されたらどう闘えばいいのか(Coinhive事件解説 前編) (1/3):権利は国民の不断の努力によって保持しなければならない - @IT

 

 

 

3.信用スコア問題 

先日Yahoo!スコアで問題となった「個人の信用度を算出して格付け」する行為の問題が議題。これをプログラム急遽変更してブチこんでくるJILISさんスピード感すごい。

 
信用スコアの背景(芝麻信用等)の説明からパネルディスカッション形式で進行。

 
挙げられた主な懸念点は下記

  • オプトアウトなのはいかがなもんか
  • 事前にユーザーへの連絡ないよね
  • 同意の問題(そもそもみんな読んでないでしょ)
  • 今回の信用スコアの利用が個人情報の利用目的の範囲内といえるのか
  • 意味のある同意をとっておかないと(GDPR基準に合せておかないと)後々違法になる可能性があるのでは
  • 社内限定や与信審査のため(必要性がある)といった場合であればいいが、超えちゃいけない線がある
  • 複数の事業者で勝手に使われる可能性がある(どこでどう使われるかわからない)
  • プログラムで自動決定される
  • 拒否すると0点となり、点数稼ぎの社会になる可能性
  • 個人の自律的な判断ができない(内心の自由表現の自由の問題)

 
参考になるサイトは下記

Yahoo!スコアで議論白熱、信用スコアはユーザー行動を「ハイスコア取るゲーム化」させ、歪める懸念も - 弁護士ドットコム

批判が噴出した「Yahoo!スコア」問題、板倉陽一郎弁護士が考える論点 - 弁護士ドットコム

 

 


4.捜査関係事項照会

捜査関係事項照会で個人情報をだすことが問題になった件を契機に現状の整理として各パネリストから報告。

 
通信の秘密の関係もありますが、やっぱりプロバイダはしっかり対応しているなぁという印象でした。

あと、この問題がGDPRの十分性認定と関係してくるのは驚きでした。

EDPBすげーよ。下手な法律家より日本のことわかってるんじゃないかな。

 
JILISの中でタスクフォースが動いているようですので、このあたりは今後、しっかりとしたガイドラインが作られることを期待したいです。

 

参考となるサイトは下記

“捜査事項照会”ってなんだ?:刑事訴訟法学の⽴場から

十分性認定におけるパブリックアクセスに関する我が国の説明

プロバイダの捜査対応実務と若干の比較法的検討

 


5.秘密計算技術による情報の提供

「複数の事業者のデータを連結するために秘密計算を使うことで個人データ提供の壁を超えられないか」という挑戦的アプローチの報告。

 
依然として課題はあるようですが

(例えば、「秘密計算のアウトプットが個人データになるか非個人情報になるかは計算してみないとわからないケースも多い」点や「まっとうなプロトコルで実施していればいいが、誰かが不正をすると保有者が違反することになる」点)

「週明けに報告書がアップされる」とのことですので、詳細はそこで確認したいです。

 

参考となるサイトは下記

NECのHP(秘密計算に関する説明箇所)

 

6.最後に

というわけで、非常に濃い一日を過ごしました。

ところで、最近、セミナーとかライトニングトーク系に行くたびに、知り合いに会えて嬉しい。

こういうのに積極的に参加する仲間ができるとなんかワクワクしますよね。現場で情報交換もできるし。

NETWORKINGの成果ですね!笑

 

 

 

 

 

TAYLなるものに参加してみた

金曜日ですが、第12回「新橋・法務レクチャー会」(TAYL 12)に参加してみました。

peatix.com

 

kataxさん、はっしーさん、ちざ☆たまごさんが出られると聞いて興味本位で参加してみたところ。。。

 

圧倒的なスーツ率

 

(普段IT系法務イベントしか参加していない私にとって)某法律事務所主催のセミナー並のアウェイ感

 

そして私服の人が来た時の安心感

 

知り合いがいた時のさらなる安心感。笑

 

私服の人同士で固まるテーブル。笑

 

具体的な各プレゼンターの発表内容の詳細はここでは書きませんが

 

kataxさんの大人なプレゼン

はっしーさんのカッコいいスライドのプレゼン

ちざ☆たまごさんのあるある?なプレゼン

の最後にすごいプレゼンを見ました。

 

あれはプレゼンに命をかけているとしか思えない。

まさに【passion】を感じました。

いやぁすごい。

 

自分は仕事や好きなことにpassionをあそこまでかけられているだろうか...

とちょっと自問してしまいました。

 

未見の方は一度参加されてみてはいかがでしょうか。