土曜日に情報ネットワーク法学会ビジネス法務研究会主催のシンポジウム「データポータビリティ時代のパーソナルデータの利活用」に参加してきました。

データポータビリティと一言に言っても論点は多岐にわたるのですが、今回のシンポジウムで印象に残ったことを少しだけメモ。(なお、kanekoはデータポータビリティについてほぼ無知なのでその前提でお読みください。)

• 1.欧米の状況を踏まえつつ、分野ごとにデータポータビリティのあり方を考える必要がある
• 2.技術や標準化の問題
• 3.データポータビリティの議論は、最終的に「データは誰のものであるべきか」という議論にいきつく
• 4.データポータビリティは利用者（本人）にとって本当に必要とされているのか
• 5.「データは持っているけどどう使いこなせばいいのかわからない」事業者が多い

1.欧米の状況を踏まえつつ、分野ごとにデータポータビリティのあり方を考える必要がある

データポータビリティの議論ではやはり欧米が先行している印象でした。

シンポジウムの中では

• EUはGDPR20条にデータポータビリティが規定されているのが大きいですがGDPR以外の分野でも、金融の改正決済サービス指令によるAPI開放、非個人データのEU域内自由流通枠組規則などがあり、非常に進んでいる。
• 米国でも医療分野のデータポータビリティが進んでいる。（HIPPA PRIVACY RULE、HITECH法等）
• 企業単位でもGAFAあたりではData Transfer Project（DTP）を昨年から開始している。
• googleにいたってはカナダのトロントにスマートシティを構築すること計画しており、その中ではデータトラストを想定している。

ということで、欧米やGAFAは進んでいるなぁと。

IT業界の片隅にいる身としては、この動きを踏まえてどのようにしたら生き残れるのか考えなければなりませんね。

なお、日本においては、議論を始めたばかりの印象でした。ただ、金融業界では、改正銀行法により、各銀行がAPI開放しており比較的進んでいるようです。

（マネーフォワードの方が「API連携のために130行全部と契約しないといけないですよ。法務が大変です。」とおっしゃっていたのが印象的でした。まじで交渉大変そう。）

2.技術や標準化の問題

「GAFAの大量データを移転させようとしても受け入れられるだけのデータセンターを持つ企業はほとんどなく、結果としてAPI提供の範囲での移転となってしまうのが現実ではないか」という指摘がありました。ただ、APIはセキュリティの問題やAPIを開発する提供元側に依存する点は課題のようです。

また、データがあってもそのデータの中の構造として課題がある場合もあり、

たとえば、現行の電子カルテの情報は、患者ごとのデータ構造になっていない（患者個人に紐付いていない）ため、データポータビリティの対応が現実的に難しかったりするようです。

3.データポータビリティの議論は、最終的に「データは誰のものであるべきか」という議論にいきつく

このとき「誰にデータオーナーシップを与えると価値が出るのか」という視点が必要とのことでした。

これは、個人情報に限らず問題になるお話ですよね。

所有権の対象でもなく、知財の対象でもない場合のデータは誰のものなのか、データを加工した場合はどうのなのか等・・・悩ましい問題です。

4.データポータビリティは利用者（本人）にとって本当に必要とされているのか

別所さんが報告の中で以下の趣旨の発表をされていました。

• データポータビリティよりプロファイリングの方が利用者にとって影響が大きいのではないか
• データポータビリティよりバックアップとしての役割の方が求められているのではないか

このご指摘は非常に重要だと感じました。

たしかに、行動履歴等の大量データを連結・解析し自動化処理することでその人の能力や趣向が推測されてしまうことの方が利用者（本人）にとっては影響が大きいですよね。昨今話題のスコアリングの問題にも繋がります。

5.「データは持っているけどどう使いこなせばいいのかわからない」事業者が多い

データは現代での石油と言われていますが、そのまままでは使えないため「クレンジング（精製）」が必要とのこと。

データからどのような価値を生み出せるかが大事なのに、上記のクレンジングができていないのでデータが死んでいる例がたくさんあるのでしょうね。

逆にここはビジネス的にはチャンスなのかなとも思いました。データ利活用のコンサルは今後も需要が増えそう。

ところで某社が自社で健康保険組合を設立したのは検診データを自社で利用するため、というのまじですげぇってなった。