リスク軽減策は単純なチェックリストで決められない

クロサカ:今までの話を踏まえて、2つの質問があります。1つ目は、プライバシーの相対性をどう扱うのか。効用関数的にバラバラな状態だとすると、プライバシーインパクト(プライバシー影響)を一律に下げる技術、手法、運用方法は現実的にあるのかということです。2つ目は、情報銀行がそのアプローチになっているのか。

崎村:プライバシー影響を一律に下げる方法は、存在します。例えば、統計化してしまえば下がりますよね。ただ、有用性とのトレードオフになりますから、利用できる手法かどうかはケース・バイ・ケースにならざるを得ない。

 情報銀行の場合、平均的個人に対するプライバシーインパクトと平均的な便益は、後者が上回らないと話にならないので当然考慮されているわけですが、もう1つ大事なのは最大限にマイナス方向のインパクトを受ける人のことも考えなくてはいけない。最悪の事態を想定した時、それが平均的個人の受忍限度を超えてしまうようなものがあってはいけないのです。それを抑えるように業務を作っていく必要がありますね。あと、受忍限度が低い人への対応として、情報銀行を使わない選択肢や、使っていても容認する一部のサービスにしかオプトインしないというような選択肢を確保することも重要です。

クロサカタツヤ(左)と崎村氏
クロサカタツヤ(左)と崎村氏

クロサカ:その受忍限度を超えない前提で、崎村さんも関わっている情報銀行の認定基準が定められたわけですね。

崎村:情報銀行の認定基準は、端的に言えば、プライバシー影響評価(PIA:privacy impact assessment)をやれと言っているんですね。そこで想定されるリスクは、個人に対するリスクです。だから、そのリスクが倫理的に許されるのかどうかは、倫理審査委員会を作って、マルチステークホルダーでちゃんと検討しなさいということです。

クロサカ:例えば先ほどの商店街の例で言えば、商店街側がPIAをした結果として、実はお客様の中に同級生がいたということは、一般的に想定されること。だとしたら、その想定されることについては、少なくとも何らかの方針の下で対処すべきであるということですね。

崎村:それによって非常に大きなプライバシー影響があるようなら、そのまま取り扱うことは当然、あり得ない。そのリスクを引き受ける決断は、最終的にリスクの承認をするマルチステークホルダー会議にはできないので、何らかのリスク軽減策が取られるはずです。

クロサカ:なるほど。そして現実的なリスク軽減策は便益とトレードオフになるし、受忍限度は、テクノロジーやユーザーの受け止め方、サービス提供側の構造によっても可変します。その中で均衡点を探す営みを常に続けていくということですね。

崎村:そうです。単純なチェックリストをやればいいということではない。

クロサカ:多くの事業者の方が、情報銀行の認定基準を、一種のチェックリストのようなものだと誤解している。「ISO/IEC 27001(ISMS)とプライバシーマークの両方いるの?」とか、「この項目はPIAというプロセスのことを事実上言ってると思うんだけども、どうすればいいの?」とか、「倫理審査委員会って、どうやって作ればいいの?」といった個別要素の確認に陥りがちです。

崎村:ISO/IEC 27001や、Pマークの認定を受けているというのは、その組織の中でセキュリティーやプライバシーに関するリスクマネジメントシステムが回ってるはずだから、そこにマネージする対象として新たに情報銀行に必要な要素を足しなさい、っていうことなんです。従って、チェックリストではあり得ないんですよ。