情報銀行の認定基準作りに携わった崎村夏彦氏とクロサカタツヤが「個人起点のデータビジネスの商機」を探る対談の前編では、「データ流通2.0」の在り方を議論する。崎村氏は、プライバシーが守られれば、データは守られなくてもいいと言うが、どういうことなのだろうか……。

崎村夏彦(さきむら・なつひこ)氏
一橋大学経済学部卒業後、野村総合研究所入社。米国OpenID Foundation理事長、SC27/WG5国内委員会主査。アイデンティティやプライバシー、認証技術の研究者。情報銀行については、認証団体となった日本IT団体連盟(IT連)に設置された、情報銀行推進委員会情報銀行認定分科会の分科会長を務め、情報銀行の認定基準作りに携わっている

クロサカ:情報銀行というコンセプトが誕生した背景に、通知と同意の煩雑さがあると思います。今のウェブやアプリをベースにしたデータ流通では、個人は多数のサービス提供者と、1対1で向き合い、通知を受け、同意をしなくてはいけません。利用するサービスの数はものすごい数になりますから、個人が管理できる能力を超えている。結果、内容も見ずに形式的に同意している実態があります。対して、サービス提供者側では、「同意取得は無理」だとオプトアウト方式に逃げてしまう人たちもいれば、反対に形式主義を徹底するあまり、読む気を起こさせないほどに分かりにくい利用規約の通知にとらわれている状況も散見されます。

メディアは「情報銀行」を片側からしか見ていない

崎村:ユーザーが企業ごとに分割されてしまっている状態というのは、同意だけではなくその前段の認証も同じ問題を抱えています。私がかかわってきたOpenIDというのは、それをユーザー側に引き戻して統合する、ユーザーセントリック(ユーザー中心)な試みです。現状はどちらかといえば、企業セントリック(企業中心)といえる。

クロサカ:この企業中心の状態から、システムの機能や権限をユーザー側に取り戻そうというアクションの1つとして、「情報銀行」が期待されていると思っています。例えば、PDS(Personal Data Store)機能や、同意を代替して行う信託機能など、エージェント的な機能を担い、個人の役割を代替して負担を下げられる。

 一方で、PDSと信託機能を束ねて個人情報が1カ所に集約されることに対して、巨大なビジネス機会を見いだそうと色めき立つ事業者たちもいる。その結果、「情報銀行」というコンセプトを巡り、「さてどっちなんだ?」と疑義が噴出しているのではないでしょうか。

崎村:ここまでの情報銀行に対する報道というのは、産業側に立っていますよね。情報銀行は個人情報をお金に変えるものであるとか、情報銀行のライセンスというお墨付きを得ればデータを勝手に使えるといった話がされている。でもそれは、情報信託機能として着想されたものとは全く違う話です。

クロサカ:情報銀行自体も、サービスプロバイダー側とユーザー側で、同じものでも見え方が違うので、そこで齟齬(そご)が発生している状況です。ただ、情報銀行の源流には、ユーザー中心、人間中心という発想があり、個人の自己情報コントロール機能を高めるということが考え方の柱にあったのではないでしょうか。つまり、個人をエンパワーするための手段です。

崎村:その通りですね。

個人主導の姿を目指していく「データ流通2.0」

クロサカ:これはぼくの考える仮説なんですが、ユーザーが産業側に明らかに収奪されている現状を「データ流通1.0」だと考えると、それをもうちょっと個人の側に取り戻そうという、個人主導の姿を目指していくのが「データ流通2.0」であり、我々はその入り口にいるのではないか。

 そして、あくまでも個人にクローズアップすると、産業と向き合うだけが人生じゃないわけです。個人と産業は、便益の提供に対価を払うという、非常に限定的な関係であって、1日の大半はそれ以外のことで占められている。例えば家庭、地域、職場といったコミュニティーとの関係です。

 これを図示すると、個人が真ん中に立ち、産業とコミュニティーとそれぞれ向かい合う構図です。ですが、現在のデータ流通は、産業の反対側にコミュニティーが立っているとは明確に定義できない状態なのではないでしょうか。だからデータ流通の議論がねじれてしまっている。

守らなくてはいけないのはプライバシーで、データではない(画像)

崎村:うーん、その2つは、分ける必要あるんでしょうか。例えば、自分というentity(存在)に対して、identityとしての自分はたくさんあるわけです。identityというのは属性の集合です。例えば、私は「クロサカさんにこう思ってほしい」と思って、identityを提供したけど、クロサカさんの受け取り方はちょっと違うようだ。じゃあ、これも出してみよう、あれも出してみよう、とidentityを提供していく。そうすることで関係性を築き、少しずつ改善していくわけです。

 自分がこうありたいという関係性を構築することが幸福の源泉。そう考えると、社員としての自分、どこかの会社のビジネスパートナーとしての自分、購買者としての自分、父親としての自分、友人としての自分、さまざまな自分がいる。それを、ある部分は産業、ある部分はコミュニティーって分けるのは難しいのではないでしょうか。

クロサカ:確かにその通りです。例えば、職場のコミュニティーは、例えば、「会社の同僚っていうのは産業なのか、コミュニティーなのか」といった状況になるし、その問いにはあまり意味がないですね。どちらも多義的なものだから、分けられる瞬間もあるけれど、そうではない瞬間もたくさんある。

崎村:例えば、地元の商店街に対して私のデータが情報銀行から提供されたとします。それを分析してる方が地元の同級生だった場合、産業かコミュニティーかって、分けられないですよ。人間の物理的な制約の中でのコミュニティーだと、当然のように関係は重なるので、そんなきれいに分かれないです。

クロサカ:これはすごく重要な指摘ですね。identityの使い分けと言いますが、実際は使い分けている局面もあれば、使い分けたつもりだったのに、また戻ってきて重なることも多々あると。

崎村:商店街の担当者であり、かつ私の地元の友人である彼女は、私が彼女に対して開示していない、彼女の知らない側面を見てしまうかもしれない。それによるプライバシーインパクトは結構あるはずです。なのに、私が商店街にデータを提供することを同意する時には、そこに私の昔の同級生がいることを想定してない。仮にいると言われても、リアリティーは持っていない。

クロサカ:でも、同意してしまえば、その商店街の人である同級生は見ることができてしまうわけです。この状況をデータ流通の観点で解いていくためには、どうすればいいんでしょうか。

プライバシーが守られれば、データは守られなくてもいい

崎村:だからコレクションミニマイゼーション(収集の最小化)、データミニマイゼーション(データの最小化)が重要なんです。これらは個人情報保護についての国際規格ISO/IEC 29100のプライバシー原則の中でも重要なものです。データを扱う事業者はこういうことが起きる可能性を考えて取り扱う必要がある。例えば○○ストアのようなチェーンであれば、ある地域のデータを分析するのに該当地域の出身者や居住者に担当させないとか、データが実名で入っていても分析時は実名を使わないとかです。

 要は、プライバシーインパクトを極小化するために、どうすればいいのか本質的に考えてデータの取り扱いを考えなくてはいけない。守らなくてはいけないのはプライバシーで、データではないのです。極端な話、プライバシーが守られれば、データは別に守られなくてもいいんです。

クロサカ:なるほど。そこは重要な視点です。

崎村:ただ、先ほど言ったように、データが漏れて他の関係性の間に入ってきてしまうと、多くの場合は本人の意図とのずれが大きくなって、不幸な結果を招く。それはプライバシーの侵害だから、よほど特殊な場合以外は、データ漏えいはプライバシーインパクトがあるはずなんです。だからデータを守りましょうと言っているのです。これは手段であって目的ではない。

リスク軽減策は単純なチェックリストで決められない

クロサカ:今までの話を踏まえて、2つの質問があります。1つ目は、プライバシーの相対性をどう扱うのか。効用関数的にバラバラな状態だとすると、プライバシーインパクト(プライバシー影響)を一律に下げる技術、手法、運用方法は現実的にあるのかということです。2つ目は、情報銀行がそのアプローチになっているのか。

崎村:プライバシー影響を一律に下げる方法は、存在します。例えば、統計化してしまえば下がりますよね。ただ、有用性とのトレードオフになりますから、利用できる手法かどうかはケース・バイ・ケースにならざるを得ない。

 情報銀行の場合、平均的個人に対するプライバシーインパクトと平均的な便益は、後者が上回らないと話にならないので当然考慮されているわけですが、もう1つ大事なのは最大限にマイナス方向のインパクトを受ける人のことも考えなくてはいけない。最悪の事態を想定した時、それが平均的個人の受忍限度を超えてしまうようなものがあってはいけないのです。それを抑えるように業務を作っていく必要がありますね。あと、受忍限度が低い人への対応として、情報銀行を使わない選択肢や、使っていても容認する一部のサービスにしかオプトインしないというような選択肢を確保することも重要です。

クロサカタツヤ(左)と崎村氏
クロサカタツヤ(左)と崎村氏

クロサカ:その受忍限度を超えない前提で、崎村さんも関わっている情報銀行の認定基準が定められたわけですね。

崎村:情報銀行の認定基準は、端的に言えば、プライバシー影響評価(PIA:privacy impact assessment)をやれと言っているんですね。そこで想定されるリスクは、個人に対するリスクです。だから、そのリスクが倫理的に許されるのかどうかは、倫理審査委員会を作って、マルチステークホルダーでちゃんと検討しなさいということです。

クロサカ:例えば先ほどの商店街の例で言えば、商店街側がPIAをした結果として、実はお客様の中に同級生がいたということは、一般的に想定されること。だとしたら、その想定されることについては、少なくとも何らかの方針の下で対処すべきであるということですね。

崎村:それによって非常に大きなプライバシー影響があるようなら、そのまま取り扱うことは当然、あり得ない。そのリスクを引き受ける決断は、最終的にリスクの承認をするマルチステークホルダー会議にはできないので、何らかのリスク軽減策が取られるはずです。

クロサカ:なるほど。そして現実的なリスク軽減策は便益とトレードオフになるし、受忍限度は、テクノロジーやユーザーの受け止め方、サービス提供側の構造によっても可変します。その中で均衡点を探す営みを常に続けていくということですね。

崎村:そうです。単純なチェックリストをやればいいということではない。

クロサカ:多くの事業者の方が、情報銀行の認定基準を、一種のチェックリストのようなものだと誤解している。「ISO/IEC 27001(ISMS)とプライバシーマークの両方いるの?」とか、「この項目はPIAというプロセスのことを事実上言ってると思うんだけども、どうすればいいの?」とか、「倫理審査委員会って、どうやって作ればいいの?」といった個別要素の確認に陥りがちです。

崎村:ISO/IEC 27001や、Pマークの認定を受けているというのは、その組織の中でセキュリティーやプライバシーに関するリスクマネジメントシステムが回ってるはずだから、そこにマネージする対象として新たに情報銀行に必要な要素を足しなさい、っていうことなんです。従って、チェックリストではあり得ないんですよ。