情報銀行とその役割について(概要編)
はじめに
高速移動通信システムの整備やスマートフォン、IoT機器などの普及により、現代では多様かつ大量の個人データが世界中に飛び交うことがごく普通の状況になりました。諸外国ではこのような大量の個人データを効果的に収集し、分析し、活用することでビジネスを拡大させ、その勢いはとどまる所を知りません。
そんな中、国境を超えた個人データの取扱いについてルールを設けるべく、例えば欧州では2018年5月にEU一般データ保護規則(General Data Protection Regulation:GDPR)が開始され、個人データ保護および処理と移転の原則などが定められた、他国にも影響を与える内容となっています。
このような個人データの利活用と規制のせめぎあいは各国とも無視できない状況になっており、日本でも「個人情報保護法」を2015年に改正し、2016年には「官民データ活用推進基本法」による「データ利活用のススメ」のような法も公布・施行されました。一見すると矛盾するかのようにみえる個人データ保護と利活用についてですが、基本的な主旨としては「個人の権利やプライバシーを保護しつつも、情報を円滑に流通・活用し、国内の産業活性化を図ること」といった解釈でいいのではないかと思います。
今回は個人データ保護と利活用を実践するべく登場した「情報銀行」について、その概要を説明したいと思います。
情報銀行とは何か?
情報銀行(情報利用信用銀行)とは、個人とのデータ活用に関する契約などに基づき、PDS(Personal Data Store)などのシステムを活用して個人のデータを管理するとともに、個人の指示又は予め指定した条件に基づき、個人に代わり妥当性を判断の上、データを第三者(他の事業者)に提供する事業。と「情報信託機能の認定に係る指針ver1.0」に定義されています。関連資料も含めて読んでみると、情報銀行の主旨は以下のようになるようです。
- 個人データを「情報銀行」に同意の範囲内で信託し、プライバシーを考慮した上でデータの流通を推進し、ビッグデータなどへの利活用を後押しする民間制度
- 個人データを提供する個人にもなんらかの便益が還元される(かもしれない)
- 個人データを提供する個人が、どこまでどのようなデータを提供するのか、コントロールすることができる(らしい)
- 個人データを信託される「情報銀行」は、個人データ活用に係る安心と安全を担保しなければならず、以下のような事項に対応しなければならない
- データ倫理審査会(仮)によるデータ活用のチェック、定期的報告
- 情報セキュリティおよびプライバシー保護に関する十分な体制の確保
- 損害が発生した場合の賠償責任
イメージ図としては以下のようになります。個人データを提供する個人が主体的に関与し、自身で自身の個人データを管理するというのはGDPRでも共通している考え方ですね。
「AI、IoT時代におけるデータ活用ワーキンググループ 中間とりまとめの概要」(内閣官房IT総合戦略室)より
個人情報の第三者提供に係る現状
個人が企業の提供する各種サービスを利用する際、プロフィール、位置情報、購買履歴、検索履歴などを含む個人情報が収集され、その一部は第三者に提供されている場合があります。
個人情報保護法では原則として個人情報の第三者提供は本人の同意が必要ですが、同法に基づき本人の同意を取得している企業は多いものの、実態としては本人の同意意識が十分でないケースがあり、そのギャップを埋めるための取組が求められています。
例えば2019年2月26日付の日本経済新聞朝刊によりますと、国内で消費者向けサイトを運営する主要100社のうち、約5割が具体的な提供先を明示せずに外部とユーザーの利用データを共有していたとの報道がありました。共有先の数は数十に及ぶもので、閲覧履歴や端末情報といった情報が共有されていたようですが、これらを利用者が拒否する手段すら提供されていなかったというものです。このように現状では個人の関与ができない状況で勝手に個人情報を第三者提供される場合も多く、WEBサイト閲覧中になぜか欲しいモノの広告が頻繁に出てくるようになったりとする状況になっています。
安心・安全なデータ利活用の必要性
個人情報を含んだ多種多様かつ大量のデータを効率的かつ効果的に収集、共有、分析、活用することがIoT機器の普及やAIの進化によって可能になってきており、諸外国ではこのようなデータを活用したビジネスなどが展開され、より高度化されつつあります。
日本でもこのような多種多様かつ大量のデータを安心・安全に流通・活用できる環境を整備することで、新規事業・サービスの創出を通じた産業の競争力強化や経済活性化、国民生活の安全性および利便性の向上などが実現するとともに、急速な少子化・高齢化社会が直面する課題の解決などにつながるとの期待から、国が積極的に後押しを進めています。
業種業態を超えて安全に個人データを利活用できればさまざまなメリットがあると期待しているようですね。
「AI、IoT時代におけるデータ活用ワーキンググループ 中間とりまとめの概要」(内閣官房IT総合戦略室)より
データ流通環境整備の必要性に係る議論
データ流通環境整備についての議論は、内閣の高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)や総務省、経済産業省の各ワーキンググループなどで議論が繰り返され、個人情報を含むデータの利活用について、PDS(Personal Data Store)、情報銀行、データ取引市場といった具体的な取り組みの提言がなされました。
データ流通・活用を巡る期待と現状
- データ活用により、①新規事業・サービスの創出、②生産活動の高度化・効率化、③国民生活の安全性及び利便性の向上の実現、④急激な少子化・高齢化等の課題が解決されると期待。
- データは「個人情報を含むデータ」、「匿名加工されたデータ」、「個人に関わらないデータ(IoT機器からのセンシングデータ等)」の3つに分類することができるが、データ流通の便益を個人及び社会全体に還元するために、これら3つのデータの流通・活用を全体として活性化することが急務である。
- ただし、特に、「個人情報を含むデータ」については、企業や業界を超えた流通及び活用が十分進んでいるとは言い難い状態。
中間とりまとめのポイント(「AI、IoT時代におけるデータ活用WG」平成29年3月)
- 分野横断的なデータ流通を阻害する課題を解決するためには、個人の関与の下でデータの流通・活用を進める仕組みであるPDS(Peronal Data Store)、情報銀行、データ取引市場が有効。
- PDS(Peronal Data Store)、情報銀行、データ取引市場の事業を営む者等が取り組むことが望ましい事項(セキュリティ、透明性の確保、苦情・紛争処理手段等)を推奨指針として取りまとめた。
- 今後、官民が連携した実証実験の結果等を見ながら、実体にあわせて、分野横断的なデータ流通。活用を促進するための法整備を検討していくことが必要である。
「IT総合戦略本部(第70回)官民データ活用推進戦略会議(第1回)合同会議」(参考資料2)より
「情報信託機能の認定に係る指針ver1.0」の公表
「情報銀行」については、平成29年7月、総務省の「情報通信審議会」において、一定の要件を満たした者を社会的に認知するため、民間の団体などによる任意の認定の仕組みが望ましいとの提言がありました。
認定の仕組みを有効に機能させるため、平成29年11月より総務省及び経産省では合同の検討会「情報信託機能の認定スキームの在り方に関する検討会」を立ち上げ、「情報信託機能の認定に係る指針ver1.0」を平成30年6月に公開しました。
情報銀行認定に係るスキーム
「情報銀行」の認定については、「一般社団法人 日本IT団体連盟」が認定事業を開始し、平成30年12月21日より認定申請受付を開始しました。
「情報銀行」認定申請においては「情報信託機能の認定に係る指針ver1.0」に基づくガイドブック(「情報銀行」認定申請ガイドブックver1.0)を用意しており、具体的な申請フロー、認定基準、準備すべき提出書類、モデル契約約款などが記載されています。
日本IT団体連盟とは?
- 平成28年7月に設立した一般社団法人であり、IT関連の業界団体連合。
- 発足時の参加団体は53団体で加盟企業数は5000社、従業員数は400万人の国内最大級のIT関連団体。
- IT産業の健全な発展に貢献するとともに、世界最高水準のIT社会の構築を目指すため、政府との双方向のコミュニケーションを実現しながら積極的に提言等を行い、もって我が国の経済・社会、国民生活の向上に寄与することを目的とする。
情報銀行で対象とされる個人情報について
「情報銀行」で対象とされる個人情報の提供に係る同意方法、種類、収集方法については以下のような考え方に基づいています。現時点(2019/4/15)では具体的な情報が少ないですが、今後のガイドラインなどに期待したいところです。
「情報銀行」における個人情報認定の対象(個人情報の提供に関する同意の方法)
個人情報の提供に関する同意の方法
認定の対象としては、「情報銀行」認定を申請する事業者(以下「申請事業者」という。)が、個人情報の第三者提供について、消費者個人本人が同意した一定の範囲において、当該本人の指示などに基づき当該本人に代わり第三者提供の妥当性を判断するサービスを提供する場合(以下①の部分)を基本とする。
「「情報銀行」認定申請ガイドブックver1.0」(日本IT団体連盟)より
また、今後の様々な形態の事業の出現を想定し、当該本人が個別に第三者提供の可否を判断するサービスのうち、申請事業者が個人情報の提供先を選定して当該本人に提案する場合など、申請事業者が比較的大きな役割を果たす(責任をもつ)場合(以下②-1の部分)も認定の対象として含むこととする。 他方、純粋なPDSなどデータの管理や提供に関し消費者個人の主体性が強いサービスを提供する場合(以下②-2の部分)は認定の対象には含まれない。
「情報銀行」における個人情報認定の対象(個人情報の種類)
個人情報の種類
認定の対象としては、「個人情報」(ただし、「要配慮個人情報」、クレジットカード番号及び銀行口座番号を除く。以下「対象個人情報」という。)を扱うサービスを提供する場合を基本とする。
なお、以上の場合においては、対象個人情報とともに、統計データ又は匿名加工情報も扱うサービスを提供する場合も含まれる。 他方、統計データ又は匿名加工情報のみを扱うサービスを提供する場合は認定の対象ではない。
「「情報銀行」認定申請ガイドブックver1.0」(日本IT団体連盟)より
「情報銀行」における個人情報認定の対象(個人情報の収集方法)
個人情報の収集方法
認定の対象としては、申請事業者が新たに収集する個人情報を扱うサービスを提供する場合のみならず、当該事業者が他サービスの提供などによって既に保有している個人情報を扱うサービスを提供する場合も含まれる。
「「情報銀行」認定申請ガイドブックver1.0」(日本IT団体連盟)より
主な参考文献
- ・総務省、経済産業省 情報信託機能の認定スキームの在り方に関する検討会「情報信託機能の認定に係る指針ver1.0」
- ・総務省「情報信託機能の認定に係る指針ver1.0」の概要
- ・総務省「平成30年版情報通信白書 第2節日本と世界のデータ関連制度」
- ・総務省 情報通信審議会「IoT/ビッグデータ時代に向けた新たな情報通信政策の在り方」 第四次中間答申平成27年9月25日付け諮問第23号 平成29年7月20日
- ・総務省 情報通信審議会 第四次中間答申 参考資料集 平成29年7月20日
- ・総務省 情報通信審議会 情報通信政策部会 IoT 政策委員会 基本戦略ワーキンググループ データ取引市場などサブワーキンググループ とりまとめ
- ・内閣官房 高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部) データ流通環境整備検討会 AI、IoT 時代におけるデータ活用ワーキンググループ 中間とりまとめ
- ・内閣官房 IT総合戦略室 AI、IoT時代におけるデータ活用ワーキンググループ 中間とりまとめの概要
- ・内閣官房 IT総合戦略本部(第70回)官民データ活用推進戦略会議(第1回)合同会議」(参考資料2)
- ・日本IT団体連盟「情報銀行」に関する取組みについて
- ・日本IT団体連盟「情報銀行」認定申請ガイドブックver1.0
- ・日本IT団体連盟「新たな認定申請対象の追加について」
- ・官民データ活用推進基本法(平成28年12月14日施行)
- ・内閣官房情報通信技術(IT)総合戦略室「官民データ活用推進基本法について」
Writer Profile
セキュリティ事業部
セキュリティコンサルティング担当 チーフコンサルタント
平井 功治
Tweet