ヤフー、「パーソナルデータに関する検討会」での議論に対し異議を唱える 75
ストーリー by hylom
何を守りたいのか考えよう 部門より
何を守りたいのか考えよう 部門より
insiderman 曰く、
個人やそのプライバシーに関わる情報の保護を行うため、現在政府の政策会議内で「パーソナルデータに関する検討会」が行われている。検討会での議論内容は日経ITproの記事が詳しいが、たとえば企業が収集した個人に関するデータをどのように保護すればよいのか、活用する際にどのように匿名化処理を行えば良いのか、といったものだ。
しかし、この記事内でも指摘されているとおり、同検討会の報告書では具体的な例、ユースケースなどはまとめられておらず、抽象的な主張が目立つ。さらに、法律で保護する対象とする情報の範囲についても明確には述べられていない。このような現状の下、ヤフーが同検討会が示した「パーソナルデータ(個人に関する情報)に関する制度の見直し方針」について、異議を述べる記者説明会を開いたそうだ(ITmedia)。
ヤフー側は見直し案について「データの利活用を妨げかねない内容が含まれている」と述べ、下記を2点を問題点として挙げている。
- 設置される第三者機関が果たして正常に機能するのか
- 保護されるデータの範囲が「プライバシー保護という基本理念を踏まえて判断する」という曖昧な概念で定義されている
また、ヤフー側は以前問題となった、JR東日本がSuicaの利用データを「匿名化」したうえで日立製作所に提供したことで問題となった件について、「個人が特定できないデータだったにも関わらず、ユーザーが気持ち悪さを訴えた」とし、このようなことが今後も発生するのではないかという危機感を持っているという。
検討会での方向は「一定の条件を満たさない限りデータが流れない」というものだが、これでは企業が収集したデータの活用が進まない、米国のように自主規制に任せるべき、というのがヤフーの主張のようだ。
匿名化できているか&その情報の危険性は如何程か (スコア:5, すばらしい洞察)
詳しくは東大の政策ビジョン検討センターのページ [u-tokyo.ac.jp]にもありますが、
大学病院で研究にカルテを使いたい場合、匿名化という作業を行うのですが、カルテを書いた医者→情報部門の人→研究者って感じで人を分けています。
医療情報という、個人を識別されたら致命的にヤバイってのが分かりやすいものだから細心の注意を払うべしってのは医療従事者なら分かっているし、
目的外の利用をする輩が出たら刑事事件 [exblog.jp]にもなります。
いわゆるビッグデータというものは、その危険性がいまいち分からないし、匿名化を頑張ってくれているのかも分からない(完璧にってのは無理だし)。
サービスを利用したいなら個人情報出すのが当然、という態度がまかり通る社会ってのは個人的には嫌です。
せめて、利用規約の同意とは別に、個人情報をサービス外で利用するときには契約を別途に行うべしっていうくらい欲しい。
Re: (スコア:0)
君の言う個人情報って何?
個人情報保護法で定める個人情報ではないようだけど。
Re:匿名化できているか&その情報の危険性は如何程か (スコア:1)
医療情報は、個人情報保護法の個人情報より守るべきセキュリティレベルが
一段違い、扱われる法律が 刑法(134条1項 秘密漏洩)による、という点が違うという
ことは 注意すべきことかと思います。
アレゲな話としては、匿名性の質の担保を数値化する、というトピックがあるでしょう。
k-匿名化(l-多様化, t-closeness) というワードが官公庁の議論でも上がってくるように
なりましたね。別に目新しいことでもないですが、知っておく必要はあるでしょうね。
ビッグデータは スパースな空間も広いので、個人を特定されちゃう余地が多分にあります。
たとえば、「年齢40代、身長213cm の 鳥取県A市のカルテ」なんてことになると、
他をどんなに匿名化しても もう 2,3人に絞られてしまいます。
元記事からたどれる資料で、ノイズを入れろ、とかデータをボカせ、などと書いてあるのは
こういうのを防ぐ目的なのですが、限度があるのは明らかですよね。
Re:匿名化できているか&その情報の危険性は如何程か (スコア:1)
身長2メーターオーバーが2人もいるなんて鳥取すごいですね。
人口の1%くらいが2メーター超えってことですね。
米国のように自主規制に任せるなら (スコア:2, すばらしい洞察)
米国のように「懲罰的請求」を認めてね(はぁと
Re: (スコア:0)
それ以前に日本が
http://itpro.nikkeibp.co.jp/article/NEWS/20140123/531763/?top_tl1 [nikkeibp.co.jp]
このざまですからね
Re: (スコア:0)
あれ?米国の懲罰的請求って個人に対して使われることって有りましたっけ?
Re:米国のように自主規制に任せるなら (スコア:1)
特に法人に限られるものではないようですね。
懲罰的損害賠償は、被告側の資産状況が賛成の重要な要素なので、
大富豪でない限り自然人に対して発動することはなかなかなさそうですが。
Re: (スコア:0)
日本にこれからできる「懲罰的請求」の話らしいんで、
個人でも使われることがあるかもしれませんね。
Re: (スコア:0)
見苦しいな・・・・
Re: (スコア:0)
ホントだなw
Re: (スコア:0)
懲罰的請求って抑止力としての効果もあると思うけどなぁ。
せいぜい数十万の罰金じゃ効果は期待できないでしょう。
日本じゃ懲罰的請求を認めてないから「行政は何をやってるんだ」となりやすいんじゃないのかな。
お漏らし (スコア:2, すばらしい洞察)
ヤフーさんが偉そうに何言っちゃてんですかね
Re: (スコア:0, フレームのもと)
うんうん。発言内容ではなく発言者で判断すると頭を使わなくていいから楽ですよね。
Re: (スコア:0)
> 米国のように自主規制に任せるべき
自主規制が信用ならない、つまり発言者たるヤフーの問題なのですね
Re: (スコア:0)
そもそも米国が規制ゆるいなんてどこ情報なんですかねー
Re: (スコア:0)
米国は消費者が企業を訴えるための法整備が充実しているため、
まず自由にやらせて、消費者が不利益を負ったら訴訟で解決させた上で、
その判決に基いて法規制を作っていくような部分はあると思います。
> そもそも米国が規制ゆるいなんてどこ情報なんですかねー
とは言え、仰るとおり現状の個人情報保護のための法及び制度について、
米国や主な欧州先進国は日本よりゆるいとは言えませんね。
私は、むしろ向こうの方が厳しく感じました。
「米国のように」と言う事であれば、
消費者がお客様センターにメールを書くぐらいの気楽さと負担で、
企業を訴えて損害回復できる法整備は必要不可欠でしょうね。
(と言うか、TPP施行前にそうすべきですが、)
Re:お漏らし (スコア:1)
何年か前に調べたところでは、欧州は非常に厳格で、
米国はかなり緩く、日本はその中間、という感じでした。
米国の(市民の反応はともかく)法制度ってそんなに厳しくなってますか?
Re: (スコア:0)
誰が何を言うかの「誰」の部分を考えなくていいなんてあなたは随分都合のいい社会に住んでいるんですね
Re: (スコア:0)
いざとなれば500円配るためのノウハウはあるし・・・
個人が特定できないデータだったにも関わらず? (スコア:2, 興味深い)
> JR東日本がSuicaの利用データを「匿名化」したうえで日立製作所に提供したことで問題となった件について、「個人が特定できないデータだったにも関わらず、ユーザーが気持ち悪さを訴えた」
いやいや何いってるの。
あれは匿名化の方法に問題があるって識者から指摘されてるでしょ。
だからこそ謝罪して、方針見直しのため提供中止したわけだし。
一方、ドコモの基地局接続情報の販売に関しては、そんな問題にはなってない。
「実際にどのように匿名化されるか」「それをユーザにどう伝えていくか」について
きちんとしてれば大丈夫って前例があるのに、何をいちゃもんつけてるんですかね?
こんなことを本当にヤフーが言ったのだとしたら「よほど後ろ暗いことがあるんじゃないの」と
逆に勘ぐられるだけだと思うけど、社内に止める人はいなかったのかなぁ?
Re:個人が特定できないデータだったにも関わらず? (スコア:1)
うーん。匿名化処理の結果得られるデータの中身について
なかなか明かされなかったことの批判が強かったようですね。
ただ、仮名IDという、個人識別(特定ではない) のIDが残っていることを持って、
「JR東からみたら個人情報のままじゃないか」という批判はあまり意味がない。
個人情報保護法としては、外に出すときに 外部者が分からなければそれでいいはず。
#そうでないと厚労省のやってる 健診結果とレセプトをくっつける方策なんて
#違法そのものになっちゃうじゃないか。
「他の外部知識から、個人が特定されかねないパーソナルデータだ」というのは
これも現状の個人情報保護法的には セーフとされているところ。
#「新宿の交差点で取られた写真に写ってたのは確かにAさんなのか?」という
#証拠の傍証に使われたとして、確かに個人特定に使われうるけどどう防げと?
ハッシュキーを定期的に変更するなど日立は的確にやったと思うけど、
JR東は外堀をきちんと埋めてからやるべきだったね。
Re:個人が特定できないデータだったにも関わらず? (スコア:1)
とのことで、
「個人情報保護法としては、外に出すときに 外部者が分からなければそれでいい」
ということではなく、提供者自身からもわからなくする必要があるようですよ。
学説の対立もあるようですが。
とのことで、
「ハッシュキーを定期的に変更するなど日立は的確にやった」
かどうかは知りませんが、提供する側であるJRとしては、当初提供分の中でIDを分断するようなことはしていなかったようですね。
Re: (スコア:0)
> ハッシュキーを定期的に変更するなど日立は的確にやったと思うけど、
え? 受領者側で「ハッシュキーを定期的に変更」してたの?www
Re: (スコア:0)
Suicaの件は「匿名化」であったり「ビッグデータ活用」というより事前の説明が不十分であったから騒がれたのでは?
少なくともJR側はそういった内容のプレリリースを出しています(http://www.jreast.co.jp/press/2013/20130716.pdf)
そしてドコモはそれを踏まえオプトアウトの方法であったり説明したのではないかと思っています
「匿名化の方法」に欠陥があれば個人が特定できてしまうので嫌ですし
「ビッグデータ活用」もデータを取られる側からすれば気持ち悪いから嫌な流れです
ただ有無を言わさず、寝耳に水と思われてしまっても致し方がないものよりは反発する人は少ないのではないかと思います
Re: (スコア:0)
> Suicaの件は「匿名化」であったり「ビッグデータ活用」というより事前の説明が不十分であったから騒がれたのでは?
ということにしたいのですね? :-)
> そしてドコモはそれを踏まえオプトアウトの方法であったり説明したのではないかと思っています
ダウト。ドコモは、JR東日本のように個人データを第三者(この場合日立)に提供するなんてことはやっていません。(ドコモが出しているのは統計化された情報のみ。)
Re: (スコア:0)
一口に匿名化と言ってもF2世代といった抽象的な情報にしたものと、ビッグデータのように部外者には一見して誰の情報かわからなくしただけで再構築可能な状態になっているものがあり、この2つは分けて議論するべきでしょう。要は「匿名化」の濫用ですね。
後者で法的な問題が回避できるのだとすれば、例えば割れソフトを単独では意味をなさないように分割したり暗号化すれば違法アップロードにならないのでしょうか?
また、単に違法コンテンツをアップロードしただけでは一見して無意味なファイルIDになって余程のことがなければ第三者が辿り着くことはできませんが、
これで公衆にダウンロード可能な状態になっているとみなせるでしょうか?
著作権関係では「間接的な侵害」という概念を持ち込ちこもうとしていますが、プライバシーに関しては専門家が提言していたりしても議論は消極的だと感じます。
やっていることはほぼ同じなのに違う扱い方をするのはダブルスタンダードではないでしょうか?
実態をちゃんと調べなきゃ。 (スコア:2)
ユースケースなんて生ぬるいことを言わずに、パーソナルデータの売買でどれだけ儲けているかを
ちゃんと公開しないから、いつまでたっても雲をつかむような話になってるだけじゃないかな。
ヤフーもお含めて、実際に情報の売買でどれくらいのお金が動くかを出して欲しいところです。(^_^;
お金の動きが、そのまま情報の流れになると思うんだけどなぁ。
とりあえず (スコア:2, すばらしい洞察)
Yahooとヤフージャパンは明確に分けて記載してほしい。
利用される側への通知が不十分なものばかり (スコア:2, すばらしい洞察)
たしかスラドのどこかのコメントで
「情報を預けた企業のサイトなどを自分で見てまわったりしないと、
ビッグデータとして活用することが分からない社会はいやだ」といった感じのコメントがあったけど、
自分がこの手の話で気持ち悪いと思う一番の理由がこれ。
おおよそ話題になるビッグデータの話って「利用される側に対してやろうとすることを知らせる」という点がすごくいい加減。
オプトアウト方式をとるからにはこの点をちゃんとやってくれないと困る。
でないと「こんなことやっているって知っていたら、拒否していたのに」という人が必ず出る。
#というかすでに出ていると思う、たんにその人が知らないだけで。
「ルールだしWebなどにはやることをだすけど、できるだけ利用者に知られないようにしよう、でないと拒否する人がでるから」
みたいなことをやっていたら、そりゃ信用なんてむり。自主規制なんて期待できるわけがない
ドコモの件は匿名化まわりなどには問題なかったけど、この点はどうだったんでしょうかね?
JRとかは難しいけど、ドコモなら明細などと一緒に資料を送るという手も使えるわけだけど。
あと、新規契約者には当然説明しているよね?
#たぶんやってねーよな。そんなんだから信用できないんだよって文句いって拒否するな、自分がユーザなら
パーソナルデータに関する検討会の議事録をちょこっと見てみたけど、
匿名化の話ばっかりで、この点はあまり触れられてないようなのが心配なんだよなぁ
ただ嫌だと思う側も「なんで気持ち悪いのか」をきちんと考えて整理しないと議論にならないとは思うので
パブコメでもあれば上記の意見だそうかとは思っている。
発端がSuicaなのでちょっとオフトピりますが、 (スコア:0)
例えば交通系電子マネーカード。
発行時にデポジット金の返却手数料の説明を受けた人ってどれぐらいいますか?
私が契約した際は、「デポジット金はカードを返却すると返金される」との説明はあったのに、
「手数料が引かれるので満額戻るわけではない」事は説明されませんでした。
> 「情報を預けた企業のサイトなどを自分で見てまわったりしないと、
> ビッグデータとして活用することが分からない社会はいやだ」といった感じのコメントがあったけど、
> 自分がこの手の話で気持ち悪いと思う一番の理由がこれ。
交通系電子マネーカードに限った話ではなく、契約前に約款が提示
Re: (スコア:0)
なにか混ざっていますよ。
カードのデポジットである500円はきちんと戻ってきます。
チャージしてある入金は払戻手数料の210円を引いて戻されます。
残高210円以下で払い戻しとしてしまうと、総額から払戻手数料を引かれる場合も
あると思いますので、そこは放棄しデポジットのみとするか
適当なお店で使い切ってからデポジットを返してもらうのが良いと思います。
#払い戻す人が少ないのか、駅員が詳しくなく無記名の払い戻しにサインを求められて揉めた事もあります。(無記名=持参人ですので当然サインは不要です)
少額ならコンビニでガムを買うとか
大きければビックいってHDDでも買えば良いのではないでしょうか?
#普通の切符でもそうですが、窓口に行って約款を見せろといえば良かったはずです。
JRに関して言えば (スコア:1)
乗降記録を本業に生かすのなら歓迎だが、
副収入に生かすのは迷惑だ。
前者は乗降客数が多い時間帯に電車を増便すれば渋滞が緩和される、と言うような場合を指し、
後者は例えば、乗り換え客の多い地点を把握すれば、
乗り換え距離を長くなるように改装して中間に多くの販売店舗を置いて儲けられるだろうというようなことを指す。
ここから演繹すると、
個人情報を扱うあらゆる業者は業務に関る情報以外を収拾してはならない、また情報は利用後破棄しなければならない、
と言う形が国民の便益に適うかと思う。
第三者機関が必要かについては、監督できる所が無いなら作らなければならないが、
JRなら国交省の管轄だと思うし、商業なら経産省、通信なら総務省等に許認可機関があるんじゃないのか?
Re: (スコア:0)
乗り換え客が多い通路を広く通りやすく改装するのはOKじゃないの?
要するに、善用するか悪用するかなんだろうけど、そんなの立場で変わる。
Re: (スコア:0)
副収入に生かすのは構わんが分け前よこせよ
ポイントカードとかは還元あるからいいけど
Suicaじゃ乗車しても一部クレカ除いて還元ないし
Re: (スコア:0)
一応対応自動販売機やキオスクで買い物すればポイントつきますし、
Suicaに還元できますね。
交通手段としてしか使わず、せいぜいたまに飲み物買うだけだと、最低単位たまる前に
期限が来てポイント使えなくなりますが。
Re: (スコア:0)
> と言う形が国民の便益に適うかと思う。
お、主語が大きい人。
Re: (スコア:0)
たとえがちょっと…だな。
乗り換え距離を変えずに販売店舗を配置するのは「迷惑」には該当しないよな?
客数のデータに関しちゃずっと昔から統計とって駅の構造設計に使ってるだろうし。
Re: (スコア:0)
十分に匿名化された個人情報は、もはや個人情報ではありませんので二次利用は自由だと思います。
そもそも、情報の二次利用 は 広く認められるべきなのではないですか?
元記事の資料のように Webでは 広く行われているデータマイニングが
公共交通機関では認められないという理屈がよくわかりません。
もう三十年四十年の歴史がある コンビニのPOSシステムも NGと
言っているように見えますがいかがでしょう?
文句言うなら6月以降 (スコア:1)
元々検討会では大枠の方針を決めるだけで、匿名化の方法とか法律をどう改正するかとか具体的な話は今年6月までに大綱をまとめる予定 [nikkeibp.co.jp]なんだから、現段階で出てる方針が抽象的でよくわからんってのはむしろ当然かと。
具体的な基準作りが全く進んでないのならヤフーの文句にも一理あるけど、まさにその辺の作業は特定個人情報保護委員会 [nikkeibp.co.jp]とかで今やってる最中なんだから、そこに参加すればいいだけだと思うんだが。
いつもの (スコア:0)
設置される第三者機関が果たして正常に機能するのか
→機能させろ そのための提案をしろ
単に自分ところに都合が悪いからごねてるだけとしか
記事から読み取れないな
Suicaの件はまた別の問題がなくはなかったようだが (スコア:0)
適切な手順や検証方法が例示されないと困る、というのはわからんでもないな。
どっち側であれ、「言ったもん勝ち」は、ねぇ。
「うったえられるかも」だと逆立場SLAPPというかFUD的というかになりかねんし
# 他所で入手できる情報(駅の利用実態とかリアル)とリンクしてを言いだすのはどうかという気もしてるが...あれも問合せ可能だったという穴があった様子ではある
気持ち悪い (スコア:0)
そんなこと言ってるから気持ち悪いと感じるんだろうが。
それに○ポイントなんて宗教色があると噂の企業がいくつも参加してるし。
Re:気持ち悪い (スコア:1)
新たな可能性を探れないのは日本の損失だと思いますね。
ただし、個人情報のなんたるかを社会に浸透させつつ、新しいサービスを探るには、難題が山積してるのはも確かです。
# ところでTポイントに宗教色がつくと個人情報保護にどんな影響があるのでしょうか?
Re: (スコア:0)
そりゃ新興宗教なら本人しか知らない情報、とりわけ悩みに関したものなんかは喉から手が出る程欲しいでしょう。
日本企業のモラルに期待してはいけない (スコア:0)
Yahoo!ではないが、ソーシャルゲームで家庭崩壊しても放置するような日本企業を見てると、
自主規制は全く期待できない。明確な基準は必要だが、第三者機関でないと意味がない。
簡単だよ (スコア:0)
全てオプトインにしなさい
これだけで問題解決
Re: (スコア:0)
いやいや、申し込みの初期値を拒否にするというのを追加しておかないと。
金の亡者 (スコア:0)
別に法律違反しているわけでもないが人には嫌われる
その程度のことも理解できていないのか
正常じゃない駄目よね (スコア:0)
>設置される第三者機関が果たして正常に機能するのか
正常に機能していなかったらパーソナルデータを使用してはいけないと思います。