ヤフーのプライバシーポリシー改訂―がんばったところ、もうちょっとがんばってほしかったところ
山本 ヤフーのポリシーの変更内容を具体的に見ていきたいと思うんですけど、いかがですか。
高木 はい。画面を用意しておきました。
5月に、改訂とガイド公開のお知らせという案内が出ています。これを具体的に見ていきますと、まず評価できるポイントが、このプライバシーポリシー。この部分、対象が「当社が取り扱う、個人としてのお客様を直接的または間接的に識別できるすべての情報(以下「パーソナルデータ」といいます)について適用されます。」という記述になってるんですよ。
高木 これ、EUの「personal data」定義を参考にしているようで、直接的間接的に識別としていますね。ただし、そのうち、個人情報というのは日本の法律で定義されている個人情報を言いますと書いてあって、そもそも対象は個人情報保護法のそれに限らず、EU的なパーソナルデータとしたうえで、法的な義務に関しては個人情報っていう別の概念を使うよ、となっている。これは大きな一歩ですね。
『ニッポンの個人情報』の冒頭で触れていた、当時のヤフーさんのプライバシーポリシーでは、「個人情報」っていうものと「履歴情報および特性情報」っていうものが別々にされていた。で、そうじゃないでしょう?ということを言っていたところ、このように改訂されたと。本当はパーソナルデータも個人データも一致させるべき概念だと私たちは思っているのですが、日本の法律がいろいろな歴史的経緯でずれちゃっていると分析していまして、だから将来これは一致するように持って行かなければならないと思いつつ、そうは言っても現行法は現行法ですから、現時点ではこういう書き方になるのだなと思いました。これは大変大きな改善だと思います。
鈴木 これを書いたころは「今回流出した『不可逆暗号化されたパスワード』、『パスワードを忘れてしまった場合の再設定に必要な情報の一部』につきましては、個人情報にあたりません。」と言っていましたよね。それに比べれば劇的な対象の変化ですね。(*『ニッポンの個人情報』27頁後ろから6行目高木発言及び注釈(10)参照)
高木 はい。「プライバシーガイド」のところでは、さらにどういう意味か書いてありまして、「特定のどなたであるかは識別できないものの、「誰かの情報ではある」という程度の識別性を有しているすべての情報が該当します。」とありまして。
鈴木 ほう。技術検討ワーキンググループの言う第二分類を採用していますかね。
高木 「識別非特定情報」を含む識別情報全部ということでしょう。EUでも、今年採択された一般データ保護規則、GDPRと言いますが、そこでも、やはりパーソナルデータの定義というのはそれに近い。一人ひとりのデータであればパーソナルデータであるという扱いだと思います。それに沿っているようで、大変よい方向性だなと思っているところです。
鈴木 「鈴木正朝」と書いてなくても、個人情報になると。
高木 誰のものかわからない一人の情報と言ってもですね、1個だけ見ているときは、よくわかりませんけども、何万人ものデータを一人ずつレコードにして並べていれば、そこに名前があろうがなかろうが、
鈴木 氏名がなくても一意の、本人の履歴がずっと並んでいるわけですよね。
高木 インターネットのサービスだったら、ログインアカウントごとに一人ひとりの情報として扱っていれば、それは当然パーソナルデータだということになったと。
鈴木 一時はね、氏名に到達しないと個人情報じゃないとまで言っていた……
山本 ありましたねえ。大変物議を醸しました。
鈴木 特定個人の識別性があるかないかは、氏名到達性で判断するんだと言う主張をされる方々がいて、とても「氏名」にこだわっていたんですね。
山本 ステキな人がいましたね。
鈴木 その頃に比べればだいぶ理解が進んできました。
山本 けっこうそういうことを大御所の方がおっしゃったりして、揉めましたよね。
鈴木 ……。
高木 ……。
山本 言葉を濁していらっしゃるというか……、如何でしょうか?
鈴木 そうですね。マイナンバーの12桁の数字が、それ単体だけでも「個人情報」になるということに気が付かずに本を書かれていた先生もいらっしゃったように聞きましたが、専門家でもだいぶ混乱したようです。
高木 一方ですね、これ、じっくり読んでいくと、もうちょっと、こうしてほしかったなっていうところはあるわけでして。
このプライバシーポリシー、全体としては、どういうものを取得するか、どういう利用目的で利用するか、そして提供時の同意のことが書かれているのですが、取得する情報とその情報の利用目的との関係がここでは書かれていないのです。ざっくりと何を取るか、ざっくりと何に使うかと書かれていて、全サービスの包括的な説明になってしまっています。これはかつて、数年前、GoogleがYouTubeを買収したときのプライバシーポリシーの統合のときに、ヨーロッパから叩かれたのと同じで……
山本 今でもなんか言われていますけどね、どうなんでしょう。
高木 そういう問題がここでも生じていますね。ただ、プライバシーポリシーはこれだけしか書いてないのですが、一方で「プライバシーガイド」っていうのが作られていて、この中で一部について書かれてはいます。
山本 要配慮個人情報ですね。
高木 「ヘルスデータラボ」っていうのをやっているから、そこで病歴を扱うので、法律が今度改正されると導入される要配慮個人情報に当たるので云々と……
鈴木 先取りですね。
山本 まあ、将来ごちゃごちゃにならないよう、今のうちに整備しておこうということですよね。
高木 ……という具合にですね、これこれのサービスはこれこれを取得してこれこれに利用してっていうのは、ある程度メジャーなサービスについては書いていらっしゃるようです。日本の個人情報保護法が利用目的をどういうふうに公表しなさいと言っているかっていう論点もありまして、それは本でも終盤で述べていましたが、どんぶり勘定で一社で一つの利用目的を書けばいいっていうのが日本の現行法なんですよね。そこもEUみたいに本当は1つ1つ……
山本 細やかに分けていくしかないですよね。
高木 もう一つ注目すべき点があります。これは情報を提供するときの図です。
これ、名前と住所を削って提供するっていう説明ですよね。かつてだと、もう個人情報じゃありませんので、みたいな説明で済まされていたところが、……
鈴木 これはまさに記名式Suica履歴データ無断提供事件!
高木 ……と同じものですね。
鈴木 このSuica事件のときもこれは完全匿名化なんだとIT系の有識者が口々に言いましたからね。氏名等を外して、IDを不可逆的に別変換すれば、非個人情報化しているんだと、EUにも米国にも通用しないことを平気で言って、それに反対したらガラパゴスになると言っていましたね。今振り返るとわかりますが、一部IT系が強いと自負する有識者やメディア、弁護士さんらが産業界を逆方向に誘導していました。
山本 一時期はそうでしたね。どうしてこういうガセネタが流れて、それが真正面から信じられてしまったのでしょう。なんか、豊洲新市場みたいですよね。
鈴木 そうですね。隔世の感がありますね。
山本 今はもう、当たり前になってきましたよね。
高木 ここのところ、よく読むと、「パーソナルデータを第三者に提供させていただくことがあります」と言っていて、この形でもパーソナルデータの提供であると言っている。法律上の個人データ提供に当たるかは明確には言っていないのですけど、直前には「個人情報を提供するときは同意を得て提供する」と言っている。その上で、パーソナルデータを提供する場合は同意を必ずしも得ない形で提供するということを言っているようで……
鈴木 オプトアウトっていうことですか?
高木 ちょっと読んでもよくわからない文章です。どっちとも取れる文章ですね。一人ひとりのウェブの閲覧履歴を提供するときが、法律上の個人データ提供に当たるという前提を置いているようにも読めるし、置いていないようにも読める。
鈴木 でもそれ世の中のトレンドに合ってますかね。
高木 EUの場合ですと、最初から仮名で取得しているパーソナルデータについては、連絡先情報がなければ実際に誰のものかわからないので、本人からの開示請求権や同意撤回権の行使があっても、本人を確認できない場合は無理に応じなくてよいというような規定が、GDPR第11条にありまして、EUでも、特定されているデータとまだ特定されていないデータを分けて、義務に強弱つけているんですよ。ヤフーさんのこれはそれに沿っているのかなとも読めるけれども、本当のところは別所先生に聞いてみないとわからないですね。ただ、GDPR第11条では、本人から特定のための追加情報が提供された場合はこの限りでないとされていますから、ウェブのアカウントですと、ログインしている本人からのリクエストで特定できるという扱いになると思いますけどね。
山本 運用して、具体的な事案が出てから、問題に直面して「なるほど、そういうことだったのか」とわかるということなんですかね、おそらくは。
鈴木 少し話しが戻りますけれども、ここでちょっと注意しておきたいのは、巷にかなり個人情報保護法の本や解説記事が出ていますけれども、このSuica事件を匿名化情報だと、非個人情報だったのに炎上した説明不足のケースだと解説しているものが結構ありまして、レピュテーションリスクの問題にすり替えているんですね。
このSuica事件が問いかけた論点は今ならわかると思うんですが、個人情報の定義の問題ですね。第三者提供時における容易照合性の解釈基準が問われていた。昔から一貫して提供元基準であったのに、突如としてこの事件を契機に提供先基準ということが言われて少々世間が引っかき回されました。この点は今回の改正で提供元基準であることが政府見解としてあらためて確認されています。また、今日、履歴データとの照合も当然の前提にされています。
IDだけをハッシュ等で不可逆的に別番号にしているので、完全匿名化だと言っているようであれば、今回の改正で新たに入った「匿名加工情報」の理解は困難でしょう。要するにSuica事件は、JR東日本に限らず、およそ日本のすべての個人情報取扱事業者が仮名データを非個人情報として本人の関与なく自由に提供していいのかどうかということが問われた事件でした。仮名化と匿名化の違いを認識できていなかったということです。
高木 その点、ヤフーさんのこの図のところ、「匿名化して」って書いてないんですね。いかにも書いてしまいそうなところを……
山本 踏みとどまった。
高木 そこは注意して書かれているんじゃないかなと。他にも、興味深い他社の例がありまして、フランスのある広告事業の会社のプライバシーポリシーが、かつては「匿名化して扱います」って書いてあったのが、今は「匿名化」という言葉を一切使っていないっていうですね。Wayback Machineで過去をさかのぼって比べていくとですね、「anonymous」とか「anonymized」という言葉が次々に削られていった変遷が確認できるのですよ。どうもこの会社、フランスのデータ保護機関「CNIL」に相談して今の形になったようでして。
山本 なるほど。それは、何をもってanonymousとするか? みたいなそういうことでしょうかね。
高木 そうです。「匿名」っていう言葉は違う概念だと、実際は仮名化なのに匿名化って言うなっていう指導を受けている様子が見られるわけです。
山本 anonymizedって非常に微妙な表現ですよね。淫靡なというか、まあ……。
鈴木 pseudonymized dataもあるので、日本語と英語で1対1対応に訳せないというか、わかっている人は「匿名データ」(anonymized data)と「仮名データ」(pseudonymized data)に訳し分けていますけど、米国だって両者をごっちゃに使っているところがあるので、非常に悩ましいところなのですが、たぶん、賢明なヤフーは…
山本 そういう言い回しも含めて、よく勉強されておられるということで良いでしょうか。
鈴木 そういう表現を回避されて、様子見ながら改訂するのかもしれませんけど、現段階ではなかなかよくできていると。
山本 ええ。十分踏み込んでここまで来たなあというところですね。高木説に乗っかられて、どうですか気分は?
高木 いやいやいや、別に私の説なわけではなくてですね。EUの標準をよく勉強されているのではないかなと思いました。
