特許事務所 IT知財情報
CONTENTS
CONTACT

特許業務法人
HARAKENZO
WORLD PATENT & TRADEMARK


大阪本部    

〒530-0041
大阪市北区天神橋2-北2-6
大和南森町ビル
TEL:06-6351-4384(代表)
FAX:06-6351-5664(代表)
E-Mail:

東京本部    

〒105-6121
東京都港区浜松町2-4-1
世界貿易センタービル21 階
TEL:03-3433-5810(代表)
FAX:03-3433-5281(代表)
E-Mail:

広島事務所 

〒730-0032
広島市中区立町2-23
野村不動産広島ビル4 階
TEL:082-545-3680(代表)
FAX:082-243-4130(代表)
E-Mail:

2018年3月開設予定
名古屋事務所

〒453-6109
名古屋市中村区平池町4-60-12
グローバルゲート9 階
TEL:052-589-2581(代表)
FAX:052-589-2582(代表)
E-Mail:


上記トレードマークの背景地図は、1991年当時の特許登録件数を陸地の大きさと形状に擬態化して、地図状に表現したものです。

プライバシーポリシー


IT知財情報
IoT×AI 支援室
室 長
担当者
担当者
担当者

: 弁理士 村上 尚
: 弁理士 鶴田 健太郎
: 弁理士 樋口 智夫
: 博士(保健学) 塚田 幸治

 <大阪本部所属>
 <東京本部所属>
 <大阪本部所属>
 <大阪本部所属>

東京本部 TEL
: 03 - 3433 - 5810
大阪本部 TEL
: 06 - 6351 - 4384
東京本部 FAX
: 03 - 3433 - 5281
大阪本部 FAX
: 06 - 6351 - 5664
E-mail

E-mail

IoT・AIで取り扱うパーソナルデータに係る留意事項

2016125

文責 :  樋口

1. はじめに

データの活用手法は、一般に以下の3段階を含むと考えられます。すなわち、第1にデータを収集し、第2に収集したデータを分析し、第3にデータの分析から得られた知見を利用するという3段階を含むと考えられます。

ここで、IoT(Internet of Things、モノのインターネット)は、データの活用手法の3段階のうち、1段階目のデータ収集において収集されるデータの飛躍的増大をもたらすインフラと捉えることが可能でしょう。IoTは、「あらゆるモノ(Things)がインターネット(Internet)につなげられる」ことを指し、つまり、あらゆるモノの利用(および利用者)に係る情報の収集を可能とする、ビッグデータの収集インフラと捉えることができます。

また、データの活用手法の3段階のうち、2段階目のデータ分析において注目を集めているのが、ディープラーニング(Deep Learning、深層学習)を始めとするAI(Artificial Intelligence、人工知能)技術です。ここで、ディープラーニングによる分析結果を向上させるための現時点で最も有効な手段は、ディープラーニングを実現するアルゴリズムを改良することではなく、分析の対象とするデータの質を向上させること、何よりデータの量を増やすことであるといわれています。

したがって、IoT(ビッグデータ)とAI(ディープラーニング)とは非常に相性が良いと考えられます。Facebook、Google、Microsoft、バイドゥ(百度)など、大量のパーソナルデータ(個人に関わるデータ)を保有するグローバルIT企業が、ディープラーニング関連事業を自らの事業に取り入れていることは、ビッグデータとディープラーニングとの相性の良さを証明しています。


ただし、ビッグデータのうち特にパーソナルデータは、重要な資源であると同時に、取り扱いを誤れば大きな損失をもたらすことが知られています。本稿では、IoTによって収集され、AI(特に、ディープラーニング)によって分析されるビッグデータのうち特にパーソナルデータについて、その取扱い上の留意点を概観します。

なお、本稿において、「パーソナルデータ」とは、「個人情報」を含む、個人に関するデータの総称とします。また、「個人情報」とは、2015年9月3日に承認・成立した「改正個人情報保護法」において定義されている個人情報を指すものとします。



2.パーソナルデータの取り扱いに係る基本的留意点

パーソナルデータの取り扱いに係る最も基本的な留意点は、「パーソナルデータの取り扱いについては、法的な責任を問われることがなくても、社会的な責任を問われることはある」という点でしょう。

つまり、パーソナルデータの取り扱いについては、「合法/違法」という視点だけではなく、そのような取り扱いが「社会的に受け入れられるものであるか否か」、「社会的な批判の対象とならない取扱いであるか」という視点が極めて重要ということです。

刑事責任が追及されることがなく、また、損害賠償額が小さかったとしても、「パーソナルデータの取り扱いについて問題がある、問題があった」と報道で取り上げられた場合、極めて大きな社会的制裁を受けることになります。

パーソナルデータの取り扱いに係る以上の大前提を確認した後、次に、パーソナルデータのうち特に個人情報に係る法規範である個人情報保護法の規定について、概要を確認しておきます。



3.個人情報保護法

3.1. 個人情報の定義および原則

改正個人情報保護法(2015年9月3日に承認・成立)において保護対象とされる「個人情報」は、以下の3つに整理することができます。

(1)直接的に個人を特定し得る情報(例えば、氏名、住所、生年月日など)。

(2)他の情報と容易に照合することにより特定の個人を識別する情報。具体的には、

  (2-1)個人を特定し得る購買履歴。

  (2-2)個人を特定し得る移動履歴。

(3)個人識別符号。具体的には、

  (3-1)個人を識別し得る身体的情報(例えば、顔認識パターン、指紋データなど)。

  (3-2)個人を識別し得る符号的情報(例えば、運転免許書番号、旅券番号など)。

上記(1)~(3)のいずれかに該当する情報は「個人情報」とされ、個人情報は、取得時の「利用目的」の範囲内で取り扱うことが必要となり、また、取得時の「利用目的」外の利用、および第三者への提供にあたっては、本人の同意が必要となります。

ここで、個人情報をビッグデータとして利用するケースの多くは、取得時の「利用目的」外の利用となると考えられ、したがって、本人の同意が必要となることになります。


3.2. 匿名加工情報

ただし、上記(1)~(3)のいずれかに該当する「個人情報」であっても、「加工」を行って「匿名加工情報」とすることにより、所定の条件を満たせば、本人の同意を得ずに第三者提供を行うことができるとされています。「匿名加工情報」とは、特定の個人を識別することができないよう加工され、かつ、個人情報を復元できないように加工された情報です。


3.3. 認定個人情報保護団体および個人情報保護委員会

ここで、「どの程度、加工すれば匿名加工情報とされるのか?」という具体的な加工基準等を含む個人情報保護指針については、事業分野等に応じて設置される認定個人情報保護団体が作成するものとされています。認定個人情報保護団体は、個人情報保護指針を作成する際には、消費者の意見を代表する者等の意見を聴くように努め(努力義務)、作成した指針を個人情報保護委員に届け出る必要があります。

個人情報保護委員会は、内閣府の外局として設置される第三者機関であり、個人情報および匿名加工情報の取り扱いに関する監督等の事務を司る組織です。個人情報保護委員会は、認定個人情報保護団体が届け出た個人情報保護指針を公表し、また、認定個人情報保護団体の認定および認定の取消を行います。個人情報保護委員会は、さらに、各事業者が、その事業者の属する認定個人情報保護団体が作成した個人情報保護指針に従って、個人情報および匿名加工情報を取り扱っているかを監督します。なお、個人情報保護委員会は、各事業者による個人情報および匿名加工情報の取扱に対する監督権限を、事業所管大臣に委任することができます。


3.4. 匿名加工情報の提供者・受領者が果たすべき義務

また、匿名加工情報について、本人の同意を得ずに第三者提供を行うために提供者・受領者が満たすべき所定の条件は、以下の通りです。

(1)提供者は、第三者に提供する匿名加工情報に含まれるプライベートデータの項目および提供方法を予め公表し、かつ、提供先に対し、提供する情報が匿名加工情報である旨を明示しなければなりません。

(2)受領者は、加工の際に削除された情報や加工方法を取得することが禁止され(つまり加工された個人情報を復元することが禁止され)、また、他の情報と照合することが禁止されます。つまり、受領者は、匿名加工情報から個人を識別する行為を行うことが禁止されます。


3.5. 海外へのデータ移転

一言で言えば、改正個人情報保護法において、個人情報および匿名加工情報の海外移転は極めて制限されています。パーソナルデータが資産である以上、各国がその持ち出しを制限するのは当然と言えるでしょう。

改正個人情報保護法において、海外の第三者に個人情報を提供するには、原則、「外国にある第三者への提供を認める旨の本人の同意」が必要となります。本人の同意がない場合、個人情報を提供することの可能な海外の第三者は、「日本と同等の水準の個人情報保護制度を有すると認められる国として規則で定める国にある第三者」、または、「規則に定める基準に適合する体制を整備している第三者」に限られます。また、そのような海外の第三者に個人情報を提供する際にも、国内における第三者提供と同様の制限が課されます。

ここで、グループ企業内での従業員および顧客に関する個人情報の共有は、国内子会社との間の共有であれば「第三者提供」には該当しませんが、海外子会社は「第三者」とされるため、海外子会社との間の個人情報の共有は、「海外の第三者への個人情報の提供」に該当することに注意が必要です。

なお、EUにおいては、EUデータ保護指令25条1項によって、EUの認める水準の個人情報保護制度を有する国に対してのみ、個人情報を移転することができ、日本は認定を受けていません。したがって、EU域内の個人情報を日本国内に移転し分析する行為は、EUデータ保護指令25条1項に抵触すると考えられます。

また、中国は、日本の個人情報保護法のような、個人情報の保護のための特別法を有していません。つまり、中国は、「本人の同意がない場合」に個人情報を提供するための要件の1つである「規則で定める国」には該当しません。したがって、中国のデータセンター等に個人情報処理を委託する際には、委託先が「規則に定める基準に適合する体制を整備している」必要があり、例えば、規則に定める基準を満たす個人情報保護体制の構築・維持を義務付ける契約を締結するなどの対応が必要と考えます。



4.重要と考えられる留意事項

最後に、IoTによって収集した個人情報を、ビッグデータとして、ディープラーニング等のAI技術によって分析する際に留意すべき事項として、特に重要と考えられる4点を挙げておきます。


第1に、改正個人情報保護法において、各事業者は、個人情報の取扱ルールにどのように従うかだけでなく、個人情報の取扱ルールの内容についても、責任を負い得るという点です。

前述の通り、改正個人情報保護法において、各事業者は、認定個人情報保護団体の作成した個人情報保護指針に従って、個人情報を取り扱う必要があります。そして、認定個人情報保護団体は、個人情報保護委員会によって認定・認定取消される存在であるとはいえ、事業分野等に応じて設置されるものです。したがって、類似する事業に携わる複数の事業者が集まって認定個人情報保護団体を設置し、各事業者は、自分たちで設置した認定個人情報保護団体の作成する個人情報保護指針に従って、個人情報および匿名加工情報を取り扱うことができます。つまり、各事業者は、自主的に策定したルールに従って個人情報を取り扱うことができます。(一般財団法人日本情報経済社会推進協会(JIPDEC)によれば、平成28年11月11日現在、認定個人情報保護団体の数は10,450社にのぼっています。)


ここで、国が定めたルールに従って個人情報を扱う場合には、各事業者は、少なくともルールの内容については、社会的な批判を受けることは少ないでしょう。しかしながら、自主的に策定したルールに従って個人情報を扱う場合には、各事業者は、ルールに従った行動をしているかだけでなく、ルールの内容についても、社会的な批判を受ける可能性があります。

改正個人情報保護法は、「個人情報をどのように取り扱うか」、つまり、「個人情報の取扱ルールにどのように従うか」だけでなく、「個人情報の取扱ルールの内容」についても、各事業者の責任とする法律と捉えることができます。一般に事業は社会からの信頼を基礎とするものである以上、各事業者は、個人情報の取扱方法だけでなく、自分たちで制定する個人情報取扱ルールの内容についても、社会的な責任を問われ得るという点に留意する必要があると考えます。


第2に、匿名加工情報は、他の情報と照合することが禁止されているという点です。

ここで、どのような処理を行なった場合に、「匿名加工情報を他の情報と照合した」とされるのかの基準は明らかではありません。ただし、AI技術のうち、特に最近注目を集めているディープラーニングは、大量かつ多様なデータを分析することによって、各データが有する表層的な特徴だけでなく、表層的な特徴の背後にある「深い構造」を把握することを目指す技術です。したがって、匿名加工情報を他の情報と一緒にディープラーニングの対象とする場合には、分析によって個人が特定され、または識別されることがないよう、細心の注意を払う必要があると考えます。


第3に、各国の事情に即したパーソナルデータの取り扱いが必要となるという点です。

資源を利用するための技術が確立したとしても、その資源の利用に係る制約が各国で異なるというのは、自然資源であっても、資源としてのパーソナルデータであっても同じだと考えます。利用技術であるAI技術の急速な進歩に伴って、資源であるパーソナルデータの保護についても、各国で急速に進んでいくことが予想されるため、各国のパーソナルデータ保護規定の継続的なウォッチがますます重要になると考えます。


第4に、パーソナルデータの収集・管理・利用に限らず、ビッグデータ全般の収集・管理・利用に言えることですが、セキュリティ対策が今後ますます重要となることが予測されるという点です。

資源の収集・管理・利用における効率化と安全性の確保は、自然資源であっても、資源としてのビッグデータであっても同じだと考えます。例えば、IoTをビッグデータの効率的な収集インフラと捉え、AIをビッグデータの効率的な利用インフラと捉えることができるのであれば、セキュリティ対策は、ビッグデータという資源の収集・管理・利用における安全性の確保と捉えることができると考えます。したがって、資源としてのビッグデータの重要性が認識され、効率的な収集・管理・利用のための技術が進化するのに伴って、収集・管理・利用における安全性の確保としてのセキュリティ対策が、ますます重視されるようになると考えます。




以 上



このページのトップへ