あけましておめでとうございます。@_nat こと崎村夏彦です。2011年の新春特別企画で「無情社会と番号制度~ビクトル・ユーゴー「ああ無情」に見る名寄せの危険性 」と題して当時の「国民ID」 、今で言うマイナンバーのプライバシー的側面について寄稿してから9年ぶりに執筆の機会をいただきました。今回は、2019年に起きたプライバシー関連の出来事を振り返り、2020年に出版されるであろうプライバシー関連の標準規格について紹介します。
プライバシー上の大きな転換点となった2019年
2019年は、プライバシーに関して大きな転換点となった年でした。1月23日には安倍首相が「ダボス会議」で「成長のエンジンはもはやガソリンではなくデジタルデータで回っている」 、そして「新しい経済活動には、DFFT=Data Free Flow with Trustが最重要課題である」と提言しました。6月29日のG20大阪サミット首脳宣言においても、「 データや情報等の越境流通は、生産性の向上、イノベーションの増大をもたらす一方で、プライバシー、データ保護、知的財産権及びセキュリティに関する課題を提起、これらに対処することにより、データの自由な流通を促進し、消費者及びビジネスの信頼を強化する。DFFTはデジタル経済の機会を活かすものである」と提言しました。これを受ける形で、情報銀行も7月に第一号P認定(事業設計段階でのプライバシー・バイ・デザインが行われていることを確認した認定)を出しました。
また、法制面では、個人情報保護法のいわゆる3年毎みなおしが進められ、12月13日には個人情報保護委員会による『個⼈情報保護法 いわゆる3年ごと見直し 制度改正大綱 』の公表及び同大綱に対する意見募集が開始されました。これは、2019年8月に発覚したリクナビ事件なども受けて、現行個人情報保護法の第一条 に書いてある個人の権利利益を守ることの重要性を強調したものになっているという印象を持っています。
海外に目を転ずると、8月には、『 ISO/IEC 27701 プライバシー情報マネジメントーISO/IEC 27001と27002への拡張としての要求事項とガイドライン』が出版されました[1] 。これはEUのデータ保護評議会(EDPB)が推奨する認証の核をなすとされる国際規格で、EDPB自体が密接に策定に関わった規格です。EUの事情から大変急いで策定されたので荒削りのところが残っていますが、それだけ急いで必要とされた規格とも言えます。
2020年もこれに引き続き重要な規格が目白押しとなっています。
[1] ISO/IEC 27701 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines。なお、出版直前まで、文書番号は27552であったため、解説などはその番号で行われているものも多い。
プライバシー通知と同意
さて、2019年に話題になったリクナビ事件では、学生の同意を取らずにデータの提供が行われたことが、問題点の一つとして挙げられました。この「同意」ですが、エンジニアの方々に限らず、一部法律家の方々まで「同意ボタン」をおさせることだと勘違いしているようです。しかしGDPRを始めとして国際的にそれが「同意」と認められるには、「 高いハードル」があります。
このハードルとは、同意が、同意以外の適法性根拠が使えなかった場合にのみつかう「例外処置」だからです。ちなみに、GDPRにおいては適法性根拠は第6条に定義してあり、以下のものが挙げられています。
データ主体が、一つ又は複数の特定の目的のための自己の個人データの取扱いに関し、同意 を与えた場合。
データ主体が契約当事者となっている契約の履行 のために取扱いが必要となる場合、又は、契約締結の前に、データ主体の要求に際して手段を講ずるために取扱いが必要となる場合。
管理者が服する法的義務 を遵守するために取扱いが必要となる場合。
データ主体又は他の自然人の生命に関する利益を保護するために取扱いが必要となる場合。
公共の利益 において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために取扱いが必要となる場合。
管理者によって、又は、第三者によって求められる正当な利益 の目的のために取扱いが必要となる場合。ただし、その利益よりも、個人データの保護を求めるデータ主体の利益並びに基本的な権利及び自由のほうが優先する場合、特に、そのデータ主体が子どもである場合を除く。
出所:GDPR第6条(個人情報保護委員会訳 。太字下線 は筆者)
この「高いハードル」を具体的に要件として定義し、その要件を満たすためにどのようなことをしなければいけないかを説明しているのが、『 ISO/IEC 29184 オンライン・プライバシー通知と同意』です[2] 。これは現在、FDIS(Final Draft International Standard)の段階であり、4月のSC27サンクトペテルブルグ会合で、出版への決議がなされる見込みです。
[2] ISO/IEC FDIS 29184 Information technology — Online privacy notices and consent。プロジェクト・リーダーは筆者とインドのInfosysのCPOのスリニヴァス・プーサラ氏およびベルギーの独立系コンサルタントのクリストフ・ステヌイ氏。
ISO/IEC 29184では個人情報を扱うにあたって、以下のことが書かれています[3] 。
いわゆる「プライバシー・ポリシー」である「プライバシー・ノーティス(通知) 」に何を書くべきか、
それに基づいて同意を取得するには何をすべきか、
データの取扱を変更するときには何をすべきか
個人情報を扱う上で「同意」を取得しようと考えている方々には必読の書と言えましょう。FDIS版と出版版には、意味を変じない字句修正しか入りませんから、すぐに購入して読み始めても良いくらいだと思います。「 同意」を適法性根拠として使う場合のみならず、「 通知」への記載事項は、他の適法性根拠を使う場合にも必要となることですから
( ※4 ) 。
[3] この系統のISOの文書において、プライバシー・ポリシーは、組織の内部で個人情報をどのように扱うべきかのポリシーを定めた文書のことを指します。個人を始めとする外部に公表する文書は「プライバシー通知(privacy notice) 」と呼んで区別しています。
仮名化・匿名化
前述した「個人情報保護法のいわゆる3年毎みなおし」のなかでの一つの目玉となっているのが「仮名化情報」の創設です。大綱では、仮名化情報は「他の情報と照合しなければ特定の個人を識別することができないように加工された個人情報の類型」とされています。
一方、ISOでも、これに類する概念の整理が進んできています。『 ISO/IEC 27551 情報技術ー連結不能属性ベース認証への要件』です[5] 。属性ベース認証とは、たとえば年齢確認だとか、そういう「属性」に基づく認証を行うことを言います。連結不能については後述します。現在DISで、おそらくは一旦は2020年にTS(Technical Specification, 技術仕様)として出版、3年後に改定して国際標準とする方向になると思われます。
この文書は当初「匿名」という言葉を使おうとしていましたが、「 匿名 (anonymous) 」という概念があまりにも曖昧であるとして、連結性の概念を用いて整理することになりました[6] 。
[5] ISO/IEC DIS 27551 Information technology — Requirements for attribute-based unlinkable entity authentication。プロジェクト・リーダーは、筆者と数少ない加法準同型性を満たすPaillier暗号で有名なパスカル・パイエ博士と韓国電子通信研究院のジェーフン・ナー博士。
整理の過程で意識されたのが「誰にとって」「 何が」連結不能なのかということです。当たり前ですが、本人がどこかのサイトを訪問した場合、本人自身は自分が本人であることを知っていますから、本人からみればその訪問は自分に結び付けられてしまいます。一方、ある種の技術を使うことによって、訪問を受けるサイト側には、その訪問者が以前訪問したかどうかもわからなくすることもできます。つまり、前回の訪問と今回の訪問を連結することができなくなっているわけです。多くの場合、このような状態のことを「匿名(anonymous) 」と呼びます。一方、ユーザのブラウザにCookieを設定しておくことなどによって、ユーザが以前来た人だと認識することもできます。これは、前回の訪問と今回の訪問を連結しているわけです。仮名状態ですね。
こうしたことを表すために、ISO/IEC 27551では、
という表現をとります。たとえば、サイト(RP、※7 )からみて、訪問してくるユーザ(U)を連結不能であれば、
RPーU連結不能 ( RP-U Unlinkable)
というように表現します。
一方、仮名化の場合は、単一のRPの中では、繰り返し訪問してくるUを連結可能なので「RPーU連結不能」ではありませんが、2つのサイト、RPとRP’ の間では、彼らが結託しても訪れてくるUを連結できないので、
RP+RP’ ーU連結不能 ( RP+RP’ -U Unlinkable)
というように表現します。
連結してこようとする対象はなにもRPだけではありません。ユーザに関する情報を確認した属性プロバイダ(Attribute Provider, AP)もそうです。属性プロバイダの例としては、運転免許証を発行している当局などが挙げられます。日本では行われておりませんが、多くの国では、免許証情報の正確性の確認を事業者が行うことができるようになっています。このような場合、もしも運転免許証情報をもとに酒屋が正確性確認の照会をかけたならば、当局は対象個人がお酒を買おうとしたということがわかってしまいます。
運転免許証の場合には氏名なども入ってしまっているので、お店の側から見ても、お客は全く匿名ではありません。これが年齢だけをある属性プロバイダ(AP)が証明する証明書の場合は、サイトは個人を連結できません。しかし、その証明書の正確性を確かめようと照会をかけると、その属性プロバイダには、対象個人がそのサイトを訪れたことがわかってしまいます。つまり、
RPーU連結不能ではあるが、APーRP連結不能ではない
という状態になります。
ISO/IEC 27551はこういう状態を8種類提示して、今後のより精密な議論に資するようにしています。匿名とか仮名とか、そういうことにご興味のある方は、読んで考えてみるのも良いかもしれません。
プライバシー影響評価(PIA)
プライバシー影響評価とは、ある新しいビジネスを始めたりシステムを作ったり、あるいはそれらに大幅な変更を行うときに、個人のプライバシーに対してどのような悪影響があるかを分析するものです。通常、概要設計など、計画の早い段階でおこなわれます。ISOにおけるこの点のガイドラインは、『 ISO/IEC 29134 プライバシー影響評価ガイドライン(Privacy Imapcat Assessment Guidelines) 』となります。
この文書は2017年に国際標準として発行され、現在日本ではJIS化が進んでいます。『 個人情報保護法 いわゆる3年ごと見直し制度改正大綱』においても「推奨する」とされています。
この文書は、プライバシー影響評価の実施とレポート作成に関わる推奨事項をまとめたものになっています。これもまた、欧州のデータ保護当局(当時の29条委員会)が力を入れて作成していた文書で、実は日本IT団体連盟の「情報銀行」の認定基準でもかなり参考にしているものになります。
プライバシー影響評価をきちんと行うことは、2019年リクナビ事件のようなものを未然に防ぐことになりますし、透明性とアカウンタビリティ[8] を上げることによって、当該企業への信頼も強化します。
ISO/IEC 29134のJIS版は、おそらく2020年に発行されると思います。日本語ですから英語が苦手な方でも問題なく読むことができるでしょう。システム設計に関わる方々にはぜひお読みいただき、個人情報保護法第一条に書いてあるように、日本の個人の権利利益の保護を行うとともに、個人情報の適正かつ効果的な活用により新たな産業の創出、並びに活力ある経済社会及び豊かな国民生活の実現していっていただきたいと思います。