はじめに
令和2年の改正個人情報保護法で導入された「不適正な利用の禁止」。
通則ガイドラインにおいて6つ事例が記載されているものの、何が不適正に該当するのか予測可能性が低いということで、『個人情報保護法いわゆる3年ごと見直しに係る検討の中間整理』では、「不適正な利用の禁止」「適正な取得」の規律の明確化が掲げられました。
中間整理によると
個人の権利利益の保護により資するものとするとともに、事業者による予測可能性を高める観点から、適用される範囲等の具体化・類型化を図る必要がある。具体化・類型化に際しては、これまでに問題とされた事例等を踏まえて検討することが必要である。
ということで、具体化・類型化が行われるとのことです。
これから具体化・類型化が行われるということですが、既存のガイドラインと同じく、事例ベースのままとなる可能性が高いように思われます。
自社で「不適正な利用」に該当するかの検討が必要になった際、事例ベースでは、直接対応するものが無い限り判断できない可能性もあるため、少し抽象的な判断基準を知りたいという方もいらっしゃると思います。
では、一般的・抽象的にはどのような利用が不適正になるのでしょうか。
本コラムではこの問の一つの答えとして、 NIST Privacy Risk Assessment Methodology の Catalog of Problematic Data Actions and Problems を見てみたいと思います。
NIST Privacy Risk Assessment Methodologyとは
NIST Privacy Risk Assessment Methodology(PRAM)とは、米国国立標準技術研究所(NIST)が2019年に策定したプライバシーに関連するリスクを評価し管理するための方法論です。2020年に策定されたNISTプライバシーフレームワークでも参照されています。
個人情報保護委員会が2021年に出した「PIAの取組の促進について―PIA の意義と実施手順に沿った留意点―」ではISOやJIS規格、GDPRのガイドラインは参考文献として挙げられていますがNISTの文書は挙げられていません。そのため、PIA(Privacy Impact Assessment、個人情報保護評価)を個人情報保護委員会の資料をベースにしている場合でも、今回ご紹介するNISTのプライバシーリスク評価手法は視点の補完、拡大に有益だと思います。
NISTが考える”問題のあるデータ処理”と”問題”
PRAMは4つのWorksheetと、今回ご紹介する Catalog of and Problem(Catalog of PDAP)から構成されています。
このカタログに、NISTが考える9つの「問題のあるデータ処理」と5つの「問題」が示されています(総称して PDAP とされます)。
あくまで代表的なものを記載したものということで、カタログに記載されたもの以外にも問題のあるデータ処理や問題はありうるとのことです。
まず、「問題のあるデータ処理」は次の通りです。
| ① 不正使用 | データが個人の期待や同意(明示的または暗黙的)を超えて使用されること。より完全な情報や交渉力があれば、個人がその利用に対してさらなる価値を期待していたようなシナリオも含まれます。これにより、信頼の喪失、自律性の喪失、経済的損失などのプライバシー問題が発生する可能性があります。 |
| ② 歪曲 | 不正確または誤解を招く不完全なデータが使用または拡散されること。これにより、利用者が不正確で不利または中傷的に表現され、スティグマ(汚名)、差別、自由の喪失を引き起こす可能性があります。 |
| ③ 誘導された開示 | 個人が取引の目的または結果に対して不釣り合いな情報を提供するように強制されるときに発生します。これは、必要不可欠な(または必要不可欠と思われる)サービスへのアクセスや権利を利用することを含む場合があります。これにより、差別、信頼の喪失、自律性の喪失などの問題が発生する可能性があります。 |
| ④ 不備 | データセキュリティの不備は、信頼の喪失、経済的損失の露出、その他のID盗難関連の被害、尊厳の損失を含むさまざまな問題を引き起こす可能性があります。 |
| ⑤ 再識別 | 特定の個人から切り離されたデータが再び識別可能または特定の個人に関連付けられること。これにより、差別、信頼の喪失、尊厳の損失などの問題が発生する可能性があります。 |
| ⑥ 汚名 | データが実際の身元に結びつき、尊厳の損失や差別を引き起こすスティグマを作り出すこと。例えば、特定のサービス(例:フードスタンプや失業給付)や場所(例:医療機関)の利用に関する取引または行動データが、個人に関する推測を生み出し、尊厳の損失や差別を引き起こす可能性があります。 |
| ⑦ 監視 | データデバイスまたは個人が目的に対して不釣り合いに追跡または監視されること。無害な行動と問題のあるデータ処理である監視との違いは曖昧です。追跡または監視は、サイバーセキュリティなどの運用目的やより良いサービスを提供するために実施されることがありますが、差別、信頼、自律性または自由の喪失、または身体的危害などの問題を引き起こすときには監視と見なされます。 |
| ⑧ 予期せぬ暴露 | データが個人や個人の側面を予期しない方法で明らかにすること。予期せぬ暴露は、大規模または多様なデータセットの集計と分析から生じる可能性があります。予期せぬ暴露は、尊厳の損失、差別、信頼と自律性の喪失を引き起こす可能性があります。 |
| ⑨ 不当な制限 | 不当な制限には、データやサービスへのアクセスを遮断するだけでなく、運用目的に対して不釣り合いな方法でデータの存在や用途を認識することを制限することも含まれます。運用目的には、不正検出やその他のコンプライアンスプロセスが含まれる場合があります。個人が企業がどのようなデータを持っているか、または利用可能かを知らない場合、意思決定への参加の機会がありません。不当な制限は、そのデータが企業にとって保有することが適切であるか、または公正な方法で使用されるかどうかについての説明責任を低下させます。データやサービスへのアクセスが不足すると、自己決定の喪失、信頼の喪失、経済的損害のカテゴリーの問題につながる可能性があります。 |
次に、「問題」は以下の5つのカテゴリー(内1つは3つのサブカテゴリーに分かれる)が挙げられています。
| ① 尊厳の喪失 | Dignity Loss | 恥ずかしさや精神的苦痛を含む。 |
| ② 差別 | Discrimination | データ処理に起因する、個人または集団に対する不当または非倫理的な差別的取り扱い。 |
| ③ 経済的損失 | Economic Loss | ID盗難の結果としての直接的な金銭的損失、または取引において公正な価値を受け取れなかったことを含む。 |
| ④ 自己決定の喪失 | Loss of Self Determination | |
| 自律性の喪失 | Loss of Autonomy | 情報処理やシステム/製品/サービスとの相互作用に関する決定に対するコントロールを失うこと、および表現または市民的関与に対する自ら課した制限を含む、通常の行動における不必要な変化を含む。 |
| 自由の喪失 | Loss of Liberty | 不完全または不正確なデータが、不適切な逮捕または勾留を引き起こす可能性がある。情報の不適切な暴露または利用は、政府の権力の濫用に寄与する可能性がある。 |
| 身体的危害 | Physical Harm | 身体的な危害または死亡。 |
| ⑤ 信頼の喪失 | Loss of Trust | データ処理に関する暗黙的または明示的な期待や合意の違反。このような違反は、モラルを低下させたり、個人を今後の取引に消極的にさせたりする可能性があり、より大きな経済的・市民的影響を引き起こす可能性がある。 |
NISTのカテゴリーで日本の事例を見る
通則ガイドラインの事例の場合
それでは、通則ガイドラインの事例がNISTの「問題のあるデータ処理」のカテゴリーのどこに入るか考えてみます。
| 「問題のあるデータ処理」 | 通則ガイドラインの事例 |
|---|---|
| 予期せぬ暴露(Unanticipated Revelation) 不正使用(Appropriation) | 事例1)違法な行為を営むことが疑われる事業者への個人情報の提供 |
| 事例2)破産者マップ事件 | |
| 事例3)暴力団員等への名簿開示 | |
| 事例4)法第27条 第1項違反が予見できるものへの個人情報提供 | |
| 事例6)違法な商品の広告配信が予見できるものへの個人情報提供 | |
| 不正使用(Appropriation) | 事例5)性別、国籍等の特定の属性の正当な理由のない差別的取扱いのための利用 |
NISTのカテゴリーからみると、現在の通則ガイドラインの事例は一部のカテゴリーだけに偏ってしまっているといえそうです。
リクナビ事件の場合
ではここで応用問題として、リクナビ事件をNISTのカテゴリーに当てはめてみましょう。
| 「問題のあるデータ処理」 | リクナビ事件 |
|---|---|
| 誘導された開示(Induced Disclosure) | 学生側は「新卒応募」という目的だけでサービスを利用したいが、リクナビ側の「内定辞退率の予測」という目的のため、アクセス履歴という不釣り合いな情報を提供するように強制されている。(仮に同意を得たとしてもこのカテゴリーに当てはまる可能性がある) |
| 監視(Surveillance) | 「新卒応募」という目的を超えて内定辞退率の予測のための監視を受ける。 |
| 汚名(Stigmatization) | 応募先企業で予測された内定辞退率が実際の身元に結びつき、差別的な取り扱いを受ける。 |
| 予期せぬ暴露(Unanticipated Revelation) | 応募先企業に予期せず内定辞退率が提供される。 |
リクナビ事件
リクルートキャリアが提供していた新卒採用支援サービス「リクナビDMPフォロー」では、学生のウェブ閲覧履歴などを基に、企業が学生の内定辞退率を予測できるデータを提供していました。しかし、2019年8月に学生の同意が不十分なまま、企業にデータが提供されていたことが発覚し、プライバシーの侵害と見なされ、個人情報保護委員会から指導を受けた事件です。
リクナビ事件は4つのカテゴリーに該当するといえそうです。
リクナビDMPフォローの企画当時に、Catalog of PDAPが存在しており、これをもとにアセスメントを行っていれば、もしかしたら事件は起きなかったかもしれませんね。
まとめ
不適切な利用についてのNISTのCatalog of PDAPを見てきました。適度に一般化・抽象化されているため、様々な個人情報の利用シーンに対して汎用的に適用できそうです。
個人情報の取扱いに対する感度が世界的に高まる中、PIAは今や企業のリスクマネジメントに必須の活動です。そのベースラインとして、Catalog of PDAPは非常に有用だと言えそうです。
当社では、こうした海外のフレームワーク等を用いたPIAの実施サポートもおこなえますので、まずはお問合せください。
