AI・ビッグデータ時代の個人情報保護
企業などが多様な個人情報を容易に収集・分析できる時代。使い方を誤ると、誰もが深刻な差別や予期せぬ権利侵害を引き起こす可能性があります。私たちは、どのような点に注意を向ければいいのか。そもそも個人情報保護法は、何のためにあるのでしょう。憲法学者で東京都立大学教授の木村草太氏と、情報法制研究所の副理事長で個人情報保護法の研究者として名高い高木浩光氏に語り合っていただきました。
聞き手:山﨑聖子、中川真由美、小笠原望
個人情報保護法は、何のためにあるのか?
――個人データのビジネスへの活用が注目され、ビジネスチャンスが広がる一方で、さまざまな権利侵害をもたらす危険性も憂慮されています。個人情報保護法は、3年ごとに見直しされることになっていて、現在、その作業が進行中です。※1これまで見落とされてきた個人情報保護法の目的を再確認し、ビッグデータ時代に生きる私たち一人ひとりの生活に及ぼす影響や留意すべき点について、ご見解をいただけますでしょうか。
木村 個人データ(容易に検索できるよう体系的に整理された個人情報)を守らなければならないというのは、常識化した理念として社会に定着しています。しかし、そもそも何のために守るのか。個人情報保護法が何のためにあるのか。議論が錯綜していて、理解しにくく感じている人も多いと思います。ここをしっかりと理解しておかないと、法の網を過剰に広げたり、過小に狭めたりする懸念があります。
例えば、個人情報保護法が、あらゆる個人情報を同意なしに利用・開示されない権利を保護する法律だと考えると、職場でのささいな噂話(「今年の新入社員のAさんは、英語が得意で、まじめそうだよ」等)にも個人情報の無断利用・開示として網をかけなくてはなりません。一方、同意を重視しすぎると、形式的に同意をとれば、人種や性別のデータを昇進・昇給の判断要素にしてよいということになりますが、これは個人データ保護の理念に反します。
高木先生は、かねてプライバシー権と個人情報保護法が保護する個人データは、違う文脈のものだと主張されています。個人情報保護法の目的を明確にする上で、まず双方の違いを教えてください。
高木 まず、プライバシーの方ですが、日本でプライバシー権が初めて認められたのは、1961年の三島由紀夫「宴のあと」事件※2ですね。小説のモデルとなった政治家からプライバシーを侵すものとして訴えられた事件でした。当時、「プライバシー」が流行語になったようで、週刊誌には「スターのプライバシー拝見」といった見出しが躍ったようです。今でいう「セレブのご自宅拝見」のような記事ですね。プライバシーの侵害という問題の深刻さよりも、他人の私生活をのぞき見る興味本位な側面が出ていた様子がうかがえます。
一方、同じ時代にアメリカでは、ベストセラー作家ヴァンス・パッカードのノンフィクション本『The Naked Society』(邦訳に戸田奈津子訳『裸の社会』ダイヤモンド社、1964年)が話題となりました。この本が暴いたのは、新しい技術が人びとの生活や嗜好、信条や行動の観察を容易にし、プライバシーを侵害しつつあるというアメリカの当時の実態でした。この時点で主に問題視された新技術は、隠しカメラや小型化された録音機器でした。いつ何時プライバシーが暴かれかねない恐怖感に人びとは苛まれたわけです。
木村 つまり、プライバシー権が守ろうとしているのは私生活を勝手にのぞかれないなど「知られたくないことを知られない利益」ということになると思います。一方、個人情報保護法が守ろうとしていることは、何なのでしょう。
高木 パッカードの本も少し触れていたのですが、その直後の1960年代後半に大々的に危険視されたのが、コンピュータでした。すべての行動が個人データとして記録されて、いつまでも残り続け、使われ続ける時代の到来が予感されて、コンピュータの規制を求める声が出始めました。この動きはアメリカだけでなく、ヨーロッパにも広がり、国連でも問題視されました。
アメリカでは、何年かの議論の末、1973年に「Records, Computers, and the Rights of Citizens(記録、コンピュータ、そして市民の権利)」※3という報告書が出されました。この時点ですでに答えが書かれていたと言えるのですが、そこには、「当該データに基づいてなされ得る個人の資格、地位、権利、機会又は利益に関する決定に係る正確性と公平性を保証するため、必要な正確性、完全性、適時性及び関連性を備えたシステム上のデータを維持すること」という要件が書かれていました。これこそが個人データ保護の始まりです。
その後、1980年に制定されたOECDガイドライン※4の第2原則に、「データ品質の原則(Data Quality Principle)」※5としてこの要件が明記されています。日本の個人情報保護法は、OECDガイドラインの8つの基本原則に準拠する形で2000年に立案され、2003年に制定されました。
木村 OECDガイドラインや個人情報保護法とプライバシー権は、出発点から違う文脈だったということですね。人間関係は、お互いの情報をやり取りする中で育まれていきます。名前や電話番号の交換から始まり、関係性が深まるにつれより機微に触れる情報を共有していく。プライバシー権は、自分の機微情報を誰にどう伝えるかをコントロールすることで、人間関係形成の自由を実現するための権利と理解できます。この権利の保護対象は、個人情報一般ではなく、知られたくない相手に知られるだけで苦痛な機微情報となるでしょう。
一方、OECDガイドラインや個人情報保護法では、個人データを使って個人に対して何らかの決定をしていく際、データに「関連性」や「正確性」があるか、そこが規制の対象だった。どんなデータに関連性があり、正確な判断にどのようなデータが必要かは、目的によります。だから、保護対象を機微情報には限定できない。プライバシー権との大きな違いですね。
法律の趣旨をしっかり理解しておくことで、今後個人データを取り扱う時にどんな点に注意すべきか、非常に明確になると思います。
-
※12024年10月16日、個人情報保護委員会から、「現行制度の基本的前提に係る再検討にあたっての視点の例」が示された資料「3年ごと見直しの検討の充実に向けた視点」が公表されている。
-
※21960年に発表された三島由紀夫の小説「宴のあと」にて、モデルとなった政治家の私生活が赤裸々に綴られた。翌1961年にモデルとされた政治家がプライバシーを侵すものとして三島と出版元の新潮社を訴えた事件。1964年の東京地方裁判所判決でプライバシー権侵害が認められた。
-
※3アメリカ合衆国保健教育福祉省(現・保健福祉省)の長官諮問委員会「自動化された個人データシステムに関する諮問委員会」が出版した報告書。公正情報慣行原則「FIPPs」を提唱したことで知られる。報告書は、コンピュータ技術の発展が近い将来「統計的ステレオタイピング」に基づく個人に対する不公平な決定をもたらし得ると警告し、個人データを構成する際には「関連性」のあるデータに限るとする要件を打ち出した。この「関連性」要件は、その後、アメリカ1974年プライバシー法、OECDプライバシーガイドライン(※4)に受け継がれ、GDPR(※6)の基本原則の起源となった。
-
※41980年にOECD(経済協力開発機構)で採択された「プライバシー保護と個人データの国際流通についてのガイドライン」。個人データの処理に関する8つの基本原則が制定され、この原則がその後、日本を含む世界の個人情報保護のスタンダードとなった。本稿では短縮名として「OECDガイドライン」と表記する。
-
※5データ品質の原則:個人データは、それらが利用される目的に関連するもの(relevant)であるべきであり、それらの目的のために必要な範囲で正確で、完全で、最新のものであるべきである、という原則。例えば、雇用主が被用者の賞与額を決める時に、人種や性別のデータを使うのは関連性に欠ける。誤った業績データを使うのは正確性に欠け、当人の新しい業績データを使い忘れるのは完全性に欠け、古すぎる業績データを使うのは最新性に欠ける。
――個人情報保護法における重要なキーワード「関連性」とは?
木村 個人データを何らかの評価決定に使う際、そのデータに目的との関連性があるか、が重要です。また、個人情報保護法は、本来、関連性のない個人データを使って評価・決定をおこなうのを防ぐことを中核にしているはずだということですね。
では、関連性とは何なのか。関連性のないデータでの取り扱いとはどんなものか。具体的な事例をご紹介いただけますか。
高木 そうですね。関連性の問題を最初に指摘したアメリカの憲法学者ケネス・カーストが、1966年の論文「The Files」の中で挙げていた具体例はこうです。企業が幹部候補者の評価に際して、候補者の妻の飲酒習慣を考慮するというのです。配偶者がアルコール依存症だったら、経営に支障をきたすことになるかもしれないということでしょうか。当時のアメリカでは、個人の「信用情報」としてあらゆる情報が集められ、ローンの契約だけでなく人事評価にも使われる実態が広がりつつあったようです。
木村 会社の業務を遂行するにあたり、奥さんがどのような人かは本質的に関係のないことですよね。
高木 その通りです。もっと今どきの例にしましょうか。これは架空の話ですが、貸金業者が顧客の与信評価のために、顧客の音楽プレイヤーの再生履歴から推定される好みの音楽ジャンルに基づいて、利用限度額を決めるというのはどうでしょうか。例えば、仮に、特定のジャンルを聴いている人はお金を返さない確率が高いという相関があったとすると、それに基づいて限度額を抑えるという決定ができます。しかし、統計的に一定の傾向が見られるとしても、お金を返すことと音楽の嗜好は本質的に関係のないことです。
木村 個人データは違法行為に使われるから悪いという考え方があります。そのため違法に使う人にデータを渡さなければいいという議論になりがちです。しかし、今、高木先生がご紹介くださった例は、いずれも会社の成長に寄与するためにおこなったもの。目的自体は正しいわけです。ここで強調したいのは、違法に使われるのではなく、目的は正しいとしても、関連性のない個人データを使うことは、アンフェアな事態を引き起こすのだということです。
高木 「関連性」を考える上で欠かせないのが「決定」という概念です。決定の目的に対して関連性があるのかどうかということですが、ここでいう「決定」は、「データ処理」に基づく「決定」のことです。「データ処理」とは、国際規格(ISO 2382-1:1974)では「操作の体系的(システマティックな)実施」と定義されました。つまり、問題の対象としているのはあくまでも「体系的な決定」のことであり、プライバシー権で問題となるような個々の人間対人間のトラブルの話ではないわけです。
木村 個人的な関係づくりの場面で相手の趣味や飲酒歴を考慮するのと、企業や学校が雇用や入学許可の基準にそれらを組み込むのでは、性質がだいぶ違いますよね。個人データは、画一的な決定をおこなう目的で整理された情報であり、その目的のために個人データを使った決定がおこなわれる。そうした構図が前提だということですね。
AI・ビッグデータ時代に潜む「差別」の危険性
木村 関連性のない個人データを扱うことの危険性について、もう少し掘り下げてみたいと思います。AI・ビッグデータ時代と言われる現代では、大量の個人情報を解析し、さまざまなことと相関関係を発見できます。これを気軽に扱われると、個人は思ってもいない理由で不利益な決定をされてしまう。こうした社会に潜在する危険性について、どうお考えでしょうか。
高木 先ほどのケネス・カーストの論文は、1966年に書かれたものですが、コンピュータが分析することで、関連性のないはずのデータが関連性をもつようになるということを述べています。つい最近のAI規制に関する論文でも、イギリスの法学者が、「AIはすべてのものを関連性のあるものにできる」と指摘していますけれども、50年以上前から言われていることは同じなのですね。ただ、ここ十数年で、機械学習の技術が急速に発達して、コンピュータの計算速度とメモリ量の増強で、力技による学習が可能となりました。関係ないようなデータを用いても何かしらの統計的相関関係が現れて、役にたつかもしれないと思えるようになりました。それに頼って個人に対する決定をおこなうのは危険です。カーストは58年前にそれをすでに予言していたわけです。
木村 統計的相関関係しかないデータを使うことがなぜ悪いのか。ここをしっかり理解しておく必要があります。高木先生の見解をお聞きしたいです。
高木 それは、木村先生のご専門である差別の問題に行き着くというのが一つの理由です。ここでいう「差別」とは、人種差別や性差別に限らず、また、特定の集団に対する嫌悪や蔑視、排他の感情を意味する差別感情のことではなく、「不合理な区別」のすべてを指します。決定する側にとっては、統計的に相関関係のあるデータを用いることで、全体として見れば好都合な結果の期待値を最大化できるのかもしれません。しかし、決定される個人の側からすれば、音楽の趣味のせいでお金を借りられなかったり、配偶者の飲酒歴のせいで昇進できなかったりするのでは、合理的な区別ではない。全体最適のために非人間的な扱いを受けたと感じるでしょう。
また、狭い意味での差別との関係でも説明できます。アメリカやヨーロッパなど、包括的差別禁止法のある国々では、人種、性別、年齢など、決定に用いることを禁止する属性が指定されています。しかし、禁止されている属性を用いなくても、例えば、化粧品の購買履歴を含むデータからの相関関係で決定をおこなえば、女性を差別できてしまいます。こうした統計的相関関係に基づく決定による間接差別は、特に「代理差別」と呼ばれ、ここ数年、アメリカやヨーロッパではかなり多くの論文がその問題を指摘しています。日本では見かけないのですが。
木村 統計的相関関係は、選別する側にとって便利だから、ついつい使いたくなってしまう。だからこそ、歯止めが必要なのですね。加えて、私は統計的相関関係というのは、個人の尊厳に関わることだと考えています。統計に基づいて誰かの行動予測をする。先ほどの例で言うと、ある音楽ジャンルが好きな人は借金の返済率が低いというデータが仮にあったとしても、それを理由に「この人はお金を返さない」と決定することは、お金を返す/返さないという行為が、当人の主体的な行為によるものだということを無視しています。まるで人をサイコロのように、内在する確率にランダムに従う存在とみなしている。こうした主体性を否定する判断を私は個人の尊厳の否定だと考えています。
高木 もう一つ付け加えるならば、私は自由の問題を挙げたい。あらゆる行動履歴が自分の評価に関わるとなると、行動が抑制されてしまう。中国では5、6年前に、地方政府が独自の「道徳的信用スコア」を設けて住民に善行を促すという施策がはやりました。あれをしたらマイナス10点、これをしたらプラス10点、そのスコアで公共交通機関の料金に格差を設けるなどしたそうです。こうした信用スコアの使い方は、関連性の原則に反するものです。関連性のないデータに基づく決定という行為が法律で規制されていないと、どこかでそういう決定がおこなわれているやもしれず、これをしたらスコアを下げられるかもと、映画を見るのも、音楽を聴くのも、不安になってしまう。これでは、個人の自由が損なわれ、社会全体が萎縮してしまいます。
木村 ほんとうにそうですね。そのような社会に生きるというのは、とても空虚な感じがします。そういう意味では、関連性の原則は私たちが幸せに生きるためにとても大事な原則なのではないかと感じています。
法律が社会の発展を阻む壁になってはならない
木村 関連性のないデータによる決定は、差別などさまざまな問題を生む契機となる。社会に多様な情報があふれ、AIによる分析や体系化も容易にできてしまう時代は、その問題を増大させる危険性を秘めています。しかし、だからといって法の網を、間違った方向に広げると、社会の発展を不当に阻む壁になりかねません。
高木 個人情報保護法は、個人データを目的外に利用することや第三者に提供することを原則的に禁止していますが、これは、関連性のないデータによる決定がおこなわれないようにするための予防的規制だと私は考えています。ある決定の目的で作った個人データが、その時点では関連性のあるものであっても、別の決定の目的に使うとなると、関連性のないものとなる可能性があるからです。実際、このルールがあるおかげで、ひどい事案はそれほど起きてこなかったように思います。そうだとすれば、決定に使われないことの保障があれば、目的外に使うことは許されてもいいはずです。今、ヨーロッパでは、EHDS(European Health Data Space)規則という、医療データに関する新しい法案が成立しようとしています。それは、EU領域内ではどの国の病院からでも診療履歴をネットワーク経由で転送して本人の治療に使えるようにすること、さらに、診療履歴を「二次利用」して、統計分析により新しい医学的知見の獲得を目指していくというものです。
木村 それは、GDPR※6の基準で大丈夫なのでしょうか。
高木 実は、GDPRには、個人データの統計化のための二次利用は「目的外利用とみなさない」とする明確な規定があります。これは、1980年の欧州評議会の条約の時からそうなっています。GDPRはとても厳しい規則だと評されがちですが、誤解で、むしろ日本の個人情報保護法の方が第三者提供の制限は厳しく、統計利用のためであっても提供できません。医療データで言えば、統計利用は病院内でしかおこなえず、複数の病院から個人データを集めて分析することが許されていません。先ほどのEHDS規則案も、二次利用のルールを見ると、一番目に禁止しているのが「決定」に利用することです。ヨーロッパでは、統計化のために目的外で個人データを処理しても、決定に用いなければ本人に影響が及ばないという発想がベースにあるわけです。それに対して日本では、個人情報を提供することや目的外利用すること自体が権利侵害だと思ってしまう方が少なくないですね。それは手段と目的の取り違え、つまり、手段だったはずのOECDガイドラインを、それが目的なのだと見間違えてきたのだと思います。
木村 冒頭で指摘したように、法の目的の理解がずれている可能性があるわけですね。やはり、法律の趣旨を見失うと、必要以上の範囲に規制が及ぶ可能性があるということです。いかに法の趣旨をきちんと理解することが大事なのか、よくわかるお話だと思います。
高木 現在、個人情報保護法の3年ごとの見直しがおこなわれていて、経済界からは、本人同意のないデータ利用をある程度認めてほしいという要望が出ています。統計利用の論点は、今まさに問題提起されているところです。また、令和2年改正で、不適正利用の禁止という規定(個人情報保護法19条)が入りました。不適正利用とは何なのかを明確化することも、見直しの論点となっています。関連性のないデータによる決定こそが不適正利用であると整理しないと、規制すべき行為が放任されてしまう一方、法の趣旨に立ち返らないで「不適正」を決めていくと、規制すべきでない行為が規制される事態になりかねません。
木村 本日話し合ったことが法改正にも直接関わるということですね。高木先生のお話からわかるように、統計的な相関があるだけの個人データを個人の評価・決定に利用するのは、不適正な利用です。他方、個人情報を統計に利用するだけなら、個人の権利利益への侵害にはなりにくいはずです。また、統計は私たちが世界を知る手段としてとても大事なものです。個人への決定ではなく、顧客が喜んでくれる商品・サービスの開発や、国や自治体が政策を策定する時、統計は大いに活用されるべきでしょう。
ただし、定量調査を取り扱う研究者や企業の方に注意をしていただきたいのは、今日議論してきて明らかになったように、統計は差別を引き起こす危険があるということです。親の収入と子の学歴との相関や、音楽の趣味や支持政党と信用情報との相関を発表すれば、それを個人の選別に使おうとする人が出てきます。そうした統計を発表する時は、関連性のない個人データの利用禁止に必ず言及して、注意を促してほしいですね。
プライバシーを守ることはとても大事です。しかし、個人情報保護法がプライバシーを守る法律だと誤解してはいけない。AI・ビッグデータ時代だからこそ、関連性のないデータによる決定が個人に不利益をもたらすことのないよう、注意しなければならない。そして、本来の個人情報保護法の趣旨に立ち戻ることが重要だということを身近な問題として学びました。ありがとうございました。
-
※62018年に施行された「EU一般データ保護規則」(GDPR: General Data Protection Regulation)。個人データ処理から自然人を保護するために、個人の権利や事業者の義務を詳細に定めた法令。EU域内の各国に適用されるのはもちろん、EU居住者の個人データを扱う組織は、EU域外に活動拠点がある場合も適用対象となる。
Text by Seiko Yamazaki
Photographs by Masaharu Hatta
木村草太 きむら・そうた 東京都立大学教授(憲法学)
1980年生まれ。2003年東京大学法学部卒業。同年、同大学法学政治学研究科助手。首都大学東京(現、東京都立大学法学部)准教授を経て、2016年より現職。平等原則と差別されない権利、地方自治、政教分離、家族と憲法などの研究を進めている。著書に『憲法』・『平等なき平等条項論』(東京大学出版会)、『憲法の急所』(羽鳥書店)、『キヨミズ准教授の法学入門』(星海社新書)、『ほとんど憲法:小学生からの憲法入門』(河出書房新社)、『憲法学者の思考法』(青土社)、『「差別」のしくみ』(朝日新聞出版)など。
高木浩光 たかぎ・ひろみつ 情報法制研究所(JILIS) 副理事長
1967年生まれ。1994年名古屋工業大学大学院博士後期課程修了、博士(工学)。同大助手を経て、1998年より工業技術院電子技術総合研究所(現、産業技術総合研究所)に入所。コンピュータセキュリティ技術の研究に従事する傍ら、関連する法規に研究対象を広げ、2016年に研究者らと政策提言団体「情報法制研究所」を設立。近年は、個人情報保護法の制定過程について情報公開制度を活用して分析し、今後の日本のデータ保護法制のあり方を提言している。共著に『ニッポンの個人情報』(翔泳社)、『GPS捜査とプライバシー保護』(現代人文社)など。
山﨑聖子 やまざき・せいこ 電通総研 フェロー
東京都生まれ。慶應義塾大学大学院法学研究科国際公法学修了。1990 年株式会社電通総研(当時)に入社。世界の人びとの意識や価値観の変化をふまえ、社会動向を分析・研究。訳書に『文化的進化論』、『懐疑主義の勧め』(共に勁草書房)、共著書に『日本人の考え方 世界の人の考え方Ⅱ』(勁草書房)ほか。世界価値観調査協会 理事。