電気通信学会での報告4本をまとめたもの 「いわゆるAI」で調べてもらうと原文が出ると思う
デジタル・フォレンジック研究会と日程かぶり
AIは今の流れのままでも2040年ぐらいには来る 実際は2030年ぐらいまでには来るのではないか
ConnectedCarのパッケージ ICDPPCの議論の結果が実際に各国の法制度に反映されている
今後同様の事例がAIでも想定される
データプライバシーの中でのAIの原則
CNILの報告 フランスでは首相の指示で検討が行われている
フランスデータ保護法10条との関係
自動処理と人間の行動(側面)の関係性
AIは自動処理の延長としてとらえている
System Rightということを言っている 法学ではダムの権利などで使われている例があるが同じものかは不明
欧州におけるデジタルシングルマーケット戦略の一環?
ポストデジタルシングルマーケット戦略においてAIを重要視している?
lawfulの件については今年の秋以降に出すと言っている
ethicalとrobustの部分についての報告書である
今後細かく報告書が出てくるのではないか
基本的人権に基づいたアプローチ
社会的弱者に対する配慮
技術的な問題なので、鼻で笑われるような議論が国内でもなされているが、それには一定の理由があるし強力
社会的な利用の蓄積 水を入れていってあふれた瞬間をAIと呼んでいる?
長年に渡って議論してきた自動処理と同一のものと扱っている?
欧州の主張の意図は一貫している OECD・ICDPPC・CNIL等
欧州委員会は昨年12月の段階で「春にパブリックコメントと回答を公開する」といっていた
そうしたらいきなりOECDガイドラインが出てきて驚いた
中国への圧力という側面も無いことはないんだろうな
今後同じような主張がいろんなところで繰り返されるんじゃないか
OECDの原則
AIは汎用技術であると言い切っている 従来の技術の延長線上にあるという意味
スチュアートシップをどう訳するか困って横文字で逃げた
OECDはさらなる措置ということを言っている
AIを止めることはそもそもできるのか?→止められないAIをどう社会と突き合わせるのか?
法制度上の捉え方は?
○パネル
三原:主に2点 1つはICDPPC、もう1つはOECD
ICDPPCについては堀部・加藤両氏の報告にもあったとおり 2018年にAIについてdecralationが出ている
AIワーキンググループ EU/フランス/香港がco-chair
今まで日本が積極的に出ていくことはなかったが、正式メンバーになった流れでWGに参加することになった
WGは主に電話会議中心
昨年10月時点では「1年ほどかけて議論しよう」となっていたが、広範な範囲の議論が必要となった
まずはAI・データ保護のガイドライン 各国の事例をまず共有しようということで一つのプロジェクトになっている
2021年を目指して事例共有も今後やっていこうということになっている
倫理・人権・データ保護の観点 accountabilityの話も出ている
AIと環境問題の関係を議論したいという人もいる privacyの範疇じゃなくない?
国際的な日本の立ち位置 ICDPPC・OECD・APEC・APPA・GPEN等に入っている状態
OECD 1980年ガイドラインは有名だが
デジタル経済政策委員会(CDEC)が最近できた
データガバナンス、セキュリティの2つのグループに分割
2013年にガイドライン改定、そこから5年経ったところで今レビュー作業中 来年秋にレビュー完了予定
会議の場外で、そもそもAIは定義が難しい、概念も広い
プライバシー観点で見た場合のAIにユニークな要素があるのか疑問に思う国が多い
翻って国内の話 人間中心のAI社会原則 統合イノベーション戦略推進会議決定
政治的立場・意識等が推定できるリスク
個人の自由・尊厳が損なわれない、本人関与の原則、要配慮性の保護
プライバシー以外に透明性・公平性として広く定められている
高木:AIの定義の話
AIの定義はどこにいってもうまくまとまらない
OECDでは「定義」ではなく「common understanding」と言ってたりする
「情報通信政策研究」
データ保護については完全に勉強中 総務省の有識者会議で事務局を担当している
今年8月に報告書を取りまとめた
発端となったのは2016年のG7情報通信政策会合(高松)で「AIの原則を作ろう」となった
実は最初は高市早苗総務相(当時)から始まっている
総務相のAIガイドラインの策定 基本的には全て非規制的
AI開発利用原則 4.1節までに書かれた内容を読んで自分たちなりに原則を定めろとなっている
AI Actorとpractisionerに対する日本における棲み分け
ビジネス利用者より上の部分 業としてAIを使っている人がpractisionerになるのでは
AI Actorの議論にも参加したが、消費者は入るのか?→OECDとしては業として使う人だけを考えたいと言われた
AI利活用ガイドラインで10原則を定めた 総務省の広報誌に載せている
10原則を全部守らなきゃいけないのか? 利用状況によって重要度はそれぞれ異なる(自動運転、スマートスピーカー等)
全ての原則を全て守るのは無理だと思っている
他の原則も関係してくる 利用目的の特定、公開など
プライバシー観点では「むやみやたらにログを保存しないように」と書かれている トレードオフ
そこのバランスをどう取っていけばいいのか?
堀部:世界的な議論の方向をご認識いただき、フロアから質問を受けたい
中川:プライバシーのところで情報
IEEEのほうの議論 Data Agencyの話
AIとしてはプライバシーをどう扱っているのかをまとめている
プライバシーは個人差が大きい あるレストランに行ったという情報が人によってプライバシーになったりならなかったりする
最大公約数が要配慮個人情報になったという認識
グループとしてのプライバシーという考え方(会社、学校等)もある
個人情報保護法のテリトリーだけでは解決できない
福原:原則をどう社会に入れていくか リクナビ問題のようなものが起きる 守らない人も当然出る
倫理の部分をどうやってみんなで見ていくか
堀部:digital ethicsの話
2017年の会議が今までで一番重要な会議になった
今や法では対応できない 法はどうしても後追いになるのでethicsの形で議論しようとなった
よしいえ:医療情報分野でヘルシンキ宣言のデータベース版がある スチュワードという言葉が出てくる
「自律と尊厳を守るスチュワードでなくてはいけない」
プライバシーと言ったときに、学習データをどのように使っていいかという部分にもプライバシーが関係してくる
そこは分けて議論したほうがいいと思う
高木:学習用データとAI全体のプライバシーは分けて書いてある
データの収集・学習の際のプライバシー
総務省報告書の中にあるプライバシー原則 3つある論点のうち2つ目がそれ
経産省がAIガイドライン Ver.1.1を昨日か一昨日出していた
三原:国際的なAI原則を各国制度にどう落とし込んでいくか
1つは国際的な発信の関係 ICDPPC・OECDの見直しの中で日本の原則を国際発信していくことが重要
特にOECDはガイドラインが各国の法制度に落とし込まれていく
もう1つは実際日本の国内法にどう落とし込むか いわゆる3年ごと見直しの話
利用停止の要件緩和などもICDPPC・OECDの原則を反映させた
各省のガイドライン、民間に委ねるものなどいろんなやり方がある
○石井先生
競争法は素人なので収拾がつかないところがある
プライバシーは他の法律との境界のあいまいさがある
伝統的プライバシー権(一人にしておかれる権利)から自己情報コントロール権へ
競争法においてプライバシーが出てきたのは遅くても2006年頃
個人情報保護法に置いては競争法の観点はあまり考慮されていない せいぜい課徴金の導入くらい?
競争法にプライバシーを導入することは是か非か
反対派:主にアメリカ?
プライバシーという非常に主観的で不安定な概念を競争法に導入スべきではない
消費者保護法のほうがプライバシー保護には適している
競争法でも一定の役割は果たすかもしれないが、消費者が取引することで経済効率性を促進する部分なので多少違う
賛成派:主にオランダ?
競争法とデータ保護法は保護法益が異なるが、市場統合という意味では一体的に捉えられる
データ保護・消費者保護・競争法全てが市場を保護することにつながる
GDFスエズ社事件 CNILと連携して「まず個人にオプトアウトの機会を与える、その後法執行」となった
EUの競争法
いわゆるGAFAへの適用法を巡って議論
無料市場と有料市場の違い 無料市場では必要以上に個人情報をとられているのではないか?
実例では企業結合・合同に関するものが多い
競争法ではなくデータ保護法で管理すべき、という判断になる場合が多い
whatsup - facebookの事例では課徴金が課せられている
今年2月 facebookのGDPR違反? 同意の任意性を欠く
プライバシーから競争法を見た場合
主に引っかかってくるのは個人情報保護法
データポータビリティ権と課徴金 例:GDPR20条
GDPRの場合データポータビリティは囲い込み防止にはなるが、競争法を意識して定義しているものではない
結果的にイノベーションを促進するかもしれない
日本は「議論の水位を見守る必要がある」
データポータビリティを競争法的に評価する
アメリカに関してはトラスト法の中心になるシャーマン法
「私企業には取引相手を自由に選ぶ権利がある」、取引義務を課すケースは少ない
EU機能条約101条など 中小企業にとって対応能力・コスト負担がきついので実際には厳しい
課徴金は? 日本は慎重な立場
賛成しそうなのはEU、反対しそうなのはアメリカ
データプロファイリングの観点 データが結合されることによって人物像が形成される
市場支配力の喪失とどういう関係があるか
データポータビリティが囲い込みを防ぐ効果はあるがあくまでも結果論ではないか
個人情報保護法上の問題を解決した上で競争法違反を問うべき
消費者保護法との関係も非常に深いのでそちらの方面からのアプローチも必要
○佐脇氏
ある新聞が「利用停止はするが削除しない」と誤報を伝えたが、そんなことはない
個人の権利侵害が想定されるケースでかんたんに削除ができるようにする
デジタルデータでの開示が可能になる(請求者が形式を指定できる)
本人の利便性向上のため
6ヶ月以内の短期データも開示対象に含める
オプトアウト規制強化
記録義務の帳簿の開示ができるようになる
漏洩報告・本人通知の義務化
正直者がバカを見るということがないようにする
我々も(隠された事故を)一生懸命探さないといけない
件数のしきい値は委員会規則で書こうと思っている
適正な利用義務の明確化
法の第4章の義務に従っていれば事業者は問題ないという立て付けに元々なっている
ただこの1年振り返っても思いがけないことがいろいろ起きる 行政当局としては非常に難しい
毎年のようにユニークなビジネスモデルが判明するので難しい
社会に迷惑がかかってしまうようなもの いくら手続き的に問題がなくても差別が起きたりするものは規制したい
本人にはオプトアウトという方法しか逃げ道がない
認定個人情報保護団体の多様化
自主的な取り組みをリードするような活動体がこの制度を利用できるようにしたい
法律上の書きぶりの問題、例えば苦情相談の窓口の設置
通販関係、専業の事業者ばかりでなく兼業のところも多いが、現状認定団体は業界全体の相談を受けなければならない
通販系の団体に店舗での問題の相談が持ち込まれたりして、現行法だとそれにも対応しないと法律違反になるのを変更したい
法律上想定していないが、公表データのより詳細化の話
法律ではなく政令等での対応になる可能性が高い
利用目的についてふわっと書いているところが多いが、もっと消費者にわかりやすい書き方、言葉を選びながら情報提供をするべき
仮名化情報
事業者の中におけるデータのステータスのうち一定のもの
それらについては開示対象外にする 個人情報ではあるが一部の義務を外す
本人の識別には使わない、統計的利用に限定する、目的を公表するなどの条件を満たす
提供先で個人データに該当する場合の扱い
Cookie取得事前同意ではない
提供先で個人データになるのが「見え見え」の場合は第三者提供と同じ扱いにする
同じIDで紐付けられるDBがある場合、ある技術を使うことでリンクができる場合を想定
公益目的の場合の明確化
ペナルティ(重罰化、法人処罰の重科導入)
課徴金導入はまだ詰めないといけない部分があるため見送る予定
今まで罰金適用の事例がないのでどうするか
域外適用の拡大
越境移転規制
どこの国に移転したの?ぐらいは本人にわかるようにしたい 本人同意によって移転するケースの場合
個人情報保護委員会の一元化(官民法の統一を目指す)
○鈴木正朝先生
委員会とベクトルは同じ方向を向いているのではないか
前回はパーソナルデータ検討会の委員もやって動向を追っていた
あのときは規制緩和一辺倒、Suica問題にも消極的、EU対応についても積極性はなかった
企業が個別にEUと対応していくから政府は口出しすんな、というのが経団連・新経連の態度だった
CookieSyncの話すらしていたのに聞く耳持たなかった 経済界は先を見通さない現れ
直前になって産業界はGDPRの件で政府にしがみついた
今も小さなビジネスモデルにすがりついてる ガイドラインと手順書を待って国内向けに小さいビジネスをしている
3年ごと見直し条項が入ったのが唯一の良かった点
「3年後見直し」=「後任がやりますのでさようなら」という意味だとわかったのがH15年法のとき
「1年後見直し」=「俺がやる」の意味
「3年ごと見直し」=「永久運動」を意味するので、立法にPDCAが導入されたに等しい
それをやるにはそれ相応の処遇と組織化も必要だとは思うが
H15年法基本的に行政の手続き法、27年法は変化のダッチロール
憲法と接続し、権利を創設すべきという立場から見ると、現行法で最大寄ったのが適正な利用義務の明確化
リクナビ事件の勧告内容、利用目的変えて本人同意取ればあれは続けられる 手続きさえやれば白も黒も通るのが現行法
法制局でどう条文に落とし込むかが難しいとは思うが
人間中心主義の帰結は「AI=道具」であり続けるということだと思っている
観念的なガイドラインにとどまるのか、法にまで踏み込んでくるのかはわからない
仮名化情報
無記名式suicaは入るんですかと聞いたら入らないと言われた
「仮名化情報で第三者提供」と十分性認定は両立しないがどうするのか
産業界にとって提供先云々の話はあれいいことなのか
IIJとかが怪しい記事いっぱい出しているが
S63年法からの基本方針を再確認したに過ぎない
Suica事件を振り返る
匿名情報と仮名化情報の違い
Suicaを許せば、あれと同等の仮名データが自由流通する あれを通せば世界の趨勢に反する
積み残した問題、あのときしつこく「記名式」と言って問題にしていた
ただし同じ問題は無記名式にも残る あれこそが仮名化情報になるのではないか
データサイエンスをベースとした今後の欧米の動き いわば日本の試金石
日立と書かずにIT企業、JRと書かずに鉄道会社と書けと言われる ただSuicaと書くのはOK メディアはなぜそこ忖度する?
JR東もいろいろお伺いは役所に立てていた 日銀の岩下さんが日立に出向していたので当時仲良くしていた
ただ日立は受託事業なのでとやかく言える立場ではない
JRも組織内に障壁立てて、提供用データへの加工をきちんとして日立に渡し、日立は統計処理してレポート出すだけ
本人の人格的権利を侵害する要素は何もない 経産省Q&Aにも明確に書いてあった
結論から言えば、JR東がcontroller、日立がprocessorになって、JRが統計データを売る形にすれば何も問題なかった
法律構成を間違えた事案 当時のガイドラインにそこらが明確化されてなかった
紙媒体なら氏名等をマスクする程度の匿名化で問題なかった 散在情報ならそれで事足りた
しかし処理情報の非匿名化はさらにもう一段処理が必要になる 事業者も迷ってしまったところ
散在情報と処理情報は違うものであるということをひろみつ先生が指摘した
文系は「ハッシュで不可逆的に変換」と言われたらイチコロ ハッシュ関数破棄したか?→「もちろん」と言われた
しかも日立には再識別化を契約で禁止していた
関係者集まって話ししたら、10分で再識別できるよという結論になった
乗降履歴だけで一意性、識別性を持つ持ち方だとなった
年月日時分秒、駅番号にゲート番号、性別まで付け加えられたらそれ単体で一意になる
コンピュータ相互間ならどこで照合したっていいじゃないか
本体の中身のところは生データのまま、そりゃ個人データだよね
これでanonymizationとsudomizationの違いがなんとなくわかった
提供元基準か提供先基準か
韓国は確かに提供先基準に動いていた 「日本はガラパゴスだ」と言われた
ウットロウ先生(園部先生の弟子)が「FTC3条件がいいんじゃないか」ということで紹介した
パーソナルデータ検討会は当初法改正用ではなかった 当時はガイドラインでやれという人もいた
第1回で「法改正必須」となったら新聞でバンと載せろとしかけていた
容易照合性は常に元データ(その裏に本人がいる)との関係で考えていた
S63年法は容易照合性Bも見ていた 管理範囲内での容易照合性はA、オンライン接続についてはBで考える
問い合わせて答えるというスキームもあればそれも含む
H15年法、インターネットは巨大なデータベースではないかという議論もあった
リクナビ事件でそこらが確認されただけだと思っている、なのにCookieだけが取り上げられるのは極めて跳ねた話
GDPRに鼻面引きずられたまま立法するわけにはいかない
あくまで立法政策は自国の立場、その理論的立場を明確にできればそれは認められるべき 是々非々
憲法と個人情報保護法を接続したい
裁判所も行政機関も処分してくれないという法律だったのが、外圧のおかげで権利構成される?
ようやくまともな法律の世界に入ってきた
日本のnational securityをどうするのか 経済界はみなドン引き スノーデン事件もムー大陸と同じレベル
見通しを持ってビジネスをするのにここらを見ていかないとどうするのか
昔cocomをやってたので同じような話が出てきた その頃とそっくり
1998年にコンプライアンス・プログラムを初めて導入した 過去の経験から言える
仮名化情報に着目したのは、医療仮名化情報につながるから
厚労省は「名前さえ消せば匿名化」という方向にしたがっている
医療ビッグデータ政策の中で医療仮名化情報が使える
本来は医療ビッグデータは匿名加工情報を使うべきではある ただ2000個問題を解決しないとデータが使えない
レントゲン等の生データは匿名加工すると意味をなさなくなるので個人情報のまま使うしか無い
ただ医療に絞った仮名化情報なら特別法で対応できるので一気に医療関係の研究が進む
○パネル
若目田:経団連の立場も兼ねてますが、基本的に企業目線でどうか
グローバルなプラットフォーマーのプライバシー遵守の動き
Appleはつとにプライバシー重視をアピール transparency reportにも積極的
googleは無料サービスにも責任があると言っている googleだけで完結できるものではない
10のコアファイルの6番目
個人的には顔認証だけじゃないと思うが、例えば顔認証 能力と限界について文章化する 100%担保されるものではない
何らかの誤認識は発生するが、課題解決に必要ならそれを消費者にきちんと周知する
MSはプラットフォーマーとして最終的な責任を取り切れない部分がある
プライバシーから人権に議論のターゲットが移っている気がする
アメリカは明確に人種差別等へつながることを恐れている
某タクシー会社のカメラの問題 外見的性と実際の性の違い LGBT的な話は個人情報を離れた課題になる
デジタルにおける人権が避けて通れない時代になってくる
メディアとのコミュニケーションが不十分で、いいことをやっているのにそう取られないリスク
自分たちのお客様の先にいる人など
privacy by designではなくhuman rights by designの時代へ
顔認証はどうしても人種バイアスが出てくる ゼロにはならない
誤認識した人間に対する保護の考えとかも重要
グレーゾーンのガバナンス、サプライチェーンのガバナンスをどう証明するか(してもらうか)
バリューチェーンで考えないと信頼を担保できない
「業界」という枠組みがもはや崩壊している時代になっている
ルール形成の担い手を保護することも重要
今どこを見ているか、視線もある種のセンシティブな情報 グレーゾーンが広がる部分はある
単なる上司の決済だけでは済まない その際に法務・内部統制・CSR等どうやって対処していくか
事業部門と戦う部署もいて、ジョブローテーションが重要になってくる
ビジネスモデルキャンパス、pict図の中で個人情報の流れも示すことになっている
事業開発プロセス、value propositionを明確にする 課題の中に個人情報も入ってくる 割と重要な宿題
デザインの世界でも倫理が問われるらしい
データサイエンティストはデータに飢えている そのモチベーションを抑えるガバナンスは必要
ただモチベーションをつぶしてしまうと進化もない
AIポリシーをみんな似たようなのを作り出すとか、形式主義に走る可能性も
組織の役割設計やモニタリング KPIマネジメントとか事業戦略を考えながら進めていく
一番重要なのは価値観の共有
経団連の適正データ経営宣言
最近経団連加盟企業がやらかしてくれたので作ることになった
山本:鈴木先生と芸風は違うが同じ思いを持っていると思う
データ保護を基本的人権として捉えることが重要
データが勝手に独り歩きする data double 例:内定辞退率
こう捉えることが必ずしもビジネスを阻害しないと思っている
日本の個人情報保護法は過剰保護、過小保護の部分がある
個人の世界と集合の世界を一旦切り分けるべきではないか 切り分け方も論争になるとは思うが
集合(ある種の匿名)の世界は個人とは別の論理が必要になるのではないか 本人関与よりもセキュリティ・ガバナンスが重要になる
集合の世界に個人の世界を持ち込むとスタックするし、逆はなんでもありになる
スコアリングに関する本人関与をできるようにすべきでは
利用停止等については見直しが入るが、訂正請求が含まれていない
評価については訂正の対象に入っていないのが果たして良いのかどうか 今後事実と評価の境界が融解していく
本人の意図しないスコアがずっと残ってしまうのはいかがなものか
インセンティブ付与の話 企業におけるガバナンス的規律
違反行為が内に潜っていってしまう 内定辞退率も報道が出なければ何年も続いていたかもしれない
GDPR83条2項 ガバナンスをやっていれば制裁金軽減するよと言っている
ちゃんとやっている企業に対して処分を軽減するといった対応も必要ではないか
同意絶対主義への批判
自己決定尊重と同意絶対主義はイコールではないのではないか
情報銀行では「同意しないことに決定する」ような仕組み 個々の情報のコントロールを他人に委ねる AIエージェントもそう
データポータビリティは大きな自己決定
「生活保護と同じ額を払うので生活を全監視する」は、仮に同意したとして許されるのか?ある種の自己決定の放棄、奴隷になる
憲法17条は奴隷的取り扱いの禁止 本人が同意・希望しても奴隷になることはできない
もはや個人情報保護法だけの問題ではない
体系的なデータ保護法制が必要 安全保障、競争保護、消費者保護などが絡み合った 2000個問題を超える問題になる
石井:個人情報保護法の理念の話
プライバシー権として文言上法律の中にきちんと定めるかどうかは論点になる
個人としては、十分性認定も受けたので日本法の考え方を対外的に伝えていかなくてはいけないという時期にしている
憲法上の位置づけを明確にするためにプライバシー権を法律に入れてしまうのに賛成
方の制定過程にそぐわないものでもないと思う
佐脇:価値基軸の話 憲法に密着しながら説明していくというのは対外的にもそういう見せ方をしている実態はある
法律をどうその文脈で理解するか
日本のこの種の規制法の癖がある ものすごいつまんないものにする作法がある
淡々と「何をしていい」「何をしてはいけない」「これさえ守れば日本は平和」という発想で法律が書かれて何の味わいもない
それがある場合とない場合で企業がやることがどう変わるか それに耐えられない人が大半でほぼ拒否される
なのでつまらない法律しかできない 私に見える日本の現状はそう
鈴木:1条~3条をつなげてしまえばどうかという議論は前からある
GDPR・十分性認定をとった段階で、向こうは人権具体化法としてGDPRがある
日本も憲法直下の法律とするのならデータ社会の脅威、適正利用というところをてこにして権利構成する形にすべき
目的に泳いでいるだけの空疎なものに終わる
議論が分かれるところではあるが、自分は自由権的に捉えたい
そうしないと開示請求権など裸の権利が次々に入ってくる データポータビリティのときどうする?
体系的になっていない権利がバラバラにできていくのってどうなのか 根っこの権利はなんなのかを理論付けしないと
民法的規律というのはその規律でやってきた 大陸法の系譜からするとそうしないと憲法的権利にはならない
若目田:全体のコンセプトを申し上げるようなマインドはない
企業はほんわかしたものでは判断ができない 具体的に示してもらいたい ガイドライン出してほしいという要求はある
oerational excellence的な部分は文化として残っている
中途半端な利活用と言わず規制だけであっても、割と明確に整理されていてアーキテクチャが理解できる形になっていれば一つのアイデア
一国民として 医療に関しては特別法で対応する話
ふるさと納税・クラウドファンディングが割とうまく行っている
共感させる形でデータを求めれば立地なデータが流れてくる可能性はあると思う
transformationしなければいけないのは、人にガイドを頼むのを脱却していくこと そこに貢献したい
山本:憲法との位置づけを明確化していくのは一層重要になる
EUは基本権憲章8条に規定があって、GDPRはそこの具体化法
アメリカは「憲法のスコープは対政府で、憲法の効力は民間に及ばない」という文化がある
アメリカのFPF、privacy constitutional for moment 憲法的議論が必要だという意見は出てきている
digital civil rights デジタル市民権という考え方
デモクラシーや市民権の関係でかなり賛成的に議論が出てきている
個人の権利利益のところに人権と書くとかいくつか意見がある 情報自己決定権の考え方を自分は支持している
例:男女雇用機会均等法 憲法の理念に則りと書いている
そこまでやるかどうかは別として、そういう書き方もある
憲法論と結びつくというイメージがメディアにもない みんな憲法=9条のイメージしかない
日本の憲法論の不幸 憲法そのもののあり方が問われなおされている
?:パーソナルデータの受託をやっている立場
実際の日本産業の実態は海外に売りぬくこと 日本の暑苦しい規制を考えるとグローバルに出たくなる
・経団連がグローバル・中小零細をどう考えているのか
・マイデータジャパンの話 もっとシンプルにしないと浸透しない 合理的な考え方の補助線が必要
・情報漏れを前提とした制度設計
若目田:中小企業向けの経団連のサポート オープンイノベーションという観点では動いているものはある
企業の負担・コストのサポートは残念ながら議論はこれから
個人的には決済事業者におけるカード番号の管理、PCI-DSS・実行計画のような方向に動くのではないか
国民の安全を睨んで担保していく そこもビジネスになるようなことはあるのではないか
鈴木:憲法と接続しろというのは、行政から脱却して司法法に転換すべきという意味も含んでいる
民事法・サービス約款との接続をどうするのかという話も出てくる
法曹向け・プロフェッショナル向けに作るべきだと思っている わかりやすくするのは入門書の役割
わかりやすさにおもねった結果専門家でもわからないようなものになるぐらいなら、理論をきっちり作り込むべき
むしろ債権法並みの量になるべきだと思っている
山本:データ基本権的な捉え方はシンプル化の方向に行くと思う
今は過度に形式主義化しているので、細かいルールとして捉えられて複雑化していた
?:匿名化・仮名化等、いくらやっても結局紐付けしたデータはちょっとしたことで漏れる ヒューマンエラー
しかし利活用を控えるような形 萎縮させてはいけない
ルール設計をしっかりすれば難しいことがわかりやすくなるところがあると思う
佐脇:全部を布石切れないというのはルールである以上仕方ないが、想定外のものにもルールを当てはめて解決せざるを得ない
事務局の立場として政策として提示しているものはさほどない
多くのケースにおいては、最低限の基準を守るということがない、基準を理解して批判することがないために過剰な事が起きる
法律に書くと世の中が変わることもあるので、そこまで考えて政策をわかりやすく示す必要はあるのかもしれない
一方で基本的なクリアな原則、シンプルなものが身についていればいいとすると「それでは心配だ」という人もいっぱいいる
心がなくても「これさえ守ればいい」という人たちにおもねった法律になっているのは事実
よしいえ:医療情報をやるとどうしても憲法論に踏み込まざるを得ない
プライバシー権という実体権があって、それを守らないと憲法違反になるという話にはならないと思う
抽象的権利 自己情報コントロール権にいろんな概念が入りすぎている気がする
立法するうえで指導指針がなきゃいけない 具体的な権利となると違うんじゃないか そこの整理が足りていない
机上の空論的学説に囚われすぎていないか
山本:70年代ぐらいから自己情報コントロール権の話が出てきた
結局「自分の情報を人を見て出し分ける」話だよねというふうに理解している
コントロールという言葉は強すぎると思っているので「情報自己決定権」という表現を使っている
今の情報環境の中で本当に自己決定できているのか 疑わしいところはある
企業のインセンティブはデータ取りたい むしろ個人に対しディスインセンティブさせる方向に動いている
よしいえ:対国家という考えなのか否かで違う話 ただ医療情報だと対民間と対国家は全く一緒の形にならないと困る
鈴木:住基ネット違憲訴訟 マイナンバーが登場した際に6項目に渡って憲法判断が示されて、それにしたがって制度設計している
我々が主張しているのは、権利規定の創設によって憲法の理念を法律レベルできっちり打ち込めということ
しっかりと権利構成していくことに注力して、そこから請求権なりを設計していったらどうか
?:processor側も直接規制されたりするのか?
SaaSだと、controllerのはずの企業側が中がよくわからないということは起こる
鈴木:基本権云々関係ない リクナビ事件が提起したところ
一つのビジネスを複数事業者が支える際に、業務モデルが分割される 自社が関係するところだけ利用目的を出せばいい
故にcontrollerとprocessorの関係は業務で決まるのではないか
大半は委託モデルで整理できるかもしれないが、controller側がモデルを作り込まないとサービスしちゃいけない
processorを責めるのではなくcontrollerを徹底的に責めていけばいい
人権侵害的なものだけを徹底的に叩いて、それ以外はゆるくやればいい
?:SaaSだとprocessor側の立場がむしろ強い controllerとして振る舞いたくても情報が出てこない
鈴木:個人情報保護法上立入検査権等は認められているが、本人に対して責任が取れない部分は委員会の関与を認めるべき
それが国外にあるとなると次の話になる
高木浩光:大綱の骨子について
利用停止の要件緩和の件 個人の権利利益の侵害があった場合というのでは当初の想定よりもだいぶ狭くなっているのでは
5月のヒアリングの段階ではプロファイリングの一部対応になるということになっていた
今の話だと「勝手にプロファイリングされた」「不当に選別された」に対する拒否と言えるのかどうか
山本先生も「評価の訂正」の問題を挙げられていた
元々行政機関向けの訂正規定をそのまま持ってきているので色々問題がある
鈴木:27年法よりは範囲が広がる
佐脇:個人があえて自分の我を通す裏付けはなにか 現行法の中での法制的議論として出てくる
あえて言うと、個人の何の権利に対して 法律に何も書いてない
事業者は法律を守っている限り社会に迷惑はかけていないという立て付けの法律になっている
個人はどういう場合に事業者に対し請求が認められるのだろうかという話になってくる
そこで一番抽象的に表現したのが「権利侵害の恐れ」という形 あとはガイドライン行政になるのではないかと思っている
まっとうな商売をしている事業者に対しどのような場合に請求ができるのか
ご不満があればいくらでもご不満を表明していただければ
高木:そこはぜひ要件として入る表現にするべきでは
石井:リクナビ事件はまさにプロファイリングの問題
法律の条文に落とし込んだときに出てくるのが利用停止・訂正といった形になると理解している
自分の情報の取り扱いの結果不利な評価を受けたときに文句を言える権利はあってしかるべきではないか
高木:リクナビ対応はどれとどれという形で国会で問われるのではないか
