アイディア農場プロジェクト:プライバシー、情報セキュリティ(2019/12/9更新、2019/10/14開始)

「このページは通読用のものではありません。
ここにあるのは、思考の断片、アイディアの種です。
毎日ひとつを取り上げて読み、それに対して考えを巡らせてください。
そこから、新しいアイディアが芽を吹き、成長することを期待します。」(野口悠紀雄さん)

 :::::::::::::::::::::::::::::

■プライバシー系

*個人情報保護法第一条には、「個人の権利利益を保護することを目的とする」旨の記載がある。 ここでいう「個人の権利利益」とは何を指すのか? ガイドライン(通則編)には記載がなかった。

*「法目的を明確化する」ことが大切。目的が曖昧なままだと、手段がぶれる。

手段をルール化し、守らせても、目的を達成できない。

最先端の公共政策学は、この事態に対して、どんな解決策を持っているのだろうか。

そもそも、想定している以上に、「目的」の設定が難しいのだろう。

*GDPR第1条(主題および目的)第2項「本規則は自然人の基本権ならびに自由、および特に個人データの保護の権利を保護するものとする。」

*確かに、SaaSサービスを提供している会社で、法令が改正されることでそのサービスの仕様を変えなければいけない時は、ビジネスチャンスになり得る。 GDPRや改正個人情報保護法だけではなく、他の法令改正にも言える。 https://twitter.com/tetsuyaoi2tmi/status/1019974047751233536


大井哲也 弁護士 @tetsuyaoi2tmi
@kanegoonta プロセッサーが、コントローラーからのGDPRコンサルティングを求められるケースはよく発生しますね。ホントは、コントローラーの責任のはずですが、多くの案件を抱えているプロセッサーに知見がたまるので。


*レッシグは、会社が個人のデータを、会社にとっての資産だとみなしているという事実の存在を、指摘しているのではないか。

なぜ、個人のデータが資産であるとみなされることに違和感を感じるのか?

もしくは、なぜ、個人のデータが資産であるとみなされることに、違和感を感じなくなっているのか?

レッシグの計画に潜んでいる考えが、鈴木先生の考えと似ているように感じた。

レッシグ「私の計画としては、まず、データを資産とみなして個人の同意によって利用の可否を決める仕組みを前提とした解決策が広がるのを抑えたい。」

GDPRでの記載を確認してみる。

*個人情報の利用目的について、国に言われるまでもなく、以下を各事業で定め、徹底していく。 

①許可すべきデータの用途
②禁止すべきデータの用途
③人々が判断すべきデータの用途 

また、事業戦略ストーリーと整合するように、上記を決める。

*【レッシグさんが語る個人情報の利用目的の3分類】
①許可すべきデータの用途
②禁止すべきデータの用途
③人々が判断すべきデータの用途

ユーザーは限定合理性を有することに、サービス提供者は自覚的になって、対応する。

*自動決定が悪になりうることとを、人類は具体的に何をきっかけに学習したのか?

日本ではどんな事例があれば、悪になりうることを理解してもらいやすいのか?

自動決定が当たり前になれば、自動決定されていることに大半の人は気付けなくなるだろう。不可逆的に進行する。

*自動決定が悪になりうることとを、人はどのようなきっかけで学習したのか? 過去に具体的な事例があったのか? それとも、想像なのか?


・プライバシーに関して、法的により深く突っ込んだ内容の記載がある。プライバシー、パーソナルデータの利活用、情報セキュリティ周りの方々は必読の内容。 板倉陽一郎「プライバシーに関する契約についての考察」2019/09/02 




内容も興味深いが、「プライバシーに関する「契約」」に関する切り口に網羅性があり、特に、その切り口そのものに興味を引かれた。


■情報セキュリティ

▼NIST プライバシーフレームワークをどう見るか
https://www.seko-law.com/entry/nist_pf

「NISTが先日、プライバシーフレームワークの discussion draft versionを出しました。最近は GDPR(2018年) CCPA(2019年) と毎年大きなイベントが続いているプライバシー領域で、2020年以降注目すべきトピック」


*
・Cybersecurity Framework
・Privacy Framework

*企業において、第2階層と第3階層の両方を理解している人が多くないように感じる。 第2階層人材を採用して第3階層に近づけていくのか、第3階層人材を採用して第2階層に近づけていくのか、どちらが効果的なのだろうか。

*【プライバシー領域のプレイヤーの3階層】
第1階層:学者
第2階層:ビジネスロイヤー
第3階層:セキュリティクラスタ

「世界各国でぽこぽこと微妙に違うプライバシー法が乱立している現状を踏まえると、「NISTのPrivacy Frameworkを土台とし、各Subcategoryについて関連する各国法規制が整理された資料」が誕生する可能性には大いに期待しています」


▼行政が出すフレームワーク
*この手の情報セキュリティ関連の行政が出すフレームワークは、何種類あって、全体の構成はどうなっているのか? 個人情報のものを含めて、全体像がつかめない。

【最新】経産省「サイバー・フィジカル・セキュリティ対策フレームワーク」を読み解く(木村 匠さんの記事)(2019年5月20日の記事)
https://www.secure-sketch.com/blog/cyber-physical-security-framework

▼CISSP

*この記事も面白い。参考書はいずれも英語だが、CISSPなるものは、英語教材で準備し、英語で受験する方がいいのだろうか。少し調べてみよう。 https://www.seko-law.com/entry/cissp/

▼情報セキュリティ
*「データ活用に関する法的な判断ができる人材の育成に着手したと明らかにした。中間持ち株会社リクルートの法務室内にデータビジネス専門の新組織を設置した。」 リクルートキャリア、データ活用判断へ法務人材育成 https://r.nikkei.com/article/DGXMZO50797290Z01C19A0XQH000?s=4

「法務担当者にデータを活用したサービスの仕組みを理解させ、サービスの適法性を判断できるようにする。」

*
・データを活用したサービスの仕組みの理解
・サービスの適法性の判断


■データ流通

「日・米・欧3極間のデータ流通の現状」の図は、全体像がざっくり把握できて有益。 令和元年10月4日「個人データに関する国際的なデータ流通の 枠組みに係る進捗について」個人情報保護委員会事務局 https://www.ppc.go.jp/files/pdf/1004_shiryou2.pdf


■CCPA

* 伊藤 誠吾(弁護士/アメリカ留学中) @saygo_it
【CCPA執行規則案の主な内容(日本語)】
JETROビジネス短信

同案は、(1)消費者への通知、(2)開示・削除請求を処理するための方法・手順、(3)開示・削除請求に関する本人確認方法、(4)未成年者に関する特別ルール、(5)差別的取り扱いの禁止に関する事項の詳細を定めている


▼ザッカーバーグ氏に聞く フェイスブックCEO単独インタビュー


https://www.nikkei.com/article/DGXMZO50194180V20C19A9MM8000/

「かつてはまず製品をつくって提供し、問題があればその時点でやめる。そういうやり方をしてきた。いまは先手を打たなければだめだ」 
「問題起きて対処、もう通じず」
「例えばネット上の不適切なコンテンツに対し、通報を待って対処するのではなく危険な情報を発見する人工知能(AI)をつくり迅速に取り除くことをめざす。」

▼個人情報それ自体に経済的価値はあるのか? プラットフォーマーとデータエコノミー https://moneyzine.jp/article/detail/216480

「考え方案は、個人情報それ自体に「経済的価値」を認め、その提供が「経済上の利益」の提供となることを前提とし、消費者においても自身の個人情報がサービスを受けることへの「対価」として認識していることを前提としている。」

個人情報の提供を「対価」ととらえることで、本人の権利にどのような変化が生じるのか、生じないのかが分からない。

それとも、単に、個人情報の提供が、経済上の利益の提供になることを前提にすると、ビッグデータの利活用が進まないというだけなのか? つまり、個人に対価を払わないと、個人が個人情報を提供してくれなくなるからという理由だけなのか?

▼「個人情報 格付け社会を考える」(視点・論点)
2019年10月08日 (火)
https://www.nhk.or.jp/kaisetsu-blog/400/413708.html

「信用スコア」に関するNHKの記事。信用スコアとGDPRにおけるプロファイリングとはどんな関係性があるのか?

「GDPRと呼ばれるEUのデータ保護法は、AIの予測評価のみで、融資や採用など、個人にとって重要な決定を行うことを禁止しています。AIのつけたスコアを参考にしてもよいが、最終的には人間が責任をもって判断しなさい、という趣旨によるものです。」


「本人の明示的な同意などにより例外も許容されていますが、その場合にも、人間の介在を求める権利や、決定に異議を唱える権利など、本人関与の手続きを保障しています。」


「EUでは、本人がスコアに挑戦し、修正するメカニズムが重視されているわけです。また、GDPRには、スコアリングのプロセスを透明化し、できる限りブラックボックス化を防ごうという態度もみられます。また、アメリカには、スコアの利用範囲を制限するような州法があります。」


以上


この記事が気に入ったらサポートをしてみませんか?