情報銀行・PDSの再考(上)
IISEでは、個人のデータを個人がコントロールする非中央集権型の“web3”のソートリーダーシップ活動を推進しています。今回はIISE調査研究部主幹研究員の小泉 雄介が、個人による自己情報コントロールを狙いとして政府主導で導入された「情報銀行」制度があまり普及しなかった理由を点検し、デジタルIDウォレット普及に向けたポイントを解説します。
「情報銀行」という言葉をご存じだろうか。情報銀行は、日本政府などがデータ駆動型経済を推進するために提唱したサービス・制度であり、「GAFAなどの米国ビッグテックに奪われた日本人の個人データを日本の手に取り戻す」ことも一つの狙いとして立ち上げられた官民連携プロジェクトである。情報銀行の公的なスキームは2018年に開始されたが、2024年12月現在で登録されているサービスは2つのみであり、その役割を終えつつあるのかもしれない。しかし、情報銀行やPDS(Personal Data Store)の名の下で目指された「自己情報コントロール」の考え方は、Web3やデジタルIDウォレットにおける「SSI(自己主権型ID)」の考え方につながるものであり、決して色褪せてはいない[1]。
本稿では、情報銀行やPDSを巡る官民のこれまでの取組みと、関連する海外動向を概観し、情報銀行・PDSがあまり普及しなかった理由と、デジタルIDウォレットの普及に向けた「教訓」について考察したい。
1.情報銀行の歴史
1.1 情報銀行とは
情報銀行とは、どのようなものなのだろうか。2016年9月の内閣官房IT総合戦略室の資料では、情報銀行のイメージ図とともに、次のように記載されている[2]。
「情報銀行:個⼈との契約等に基づき、個⼈のデータを安全に蓄積・管理するとともに、個⼈に代わり妥当性を判断の上、業界や事業者にデータを提供し、個⼈に便益を還元する事業者」
つまり、消費者が個人情報を「預ける」と、一定の「運用」が行われ、利息のように個人に「便益・報酬」が還ってくるので、情報「銀行」というネーミングが取られている訳である。
上図では情報銀行と併せて「PDS」も図示されているが、情報銀行はPDS(Personal Data Store)を発展させたサービスである。PDSは、消費者が自分の個人情報をPCや携帯電話などで安全に管理して、様々な民間・公共サービスで利用できるようにするためのツールである。すなわち、「自己情報コントロール」を実現するためのツールであり、今で言えばデジタルIDウォレットの先駆けとなるものである。
1.2 情報銀行と官民データ活用推進基本法
情報銀行のコンセプト自体は2000年代にさかのぼる。2000年代後半から2010年代にかけて、次世代電子商取引推進行議会(ECOM)の情報銀行タスクフォースや、日本情報経済社会推進協会(JIPDEC)の情報銀行研究会、インフォメーションバンクコンソーシアム等が主体となって検討が進められてきた。
情報銀行が一躍注目を集めるようになったのは、2016年制定の「官民データ活用推進基本法」である。
その当時、2015年5月に公布された改正個人情報保護法の第1条で「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護する」と謳われていたのだが、全体としては個人情報の「利活用」の要素は少なく、あえて挙げれば匿名加工情報が新設された程度であった。そのため、自民党IT戦略特命委員会が中心となって、「官民データ活用推進基本法案」が検討され、議員立法の形で2016年10月に国会に提出され、同年12月7日に成立した。この「官民データ活用推進基本法」では、インターネット等を通じて流通する大量の情報を効果的に活用することにより、日本が直面する社会課題の解決に資する環境を整備することが目指された。そして、同基本法の下の個別法として、個人情報利活用に関連して以下のものが検討された。
・ 「代理機関」[3]に関連した法律
・ 個人の自己情報コントロールを促進する法律(情報銀行関連)
前者については個人情報保護法の特別法として「次世代医療基盤法」が2017年5月に公布された。後者については法律化されなかったが、後述の「情報信託機能(情報銀行)の認定に係る指針」が策定された。
この官民データ活用推進基本法と並行して、政府のIT総合戦略本部でも個人情報の利活用のために「情報銀行」や「PDS(Personal Data Store)」について重点的に検討がなされた(下表)。
2.情報銀行の認定指針と認定事業者
官民データ活用推進基本法の第12条(個人の関与の下での多様な主体による官民データの適正な活用)の規定に基づき、2017年11月に設置されたのが、総務省・経済産業省共催の「情報信託機能の認定スキームの在り方に関する検討会」である。同検討会では、民間企業が情報銀行(情報信託機能)の認定を第三者機関から受けるに当たっての認定スキームや認定基準が検討された。
これまでに何回か認定指針が発行・改訂されており、初版である「情報信託機能の認定に係る指針Ver1.0」は2018年6月に、最新版である「情報信託機能の認定に係る指針Ver3.0」は2023年7月に発行された。認定指針Ver2.2までは情報銀行で要配慮個人情報を取扱うことができなかったが、認定指針Ver3.0では健康・医療分野の要配慮個人情報に限って取扱うことを許可している。
なお、認定指針の下での事業者による認定取得は任意であり、認定がなくても自主的に情報銀行事業を行うことは可能であるが、認定を受けることにより事業者の適格性(経営面、業務能力等)や情報セキュリティ・プライバシー保護、ガバナンス体制などについて第三者機関の「お墨付き」を得ていることを対外的に示すことができるため、認定には一定のメリットがあるとされている。
この認定指針の下で認定を受けたことのある事業者は2024年12月時点で累計8社であり、そのうち認定がアクティブな事業者は2社となっている[4]。制度の立ち上げから6年が経過したが、いま一つ認定事業者数が伸びていないのが現状である。
3.情報銀行などのパーソナルデータ利用サービスに対する消費者の意識
2022年1月にはNTTデータ経営研究所がNTTコム リサーチとの共同調査「パーソナルデータの活用に関する一般消費者の意識調査」を公表したが、この調査結果には、情報銀行などのパーソナルデータ利用サービスに対する消費者側の「消極的」な意識・利用意向が如実に表れている。
まず、情報銀行などの「パーソナルデータを活用したサービスの利用経験・今後の利用意向」については、「利用したことはなく、今後も利用したいとは思わない」との回答が66.3%であり、「利用したことはないが、今後利用したい」「利用したことはあり、今後も利用したい」という肯定的な回答は合計で31.1%であった。
また、「パーソナルデータを活用したサービスを選択する条件(競合優位性)」については、回答の多い順に、「あてはまるものはない」(38.6%)、「安全管理措置の確保」(22.1%)、「報酬の高さ」(10.9%)であった。すなわち、運営企業側がどのような便宜を図ったり安全管理措置を行ったとしても利用したがらない利用者が4割弱であり、情報銀行のウリであるはずの「報酬の高さ」(金銭、ポイント等)を第一に挙げる利用者は1割に過ぎなかった。
ここまで、ややネガティブな話になってしまったが、海外では情報銀行に類した取組みはあるのだろうか。「情報銀行・PDSの再考(下)」では海外での取組みを概観し、情報銀行・PDSがあまり普及しなかった理由と、デジタルIDウォレットの普及に向けた示唆について検討したい。
[1] また、例えばEUのデータガバナンス法(2022年5月制定)では個人データを提供する個人とデータ利用企業を仲介する「データ仲介サービス」に関する規定が設けられるなど、情報銀行の考え方は他国にも広がりつつある。
[2] 2019年6月には情報銀行(情報利用信用銀行)の定義が見直され、「個人とのデータ活用に関する契約等に基づき、PDS等のシステムを活用して個人のデータを管理するとともに、個人の指示又は予め指定した条件に基づき個人に代わり妥当性を判断の上(または、提供の可否について個別に個人の確認を得る場合もある)、データを第三者(他の事業者)に提供する事業(データの提供・活用に関する便益は、データ活用者から直接的または間接的に本人に還元される)」となっている。
(https://cio.go.jp/sites/default/files/uploads/documents/sankou.pdf)。
[3] 「代理機関」は、IT総合戦略本部の「情報通信技術(IT)の利活用に関する制度整備検討会」の下で個人情報保護法の特例措置として検討された機関であり、医療分野や交通分野、災害分野において「多様かつ大量の個人情報をITを利活用して適切かつ効率的に収集、分析し、その利用の推進を図る機関(いわゆる代理機関(仮称))の制度的枠組みを整備し、様々な社会的課題の解決に向け、個人情報を含めた情報の利用を適切に促進することが必要」とされた。
[4] 出典は一般財団法人日本IT団体連盟(https://tpdms.jp/certified/)。表中で、「P認定」とは情報銀行サービス開始に先立って立案した計画、運営・実行体制が認定基準に適合しているサービスであることを認定するものであり、「通常認定」を目指さねばならず、P認定の更新は不可となっている。また、認定の有効期間で「☆」となっているものは、新型コロナ対応のため有効期間を延長しているものである。
[5]DNP健康データ利活用サービス FitStats
保険データバンクサービス(仮称)
paspit
地域型情報銀行サービス(仮称)
「データ信託」サービス(仮称)
情報提供サービス(仮称)
マイデータ・バンク「MEY」
地域振興プラットフォーム(仮称)
小泉 雄介
国際社会経済研究所 調査研究部 主幹研究員
新しい技術の導入が人間社会にもたらす影響という観点から、プライバシー/個人情報保護、国民ID/マイナンバー制度、海外デジタル政策等についての調査研究に長年従事している。
https://www.i-ise.com/jp/about/researcher/yusuke-koizumi.html
〈主な所属団体〉
・電子情報技術産業協会(JEITA)個人データ保護専門委員会 客員
・日本セキュリティ・マネジメント学会 編集部会員
〈主な著書・論文〉
・『国民 ID 導入に向けた取り組み』(共著)
・『現代人のプライバシー』(共著)
・「『国民IDの原則』の素描:選択の自由を手放さないために」
・「中央銀行デジタル通貨における個人情報保護と日本での発行モデル」
・「感情認識の倫理的側面:データ化される個人の終着点」
・「『快適で安全』な監視社会 ― 個人の自由が保障されなくていいのか」