2015年3月13日に開催されたJIPDEC主催のID連携トラストフレームワーク・シンポジウムの講演で使ったスライドです。講演では39枚目までで時間切れになってしまい、VRMやPdBとトラストフレームワークの関係をお話できなくて残念でした。ただし、この部分は客観的な教科書的な内容です。興味がある方はお読みいただければありがたいです。

1. データ利用における
個人情報の保護
中川裕志
東京大学
情報基盤センター
＆情報理工学系研究科 数理情報学専攻
JIPDEC ID 連携トラストフレームワーク
2015/3/13

2. 次から次へと問題が起こる：その１
 以下の議論では、データ構造は下のように想定します。
 （個人名，疑似ID（生年月日、住所など）, それ以外のデータ）
 （中川裕志， Ｘ年Ｙ月Ｚ日生, 東京-新宿2015.1.1 15:30)
 Suica事件：JR東日本がSuicaデータを個人名を消す程度
の処理で日立に売却しようとした。
プライバシーを不安視する声が大きくなり、結局売却は中止。
技術的にはどの範囲まで個人情報を削除すればよいかが
問題
 個人の同意に基づくトラストフレームワークだと起きない問題（た
だし、トラストフレームワークの参加者のコンプライアンスが破れな
いという条件の下で）

3. 個人名と乗車履歴が完全分離できれば、乗車履歴だ
けを売却しても良さそうに見えるのだが、…
行動履歴は個人情報と見なせるので簡単ではない。

4. 機微情報などの疑似ID化の問題
• 機微情報やその他情報の個人ＩＤ化、疑似ID化
– 機微情報から個人特定への糸口が見つかる状況
– 例１：行動履歴
• 詳細な時刻、地理精度、あるいは長期間にわたる行動履
歴は、その情報自体から個人特定可能になる
– 例２：ゲノム情報
• ゲノム情報は極めて個人識別能力が高い。
– 個人の特定はできないにしても。
• 通常は、ゲノム情報＋個人の疑似ID（あるいはIDそのもの）
＋病歴などの機微情報までデータベース化されている
• ある人の毛髪などを入手できれば、ゲノムデータベースを
用いて、個人特定可能になるだろう。

5. 行動履歴は個人情報と見なせるので簡単ではない。
DVで夫に転居先を知らせていない妻の居住地が分
かるなどのケースもありえる。
トラストフレームワークの参加企業の中にDV夫が入っていて
も妻の情報取得できないように個人データ保護できますか？
つまり、トラストフレームワークの参加企業内部に敵対者あ
るいは利益相反者がいない状態をどうやって保証するかとい
う問題！

6. 次から次へと問題が起こる：その２
日本の会社が傘下のライフサイエンス企業を米国
ファンドへ売却中国資本の台湾の会社に売却さ
れる可能性あり（診療データを含む）日本人の診
療データが個人情報保護に問題のある国に渡るか
もしれない。
個人データが企業売却によって丸ごと越境
会社が個人データを他国に売却するような越境がまず問
題
この例のように会社の資産としての個人データを会社ご
と他国の企業に売却してしまう場合は、どうするか？

7. 次から次へと問題が起こる：その２
 この例のように会社の資産としての個人データを会社ごと他
国の企業に売却してしまう場合は、どうするか？
 法律で防ぐしかないか、あるいはデータと会社を分離して売却？会
社の価値がなくなってしまうが。。。。。
 技術的には、個人データが他のデータと分離不可能な状態で混
ざってしまうことをどう防ぐかが問題。
 トラストフレームワークが多国籍化した場合の問題はないか？
 トラストフレームワーク参加企業が個人データを保存できる場合、
その参加企業自体が売却などで他国に移動してしまうことが問題。
 トラストフレームワーク契約では、参加企業の国籍変更やトラ
ストフレームワーク脱退時に個人データ消去を確実に行う契
約にしないと危ない。

8. 個人データ越境に係わる問題
EUからは十分性のない国への個人データの越
境は禁止
さて、某社がEU域内での自社製品である車の
走行データを収集したとします。
行動履歴が個人情報であるというEUの立場か
らすると、この走行データは某社が本社を持つ
日本に持ち出せません。

9. 個人データ越境に係わる問題
 しかし、データはEU域内の計算サーバに乗せたまま、本社から処理
プログラムや計算環境をEUに持ち込んで処理したら、処理結果は持
ち出せるかという問題が生じます。
 処理結果が完全に個人再識別ができない統計データなら持ち出せそう
です。
 ただし、個人情報保護法の十分でない日本に存在する本社の支社や子
会社がＥＵ域内にある場合
 EU市民の個人データをEU域内であっても保持したり処理したりできるの
か？
  ＥＵのデータ保護規則改正案ではＥＵの法律の域外適用
 トラストフレームワークだとトラストフレームワーク自体がEUとの間で
契約を締結する必要がある。つまり、トラストフレームワークはEU相
手に仕事したければ、EU内に強力なパートナーを持つ必要有り。
  標準契約条項

10. 日本がＥＵから個人情報法制が十分
でないと言われている問題：十分性
• 第三者機関（個人情報保護委員会の設置）と
個人情報保護法の改正で十分性を得ようとし
ています。
– 3月10日に個人情報保護法の改正案が閣議決定
されましたが。。。

11. 十分性が無い状態での対策
• EUデータ保護指令があるからという理由で、最近はEU域
内のデータセンターに設備を置いて、情報を収集する企業
が増えています。
– 現地に支社
– 現地のクラウドの利用
– 現地法律事務所などの世話にならなくてはならないのでコスト
大
•
ヨーロッパに支社・現地法人などを持つ日本企業が、収集
したＥＵ居住者の個人データを日本に越境移転し、日本国
内一括管理したい。
• ①全てのデータ主体（＝収集源の個人）に説明して同意を
もらう

12. 十分性が無い状態での対策
• ②現地側事業所と日本側本社が、ＥＵ当局との間で、
標準契約条項（SCC:Standard Contractual Clauses）に
基づいた契約を締結する。
• 個別企業ではSCCを結べる。費用は数十万円からという情報もあるが、
EUの法律家を雇うので結構かかるかもしれない。
トラストフレームワークから見た問題点
トラストフレームワークをSCCの契約主体とできるか？
ＥＵ域内の事業者との間でグローバルなトラストフレーム
ワークを構築するとどうなるか？
これらはまだ前例がないのが、SCCの対象はEU外に設立
されたデータ管理者とされているので、可能性はあるかも
しれない。

13. EU域内からのネットワーク経由情報収
集
• 設備（Webサーバなど）は日本国内にしか存在しない
• EU域内の個人に対してインターネットを経由してサービ
スを提供
 そのサービス利用のための個人情報（ID、パスワード、
個人情報、利用履歴など）を収集・活用したいが
 現行の指令でもＥＵ法律の「域外適用」の条項がある。
– EU域外の企業がEU居住者のデータ処理を行う場合もEUの
法律が適用される

14. EU域内からのネットワーク経由情報収集
• 今後EUデータ保護指令はより強くなり規則化さ
れる
• EU域内に設備や事業所を持たなくても対応を迫
られる可能性が大きい。

15. EU域内からでクラウドを使う場合
• Amazon EC2やマイクロソフト Azureなどの世界
展開しているクラウドを使うこと自体が域外適用
と見なされるだろう
– 十分性のない日本企業のクラウドは論外かも
– ＥＵのクラウドを使うしかないか（ＥＵによいクラウド
があるか）
• 日本の企業の国際競争力が弱体化
– ＥＵの個人データ保護を外交の一部と考えている

16. • 域外持ち出しのためにはもう一つ拘束的企業準則
（ BCR: Binding Corporate Rules）という方法がある。
– いまのところ日本企業（外資系グローバル企業の日本法
人などを除く）での取得例は不明。
– そもそも億（円）のオーダーの費用が必要。
• ＥＵ内の企業も含めてトラストフレームワークを形成し
て、そのトラストフレームワークとＥＵとの契約の形態
に持ち込めないか？
 ＢＣＲは多国籍企業を対象にした仕組みなので、日本の企業を構成
員とするトラストフレームワーク、あるいはＥＵ域内の企業も参加したト
ラストフレームワークが多国籍機業という認定を受けられるか？
 無理筋かも

17. 補遺：個人データ越境に係わる問題
 そもそもデータの場所をどうやって定義するのか？
 個人データの場合
第一義的には、個人の国籍あるいは居住場所だが
データ収集した場所（EU居住者が日本にいるときの行動履
歴は？）
 企業が収集した個人データの場合（クラウドの場合など）
企業のデータセンターの所在地？ 分散ストレージ？
企業の支社所在地
企業の本社所在地？ どこかの島かも．．．．

18. 次から次へと問題が起こる：その３
Google Suggest 訴訟：自分の名前でGoogle検
索すると、犯罪関連の単語が出るので、関連
単語のリンク削除要求：
東京地裁で2件は1審一勝一敗。東京高裁の2審
ではいずれもGoogle勝ち
Googleの公共性は個人の不利益より公益性が高
いという判断。

19. 次から次へと問題が起こる
 Google 訴訟：自分の名前でGoogle検索すると、過去の犯
罪関連の単語がしつこく出る
 スペインの裁判所では判断できず、EU司法裁判所で「忘
れられる権利」に基づきGoogle敗訴が確定（EUではこれで
決着かつ、この判例がEU全域で有効）
 http://eumag.jp/question/f0714/01
 ＥＵ域内ではGoogleは利用者からの個人データ消去の要求に
応じるようになった
 忘れられる権利の執行は、報道の自由とのからみで非常に難
しい
 Googleが対象となったメディアなどに削除記事を通知する...と
しているのは、せっかく忘れかけた個人情報を帰って公に晒し
てしまい、かえってよくないとEUは主張している

20. 次から次へと問題が起こる
 Google訴訟再び：
 犯罪に関わっているかのような検索結果が出てくるのはプライバ
シー侵害だとして、日本人男性がグーグルの米国本社に検索結
果の削除を求めていた仮処分申請で、東京地裁は(2014年10月）
９日、検索結果の一部の削除を命じる決定を出した
人格権侵害の表題やスニペッ
トは削除せよ。
人格権の侵害が検索エンジ
ンの公共利益に勝るとした。
リンク削除を要請しているかど
うか不明
技術的な詳細に触れていな
いようだ

21. 続報
• グーグルが検索結果削除 「裁判所の決定尊重」
• インターネット検索サイト「グーグル」に表示される不名誉な
内容の投稿記事で日本人男性の人格権が侵害されていると
して、東京地裁が検索結果の一部削除を命じた仮処分で、
グーグル日本法人は２２日、「裁判所の決定を尊重して仮処
分命令に従う」として検索結果を削除する方針を明らかにした。
男性側の神田弁護士は２２日までに、削除対象の大部分が
既に表示されなくなっていることを確認した。
• グーグル側が削除に応じない場合に制裁金の支払いを求
める「間接強制」を２１日に地裁に申し立てたが、神田弁護士
は「完全削除が確認できれば、間接強制の申し立ては取り下
げることになる」としている。
• 2014/10/22 17:47 【共同通信】

22. 検索エンジンからの個人データ消去を巡る問題
法律的問題
 「国民の知る権利」とプライバシーに係わる
「忘れられる権利」とのバランスの上で消去すべきかどうか
決める
ケース毎に決めるとなると厄介。
検索エンジン側としては、消費者から出された全ての消
去要求を受け付けるべきかの判断が難しい
 削除したリンクをオフラインで残しておけば、後に必要に
なったときに使える
 政府からの犯罪やテロなどの捜査要請など

23. 削除要求への技術的対策
あるいは研究テーマ
• 忘れられる権利 ｖｓ 知る権利
– 法務担当者はケース毎に判断するのが人手とコストがか
かりすぎ！
 判例、および削除要求者からの要求にうまく対処でき
たケースを正例、失敗したケースを負例 として分類
器を機械学習
このテーマは大量の教師データを持つ組織しか研究できない。
 分類器がうまく動けば法務担当者の労力を大幅に削
減できる。

24. 検索エンジンからの個人データ消去を巡る問題
法律的問題
機微情報
機微情報が検索エンジンで晒されることが問題だ
とすると
そもそもこの問題には機微情報が何かという定義
がはっきりしない部分がある。
犯罪歴、病歴、家族構成、収入、身体的特徴などは機
微情報であろうが、
行動履歴が機微情報かどうか？通学している学校
名は機微情報か？

25. そもそも、プライバシーって何？
インターネットが大衆化する以前
• プライバシーとは人々が密集して生活している都市のよ
うな空間において「一人にしておいてもらう権利」という
概念で捉えられていた。以下のように2つのフェーズに
分解
•
– a. 個人の不可侵な領域を設定。例えば、物理的には個人
の身体、情報的には個人に係わるデータ。
• 例えば身体の不可侵さを示すため衣服を着用して身体的プライバ
シーを守っているという考え方。
– b. その領域内の一部ないしは全部を他人との同意に基づ
き、ある対価と引き替えに他人に知らしめることができる。
•

26. – a. 個人の不可侵な領域を設定。例えば、物理的には個人
の身体、情報的には個人に係わるデータ。
• 例えば身体の不可侵さを示すため衣服を着用して身体的プライバ
シーを守っているという考え方。
– b. その領域内の一部ないしは全部を他人との同意に基づ
き、ある対価と引き替えに他人に知らしめることができる。
•
• aの設定は個人の意志に基づいて決まる。その個人に
関しては、時間や場所によって異なり、状況依存的であ
る。
– 例えば、サラリーマン金融ショップに出入りしたことは、通常
はプライバシーではないかもしれないが、その人が就職活
動中だとかなり高いプライバシーかもしれない。
• bにおいては、同意に基づくという部分が本質的であり、
同意に基づかない場合はプライバシー侵害となる。

27. インターネットが大衆化後
• プライバシーの焦点はインターネット上を流通
するデータ主体の個人データに移ってきた。
• 「一人にしておいてもらう権利」はインターネッ
トにおける個人という文脈では、
– 「忘れられる権利(the right to be forgotten)」 ある
いは
– 「追跡拒否権(Don’t Track: DNT)」という考え方に変
容する。

28. インターネットが大衆化後
• 「忘れられる権利」は、検索エンジンによって自分
のことが書かれているWebページにアクセスでき
ないようにリンクを切断させることである。
• 「追跡拒否権」は検索エンジンが自分のことが記
載されたページを現時点以降に収集しないように
要請し実施させることである。
– DNTはGoogleの裁判で問題になったプロファイリング
に関していえば、プロファイル拒否権という見方ができ
る。
– ただし、opt-outとの関係が微妙

29. 検索エンジン
リンクを切って、Aのペー
ジへアクセスできないよう
にする：忘れられる権利
個人：A
Aのデータが出ているペー
ジを収集しないようにす
る：追跡拒否権

30. • 図においては「忘れられる権利」と「追跡拒否権」は個人Aから
検索エンジンに対する具体的要請である。
• 「忘れられる権利」をもう少し抽象化して適用範囲を拡げようと
すると、
– データ主体である個人が自身に関する個人データのコントロールを
できる「自己情報コントロール権」をプライバシー権とする考え方に
なる。
• 「自己情報コントロール権」
– 自己情報の開示、訂正、削除を要求し、
– それを不当ではない対価で実現させることである。
– もし、これらの要求に応じられない場合は、その正当な理由を請求
者に知らせなければならない。
• この権利は1980年に制定されたOECDプライバシーガイドライ
ンの8原則のひとつで第13条に記載されている

31. 再続報
• Google to give all users clearer information
about data use
• David Meyer Jan. 30, 2015 - 6:01 AM PST
• https://gigaom.com/2015/01/30/google-
promises-better-privacy-information-to-settle-
uk-case/

32. Google、ＵＫに妥協
 どのような利用者情報が保持されているか、および保持の理由が明
確に分かるプライバシーポリシーに改正
 利用者が自己情報コントロールなどの権利を行使するために必要に
なる情報を提供する
 E-メールなどに関するプライバシーポリシーの改訂
 匿名の利用者のIDの収集とその目的をプライバシーポリシーの明記
 Googleのサービスを組み込んでいるサードパーティのサービス（広告
など）利用者に対して、利用者個人データの利用基準を考慮し、デー
タ収集に同意を必要とする
 Google社員に通知と同意 （ notice and consent ）の必要性を徹底す
る

33. アメリカでも潮目が変わった？
• オバマ大統領が言いっぱなしになっていた消
費者権利章典の法制化に言及（実現性は不
透明）
• 米国Yahoo!(CEO)のMarissa Mayerが収集した
個人データの保護や使用法の透明性の確保
がユーザの信頼を得るために重要と主張
– http://www.thedrum.com/news/2015/01/23/yah
oo-s-marissa-mayer-some-internet-vendors-are-
not-being-transparent-enough-
data?fb_ref=Default

34. Yahoo CEO Marissa Mayer 曰く
• 制御された同意を重視。
• つまり、個人データがどのように使われ、どのように移
転されていくかについてデータ主体の個人が認識する
こと。
• データがあれば何をやっても良いというわけではない
– これはあくまで米国Yahooの話であることに注意されたい。

35. 追加：アメリカでも潮目が変わった？
• オバマ大統領が言いっぱなしになっていた消費者
権利章典の法制化に向けて動いた
• Administration Discussion Draft: Consumer Privacy
Bill of Rights Act of 2015
• そこでは個人情報とは
– 特定の個人に連結された若しくは連結可能であるデータ
又は
ある個人の端末に連結されたデータ
– さらに具体例が列挙されていてリアリティ感がありあり

36. Administration Discussion Draft: Consumer
Privacy Bill of Rights Act of 2015
• SEC. 4. Definitions.
• (a) “Personal data”
• (1) In General.—“Personal data” means any data
that are under the control of a covered entity（デー
タ事業者）, not otherwise generally available to the
public through lawful means, and are linked, or as a
practical matter linkable by the covered entity, to a
specific individual（個人）, or linked to a device （ス
マホなど）that is associated with or routinely used
by an individual, including but not limited to—

37. • (A) the first name (or initial) and last
• (B) a postal or email address;
• (C) a telephone or fax number;
• (D) a social security number, tax identification
number, passport number, driver’s license
number, or any other unique government-issued
identification number;
• (E) any biometric identifier, such as a fingerprint
or voice print;

38. • (F) any unique persistent identifier,
• including a number or alphanumeric string that uniquely
identifies a networked device;
• commercially issued identification numbers and service
account numbers,
• such as a financial account number, credit card or debit
card number, health care account number,
• retail account number; unique vehicle identifiers, including
Vehicle Identification Numbers or license plate numbers;
• or any required security code, access code,
• or password that is necessary to access an individual’s
service account;
• (G) unique identifiers or other uniquely assigned or
descriptive information about personal computing or
communication devices; or

39. Cavoukian：Privacy by Design
1. Proactive not Reactive: 事後の尻ぬぐいではなく事前に対策を;
2. Privacy 配慮はデフォールト;
3. Privacy 対応策は制度、システム設計時に;
4. ゼロサムではなく win-win : Privacy対策をしっかりやれば、デー
タ業者側にも得になる;
5. End-to-End Security: データが活きている間はいつもProtection;
6. 可視性と透明性: 公開性を確保;
7. User Privacyを中心に考えるべし.

40. Schőnbergerの主張
• プライバシーに関しては「同意」万能の風潮があるのだが、それに
対立する意見がSchőnbergerから述べられた
– IAPP Data Protection Congress in Brussels での Viktor Mayer-
Schönberger （「ビッグデータの正体」の著者）のKeynote address
http://www.youtube.com/watch?v=40fSCZaLv_A
• 文書としての出展は"Data Protection Principles for the 21st
Century;”
• http://www.oii.ox.ac.uk/publications/Data_Protection_Principles_f
or_the_21st_Century.pdf
• 上記の文書で触れられている1980年制定のOECDのData
Protection Guideline† 改正案とコメントがSchönbergerの主張
• 以下にその要点を述べる。
†各国のデータ保護法制の基礎になってきた。

41. データ業者が個人情報を収集、利用する
ことについての同意の形骸化
Webサービスに参加、あるいはWebアプリやソフ
トのダウンロード時に、「同意します」を儀式的に
クリックするが、その一方で、契約文書を読んだ
人は果たしてどれほどいるだろうか？
例えば、2008年の調査では、このような契約文
書（プライバシー・ポリシー）をちゃんと読むと、年
間244時間（＝30日間のフル仕事）になってしま
う。
多くの契約文書はほとんどコピペだとも言われる！

42. データ業者が個人情報を収集、利用する
ことについての同意の形骸化
 プライバシー・ポリシーはサービスやアプリの利用者
に自己情報開示の度合いを選ぶ権利を与えていない。
さらに第3者への利用者データの転移の状況も教えな
いという。そして、「同意」しなきゃサービスやアプリは
使えないだけだよ、というある意味非常に不平等な契
約。
 （付合契約というらしい）
 こんなわけで、本来は「通知と同意」(notice and
consent)という枠組みは有効なプライバシー保護を与
えるはずだったのに、現状では全く非効率ないし実質
的に機能しない

43. 同意から説明責任へ
 データ主体の個人の同意が実効性がなくなっているので、別のアプ
ローチが必要
 本質的に個人データ収集時には、どのような利用方法があるか予測
しきれない。
 同意の内容は「データ利用法を限定しない包括的」かつ「データ事業者
側に有利なもの」にならざるを得ない。
 別の方向性
 データ事業者（個人データ収集とデータマイニングなどの利用を行う
業者）が、収集、利用について説明責任(accountability)を持つ。
 データ源の個人からの要求による説明責任の実行は法律で担保す
る。
 この説明責任の実行がデータ事業者が個人データの利用以前、以
後を通じてできるのかどうかがキーポイント。(利用方法変更の問題）
 しかし、企業の説明責任をどう法制化するかが問題
 このお目付役が個人情報保護委員会であるべきではないか

44. トラストフレームワークでは？
 Schőnbergerの主張における「企業」はトラストフレームワーク
の執行主体であるメディエータになる。
 メディエータは、トラストフレームワークの個人データ使用条件に
関して個人と企業の摺り合わせを行い、条件のマッチングができ
た場合、個人データを企業に使わせるという執行を行う。
 Schőnbergerの言う「説明責任」の実行がデータ事業者
 個人データの利用以前、以後を通じてできるのかどうか
 企業の説明責任をどう法制化するか
 トラストフレームワークの場合、説明責任の主体はトラストフ
レームワークの執行主体であるメディエータか？
 だとすると、メディエイターの規約や行動を個人情報保護委
員会がチェックするという体制が有力な解。

45. Cavoukian のカウンターの提案
Personal Data Ecosystem：ＰＤＥ
情報サイロと呼ばれる寡占状態を打破して、
個人に自己データの利用決定権を取り戻し、
他人（あるいはデータ事業者）と契約により
シェアする
個人による自己データ管理のアイデアに賛同
し、それをシェアするための新規ツール、技
術、ポリシーを共有するデータ事業者の集合
をＰＤＥと呼ぶ

46. Cavoukian のカウンターの提案
Personal Data Ecosystem：ＰＤＥ
個人データ管理権が個人になることによって、新規
の方法でデータ利用することが、個人も巻き込んで
進展すれば、個人、データ事業者の双方にとって
win-win という主張
理想的ではあるが、特に知識を持たない一般の個人が
それだけの判断ができるかどうか疑問なので
個人とデータ事業者の間にデータ仲介者：メディエータ
ツールはＶＲＭ(Vender Relation Management)に関連した
ものであり、仲介者はVRMにおける第4者（Fourth Party)
になるかもしれない（ドク・サールズのインテンション・エコ
ノミー）

47. Vender Relation Management:VRM
• PbDに近いアイデアをVRMが提唱している。
– インテンション・エコノミー（ドク・サールズ著）2013
• データ源の個人のプライバシー保護に関して
は、PbDとVRMは驚くほど似た主張をしている
– VRMはマーケティングの話なので、元々の分野
が違う。
– ＰｂＤの実現形態としてVRM。ただし、両者は完全
一致するわけではない

48. 付合契約
• 契約当事者の一方（企業側）が契約内容の全てを決め
る契約であって、もう一方（個人顧客）は、(1)その契約
に同意するか、(2)サービスを受けないか、の二者択一
しかできない契約
– Webサービスやソフトライセンスはほとんど全てこの契約に
なっており、 「同意」は不平等。だから、 Schönbergerは企業
側のaccountabilityを重視する。
– Accountabilityが実効性があるのは法律の裏付けがある場
合のみだろう  法制度改革にスピードは？
– 個人顧客側のパワーを上げるための仕掛けとしてのフレー
ムネットワークという考え方

49. ステークホルダーの関係図
第2者
企業
第3者
クレジットカード会社
など
第1者 個人
顧客
弱い
従来ないし
現在の構図

50. ステークホルダーの関係図
第2者
企業
VRM:
第4者：メディエイター
個人顧客の
代理人
第1者 個人
顧客
ＶＲＭの提唱する構図
個人側から自分の個人データ
を選んだ企業に使わせてやる、
という契約の仕方
当然、個人データの管理権は
個人側にある
A right to data portabilityに対応
する仕掛け
従来ないし
現在の構図

51. フォースパーティ：第4者
• 図にある第4者（メディエイター）はVRM提案の概
念で、顧客の利益を代表し、その代理人として機
能する存在。以下の特性を持つ
– トラストフレームワークの実装にも関係が深い部分。
1. 取引相手企業の置き換え可能性
2. サービスのポータビリティ
3. データの使用企業を顧客が選べる（ポータビリティ）
 これがPbDの実装と見なせる部分
4. 独立性
5. 説明責任（企業にaccountabilityを要求する）

52. パーソナル・ドットコムの2011年の
「所有者データ契約」
• これがPbDのアイデアの実装となる契約と読
み取れる
1. 個人自身が自分のデータを所有
2. 個人が他者のデータへのアクセスをコントロー
ル
3. 個人が承認した形でだけ業者はデータ利用可
4. 個人の要求による削除
完全な自己情報コントロールになっている。

53. 実現可能なストーリー
パーソナル・ドットコムの2011年の「所有者データ
契約」は完全な自己情報コントロールの実現
だが、既存のデータ処理業者には負担も大きく、抵抗
も激しいだろう。
既存の事業者が取り込むことは望み薄なので、
VRMシンパとして新規企業を巻き込むか（Project
VRM)
既存企業に対して個人は第4者を代理人として
使って、accountabilityを実現させるか
（Schönbergerの路線）
Accountabilityの実効性を法律的に担保する公の機関
として個人情報保護委員会

54. 実現可能なストーリー
 Accountabilityの実効性を法律的に担保する公の機関として個人
情報保護委員会
 データ業者のプライバシー取り扱い資格を個人情報保護委員会
が与える。
 ということは、すなわち
データ主体の個人の代理人であるVRMの第４者へのお墨付きも個
人情報保護委員会が与える
 この業務をこなせる強力な権限と実行力を持つ個人情報保護委員会が
作れるかどうか。。。。 相当大変そう  実現可能じゃないかも
 いずれにしても、世界的にはトラストフレームワークとして動
き始めている

55. この論争のまとめ
SchönbergerもCavoukianも個人データをデータ業者
がどのように蓄積し使うかをデータ源の個人が知
り、場合によっては訂正、消去させる権利（自己情
報コントロール）の実効性を重視している。
Schönbergerはデータ業者側のaccountabilityの形
を推奨。ただし、自己情報コントロールがどのタイミ
ングで発動できるかは明らかでない
ただし、データ業者としてトラストフレームワークのメディ
エイターを想定できるなら、自己情報コントロールも説
明責任も容易に実現できそう

56. この論争のまとめ
Cavoukianは個人データの管理まで含めてデータ
源の個人が持つ方向を目指す。当然、自己情報コ
ントロールの発動は任意の時刻にできる。
トラストフレームワークのメディエイターが個人データ管
理の代理人になると、メディエーターと個人の間の関係
がクリティカルになるのではないか
個人がトラストフレームワークに苦情を言う、あるいは
裁判を求める
そう言う個人からのアクションの駆け込み寺として個人情報保
護委員会が機能するかどうか。。。

57. 参考文献
• 情報処理 学会誌2015年１２月号
• 特集「パーソナルデータの利活用における技術および
各国法制度の動向」
• 執筆者はプライバシー保護の分野での著名な方々で
す。
• 法律関係では高崎晴夫、石井夏生利、森 亮二先生
• システム関係では、神嶌敏弘、佐古和恵、高橋克巳
先生
• まとめ：私

58. Lesson to take home
トラストフレームワークを自己情報コントロール
権の実装手段として考える。
個人ではなくフレームワークの枠組みで
消費者権利の実効性の向上
個人情報保護委員会とのインタフェースの設計
トラストフレームワークのグローバル化
標準契約条項（SCC）の契約母体として機能させ、十
分性への対応手段となりえないかの検討