データポータビリティ権について

EUではGDPRによって個人のためにデータ保護を強化し統合を意図した規則が定められておりますが、一方で「個人データをあるデータ管理者(コントローラー)から別のデータ管理者(コントローラー)へ移行する権利」いわゆるデータポータビリティ権について、第29条作業部会が取りまとめ政策提言等を行っております。

EU データポータビリティの権利に関するガイドライン

つまり、プライバシーという概念だけではなく、データポータビリティという概念を同時に整理しております。そこで、データポータビリティという概念を整理する上で、提供されたデータの範囲を明らかにします。つまり以下の3点に要約されます。

  1. データ主体より主体的にかつ認識しつつ提供されたデータ(メールアドレス、ユーザー名、年齢など)
  2. サービス又は機器を利用することによりデータ主体により提供された観察データ(検索履歴、交通データ、位置データ、心拍データなど)
  3. 提供されたデータを元にデータ管理者が作成した推定データや派生データ(クレジットスコアの割り当てなど)

結論として、1.はもとより、2.のデータ主体の活動に関する個人データ又は個人の行為の観察による個人データは含まれますが、例えば個人化やレコメンデーション、ユーザーの分類またはプロファイリングの過程などのデータ取り扱いの一環として作成した個人データ、いわゆる3.のデータ管理者が作成した推定データや派生データまでは、データポータビリティ権の範囲に含めないものとして整理されております。

さて、教育データ利活用について1月25日予算委員会質疑で以下の点を指摘されておりました。

  • 個人情報保護法違反のおそれが高い
  • 内心の自由(憲法19条)やプライバシー権侵害のおそれ
  • (13条)や教育の平等(26条)をうたった憲法違反のおそれ
  • プロファイリングや信用スコアリングの危険およびマイナンバー法違反のおそれ

こうした、いわゆるプライバシー権などの違反とする対立軸だけでなく、データポータービリティ権という視点から、どこまでを対象とすべか、データ管理者(コントローラー)の義務の範囲を整理していくことも必要だと感じます。更にデータポータビリティの権利は、個人が不正行為と見なしうる方法で、又は知的財産権を侵害する方法で、情報を悪用するための権利ではないという配慮もあります。もちろんEUに従う必要はなく、これが正しいというわけでもありません、日本としてあるべき姿を専門家や市民を巻き込み議論を重ねて作る必要があると感じます。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ