ブログ
【スマートシティ連載企画】第6回 スマートシティ×データ利活用
2021.05.26
TMI総合法律事務所 スマートシティプラクティスグループ
弁護士・NY州弁護士・情報処理安全確保支援士
TMIプライバシー&セキュリティコンサルティング株式会社取締役
寺門 峻佑
スマートシティでのデータ連携の仕組み
スマートシティにおいては、行政、物流、交通、観光、防災、医療、福祉、教育、金融、環境、その他民間サービスなどの各種サービスを連携し、ワンストップで提供すべく、分野横断のプラットフォームにて、各種サービスで得られるデータを連携・共有することが必要です。また、共有されるビッグデータを解析し、住民サービスの向上や関連ビジネスの開発に活用することも想定されます。そのためには、これを実現するプラットフォーム、すなわち、各種サービス相互間において、必要なときに必要なデータを共有できる、オープンに相互接続可能なデータ連携基盤の構築が必須となります。
内閣府に設置されたスーパーシティ/スマートシティの相互運⽤性の確保等に関する検討会における「スーパーシティ/スマートシティの相互運⽤性の確保等に関する検討会 最終報告書」(令和2年9月)では、概要、以下のデータ連携基盤が想定されています。
(出典)内閣府スーパーシティ/スマートシティの相互運⽤性の確保等に関する検討会「スーパーシティ/スマートシティの相互運⽤性の確保等に関する検討会 最終報告書」(令和2年9月)15頁より抜粋
同最終報告書によれば、データ連携基盤は、ビルディングブロック⽅式(ある程度まとまった機能ごとのかたまり)を⽤いて構成され、オープンAPIを通じてデータの集積・配信を行うものとされ、連携・共有されるデータの仲介には、様々な主体が提供するデータを集約し、適切な処理を経た上で公開する仕組みであるブローカーという機能が用いられる、とされています。データ仲介の方法としては、データ蓄積方式(ブローカー内にデータを蓄積し、一元的に管理)と、データ分散方式(ブローカー内にデータを蓄積せず、データが必要となる際に都度データ提供者へのアクセスを行う)があるところ、スーパーシティでは、リアルタイム性を重視し、かつ、データの集積へのプライバシーリスクを考慮し、原則、データ分散方式を採用するとされています。
スマートシティでのデータ連携における主な法的論点
(1)個人情報保護法・プライバシーの課題
スマートシティでは、データ連携基盤を通じて、様々な主体が、様々なデータを連携・共有することになりますが、その中には、多様なパーソナルデータが含まれることが想定されます。そこで、後述のとおり、そのようなパーソナルデータの利用に関し、個人情報保護法やプライバシーの課題を検討する必要があります。
(2)データの権利関係の課題
また、様々な主体が連携・共有するデータの権利関係の課題もあります。すなわち、日本法上、データは所有権等の物権の対象とはならないため、当該データがプログラム又はデータベースの著作物(著作権法10条1項9号、12条の2)や、営業秘密及び限定提供データ(不正競争防止法2条6項及び7項)などにより保護される場合は別として、当事者間で合意しない限り、データの権利関係を確定できません。
そこで、一般には、契約によってデータの利用権限を定めることが重要であり、スマートシティにおいても、API利用規約やその他のデータ取引契約において、関係者間における連携データの内容、形式、利用条件(目的外利用の禁止や第三者提供の禁止など)、提供データ及び派生データに関する知的財産権の帰属、連携データの適法性の表明保証などを明確に合意しておくことが必要になります。
(3)官民データ連携の課題
さらに、スマートシティでは、官民問わず様々な主体において、行政における各種データ・民間事業者の有するデータなどを連携することになるため、官民データ連携の課題もあります。
(出典)内閣府デジタル・ガバメント閣僚会議「データ戦略タスクフォース第一次とりまとめ(案)」(令和2年12月21日)20頁より抜粋
現行の日本の個人情報保護法制は、適用主体ごとに、個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法、各自治体の個人情報保護条例に分かれており、その所管も異なっています。かかる状況で、規制の不均衡・不整合がデータ利活用の支障となる事例が顕在化し、官民問わない新たな個人データ取扱いの監視監督体制の確立の必要性が指摘されていました。
そこで、このような状況を解消するため、令和3年2月9日に「デジタル社会の形成を図るための関係法律の整備に関する法律案」が閣議決定され、その一部である個人情報保護法の改正案が公表され、第204回通常国会で議論されてきたところでしたが、令和3年5月12日の国会において、同法案が可決、成立し、同年5月19日に公布されました。
この、「デジタル社会の形成を図るための関係法律の整備に関する法律」(以下「デジタル社会形成整備法」といいます。)により改正された個人情報保護法の施行日は、行政機関及び独立行政法人等に関する規律の規定や学術研究機関等に対する適用除外規定の見直し等(デジタル社会形成整備法第50条による改正)については、公布日から起算して1年を超えない範囲内において政令で定める日、地方公共団体に関する規律の規定(デジタル社会形成整備法第51条による改正)については公布日から起算して2年を超えない範囲内において政令で定める日とされています。
個人情報保護法・プライバシーの課題
本稿では、個人情報保護法・プライバシーの課題を、基本的には現行の個人情報の保護に関する法律(以下「法」といいます。)をベースに、民間企業の視点から、更に解説します。
(1)基本的な考え方
ア 個人情報該当性
スマートシティにおいて取扱われるデータが特定の個人を識別することができる場合(他の情報と容易に照合することで特定個人の識別に繋がる場合を含みます)、個人情報に該当し、その取扱いには個人情報保護法の遵守が必要になります(法2条1項参照)。単体では特定の個人を識別できないCookie、IDFA/AAID等の広告識別子及びPOSデータ等も、住民の氏名・住所等と共通ID等で紐づけて管理される場合には、個人情報と評価されます。スマートシティの展開を考えた場合には、データ連携基盤における各種データの突合・解析も念頭に置く必要があり、その意味では、個人と関連するあらゆるデータは個人情報に該当し得ることを前提とした対応が必要になってくると考えられます。
イ データの取得
スマートシティのデータ連携基盤を通じたデータ連携にあたっては、各種サービス提供者によるデータの取得・利用が前提となりますが、個人情報の取得にあたっては、利用目的の特定(法15条1項)及び通知又は公表(法18条1項)が必要とされます。このため、各種サービス提供者において、プライバシーポリシー等を準備する必要がありますが、その際には、自社サービスにおける個人情報の具体的利用態様はもちろん、データ連携基盤へのデータ連携・他者とのデータ共有も見据えて、住民目線での明確・具体的な説明を行うことが必要です。説明の粒度については明確な基準はなく、ご相談を受けることも多いですが、個人情報保護法の観点だけではなく、住民のプライバシー保護の観点から、住民が個人情報の利用に不安を感じないように、透明性ある説明を心掛けることが肝要になります。
既に各種サービス提供者において一定のプライバシーポリシーは準備されているはずですので、スマートシティへの参画にあたり、これを改定することがタスクになるでしょう。デジタルマーケティングへの取り組みの一環で、DMP(Data Management Platform)の活用を検討する企業が増えており、これに伴う自社のデータ利活用態様の変化に応じたプライバシーポリシー修正や本人同意の再取得などの対応をサポートすることが多いですが、スマートシティへの参画にあたってもまさに同様の対処が必要になると思われます。各種サービス提供者自身がこの点に留意すると共に、データ連携基盤の運営主体側においても、参画事業者において必要となる対応を把握し、情報提供することが成功の鍵になると考えられます。
ウ データの連携・共有
個人データの第三者提供には原則として本人同意が必要とされます(法23条1項)ので、データ連携基盤を通じたデータの連携・共有にあたっても、住民本人の同意を取得することが原則となります。各種サービス提供者において、前述した住民目線での明確・具体的な説明を添えたプライバシーポリシー等により本人の同意を取得する方法とデータ連携基盤の機能として、データ連携・共有の都度、本人同意を取得する方法、およびその併用が考えられます。
なお、個人情報保護法上、個人データの委託提供(法23条5項1号)や個人データの共同利用(法23条5項3号)については本人同意の取得が不要となります。しかしながら、スマートシティでは、データ連携・共有を受ける各種サービス提供者がそれぞれ独自のデータ利用目的を有することが通常であること、データ連携・共有する者の範囲も広範にわたることが想定されること、住民のプライバシーへの配慮やデータ流通への不安感除去の観点を考慮に入れる必要があること等からすると、現実的には、本人同意を取得することを基本線に据えて、制度設計する必要があるものと考えられます。
エ データの安全管理
スマートシティのデータ連携基盤においては、大量の個人データを連携・共有することが想定されるため、データの安全管理も重要となります。個人情報保護法上も、安全管理措置義務(法20条)や委託先の管理監督義務(法22条)が課されており、その一環として、責任体制等の確立、運用規程等の策定、PDCAサイクルの確立、事業継続計画(BCP)の策定、適切な契約書のドラフティングなどが必要になります。
近時、サプライチェーンのサイバーセキュリティリスクマネジメントの重要性が強調されており、特に、外部委託先管理は重要になります。外部委託先管理の局面では、以下の3点がポイントになります。
- 委託先の選定:発注業務におけるリスクに見合う情報セキュリティ体制の存在を検証。
- 委託契約:委託先に要求する安全な情報管理体制を契約上の義務として明文化。
- 委託先監査:委託契約に従った情報管理が履行されているかの監査の実施。
これらについて、外部委託先のセキュリティチェックリスト等に基づく精査の仕組みづくりをすることが必要になると考えられます。
(2)PIAの重要性
上記のとおり、スマートシティでは、データの流れに応じたクリアランス施策の検討が必要になります。個人データの利用は、住民の想定しない取扱いや、漏えい事故などが発生すると、重大なプライバシーへの影響が想定されます。
そこで、個人データを連携・共有・利用する前に、データの取得・利用・管理・提供のプロセスを一気通貫でレビューし、データの流れを可視化したうえで(我々はこれをデータマッピングと呼んでいます。)、データのライフサイクルの各局面でのプライバシーリスクを分析し、システム等の構築及びデータガバナンス体制の整備を行うことが重要になります。これは、PIA(プライバシー影響評価)と呼ばれ、近時、注目されている手法となります。
これにより、取扱いデータを抜け漏れなく洗い出し、個人データの取得・利用・管理・提供の各局面における個人情報保護法・プライバシーの観点からの適合性を検証すること、更なるデータ利活用の方法を模索すること、意図しない形での個人データの不正利用を抑止すること、セキュアなデータガバナンス体制の構築等が実現できます。
(3)令和2年改正個人情報保護法
なお、2020年6月12日に公布され、2022年4月1日より施行予定の改正個人情報保護法 (以下「令和2年改正個人情報保護法」といいます。)においては、新たに個人関連情報の概念(単体では特定の個人を識別できないCookie、IDFA/AAID等の広告識別子及びPOSデータ等がこれに含まれます。)が創設され、個人関連情報の提供者は、その提供にあたり、提供先が個人関連情報を個人データとして取得する(例えば、Cookieと、氏名等が含まれるユーザアカウント情報とを紐づけて管理するなど)ことが想定されるときは、提供先において予めそのことについて本人同意を取得していること等の確認義務を負うとされます(改正法26条の2参照)。
このため、令和2年改正個人情報保護法の施行後は、各事業者は、単体では特定の個人を識別できないCookie等についても、自社において個人データと紐づけて利用しているか又は提供先において当該利用態様が想定されるかを検証のうえ、プライバシーポリシー等において適切な利用目的を示して(例えばCookieをアカウント情報と紐づけて管理のうえユーザの趣味趣向に沿ったサービスを提供することなどを明記する対応が想定されます。)、本人同意を取得する対応又は当該対応が済んでいるかの確認をすることが必要になります。
この令和2年改正個人情報保護法により、より一層、前述したPIAやデータマッピングの実施が重要になるものと考えられます。
【スマートシティ連載企画】ごあいさつ・コンテンツ一覧はこちら
Member
PROFILE