クラウド事業者による匿名データの第三者提供 それって適法?

投稿日:

世界で5億人超が利用するクラウドサービス「Dropbox」が、研究目的でノースウェスタン大学に利用者データを提供していた事件。日本の匿名加工情報制度に当てはめながら、法律と倫理の問題について考えてみます。

Dropboxがノースウェスタン大学に16,000人分の匿名データを提供

Dropboxの情報管理体制は大丈夫?

2018年7月、Dropbox社が、1,000校・16,000人の科学者たちによるDropbox上のフォルダアクセスデータ等をノースウェスタン大学に提供。同大学はこのデータを用いてチームコラボレーションに関する研究を実施し、これを「ハーバード・ビジネスレビュー」誌上で発表 しました。

しかし、このデータ提供の方法に関する誌面での説明が「Dropboxがパーソナルデータを無断で第三者である大学に提供した」ように読めたことから、同社の情報管理ポリシーに対する疑問の声が上がりました。

Dropbox社はこれに対し、HBRに掲載された記事の表現にいくつかの訂正を入れた上で、米メディア「WIRED」の質問に対し、以下のように答えています。

Dropboxの担当者いわく、自分のデータが研究に使われることへのユーザー同意の根拠は、プライヴァシーポリシーと利用規約だけだったという。

「われわれはNICO【編集部中:ノースウェスタン大学】への共有前にデータセットをランダム化、ハッシュ化しました。個人を特定できるいかなる情報も含まないよう、それをさらに広範囲でグループ化しています」と、Dropboxは詳細を説明している。「加えて、NICOの研究パートナーたちは厳格な秘密保持義務で縛られています」

データを研究に使うことについて、ユーザーは利用規約とプライバシーポリシーで「同意」をしている し、ハッシュ化等により 個人を特定できないようにした上での匿名データ提供であった、という説明です。

米国企業による米国大学への情報提供であり、昨今話題のGDPRは関係がないとはいえ、匿名データを提供する同意をどのように取得していたのかに興味をもち、調べてみることにしました。

Dropboxプライバシーポリシーには「研究目的での第三者への匿名データ提供」に関する文言は発見できず

ところが、当編集部がDropboxのプライバシーポリシー(発効日:2018年5月25日)を確認した限りでは、この「研究目的での利用の同意」と解釈できそうな文言は見当たりません。かろうじて関係していると言えそうなのが、フォルダアクセスログの情報収集について触れた以下の引用部です。

Usage information. We collect information related to how you use the Services, including actions you take in your account (like sharing, editing, viewing, and moving files or folders). We use this information to improve our Services, develop new services and features, and protect Dropbox users. Please refer to our FAQ for more information about how we use this usage information to improve our Services.

利用に関する情報:Dropbox は、アカウントで行った操作(ファイルまたはフォルダの共有、編集、表示、移動など)を含む、お客様による本サービスの利用状況に関連した情報を収集します。Dropbox は、本サービスの改善、新しいサービスや機能の開発、Dropbox ユーザーの保護のためにこの情報を使用します。本サービス改善のための情報の使用方法については、よくある質問をご覧ください。

この表記により、フォルダアクセスデータを「収集」し、サービス改善、新サービス・機能開発等の目的でDropbox社が「使用」することについての同意は認められるのでしょう。

しかし、これを 研究目的で自社以外の第三者に「提供」することについて言及した文言は、利用規約・プライバシーポリシーともに発見できませんでした

日本の事業者が匿名加工情報を大学に提供する場合に必要となる手続き

本件について、今後Dropboxが法的にどのような検討・整理をし理解を得ていくのかは不明ですが、クラウド事業者が、自らが取り扱っている顧客のデータの利活用を目的に、匿名化を条件として第三者に提供できるのか は、頻出の論点です。

この点、日本の個人情報保護法においては、パーソナルデータの柔軟な活用を目指して導入された 匿名加工情報制度 があります(参考:個人情報保護委員会 匿名加工情報制度について)。この制度では、

  1. 基準に従った適切な加工(法第36条1項、規則第19条)
  2. 安全管理措置(法第36条第2項及び第6項)
  3. 公表(法第36条第3項及び第4項)
  4. 識別行為の禁止(法第36条第5項、第38条)

を遵守すれば、本人の同意を得ることなく、匿名加工情報を第三者へ提供することが可能 となっています。これらを遵守すれば、クラウド事業者が研究目的で大学に匿名加工情報を提供することは可能ということになります。

実際に、こうした匿名加工情報の提供を行い、ウェブサイトで公表する企業も増えてきました。個人的な観測範囲では、銀行や保険会社等の金融機関、医療関係機関などでの公表例を多く目にします。

イオン銀行の事例 https://www.aeonbank.co.jp/privacy/rule/tokumei.html

通信事業者においては、位置情報などの特定可能性の高い情報を匿名加工していることもあり、図入りでわかりやすく公表している事例も確認できます。

ソフトバンクグループの事例 https://www.softbank.jp/corp/group/sbm/privacy/utilization/

匿名加工情報の利活用につきまとう倫理の問題

米国において、事業者による匿名データの利活用が認められるのか否かが問題となったDropboxの事件。

米国にも、FTCが定める要件を満たした非識別化データ(De-identified data)は個人データには当たらない、とする法的な基準はあり、Dropboxもこの一線は守っているのではないかと推測します。しかし、この問題を最初に取り上げた米国「WIRED」誌は、「倫理的な是非を問う(WAS IT ETHICAL?)」と、法律ではなく倫理の問題として評論しました。

一方日本では、数年に渡る議論の末、匿名加工情報制度が創設されました。これもその立法過程において「技術的に安全が保証される匿名化などあるのか?」といった疑問を残したまま、政策主導で導入された制度であることは否定できず、いまも議論がある制度です。

そしてこのような実例が明るみになってみると、法律と制度はそれを許しても、倫理はそれを許すのかという議論はまた別問題である、ということも実感させてくれます。

(橋詰)