八木橋ゼミナール第13回「パーソナルデータをめぐる世界の動向」

今回のテーマは、「パーソナルデータ」について、その動向を解説しましょう。

データの利活用の話題では、オープンデータや匿名加工など、「二次利用」の話題が多くなりますが、パーソナルデータの利活用の前提は、「自分のデータを自分が利用する」というデータの「一次利用」の視点が大事です。
パーソナルデータ活用のキーワードである「PDS（パーソナル・データ・ストア）」や「情報銀行（インフォメーション・バンク）」など「一次利用」を目指した概念や動向について、その背景も含めて解説しましょう。

まず、最近の話題の「データポータビリティ」をルール付けた「EU一般データ保護規則」から説明します。

2018年6月29日掲載

EU一般データ保護規則 GDPR

2018年5月25日から、EU（欧州連合European Union）域内の個人データ保護を規定する法として、1995年から適用されている「EUデータ保護指令（Data Protection Directive 95）」に代わり、「一般データ保護規則GDPR（General Data Protection Regulation）」（注1）が施行されました。
EU加盟国（およびEEA協定に基づきEU法の適用を受ける3カ国）（注2）に直接適用されますが、日本をはじめ、EU域外の事業者にも適用され（域外適用）、国際的な個人データの移転（越境移転）の課題もあるため（注3）、個人情報保護委員会のWebサイトに、「GDPR情報ページ」ができています。（注4）

（注1）「個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/ECを廃止する欧州議会及び理事会の2016年4月27日の規則 (EU)2016/679（一般データ保護規則）」個人情報保護委員会の日本語仮訳（注4）

（注2）アイスランド、ノルウェー、リヒテンシュタイン欧州経済領域（European Economic Area）の一部

（注3）個人情報保護委員会事務局「国際的な個人データの移転について」【資料2-2】個人情報保護委員会提出資料新戦略推進専門調査会（第14回）官民データ活用推進基本計画実行委員会（第10回）合同会議（2018年5月11日）

（注4）「GDPR情報ページ」は個人情報保護委員会 > 委員会の活動 > 国際協力 > 各国機関との連携 > GDPR
ここにあるバナー「知っていますか GDPRについて」は、個人情報保護委員会HPのトップページにもあります

「データポータビリティ」

注目すべき事項として、「データポータビリティの権利（The right to data portability）」（GDPR第20条）（注5）があります。
画期的なところは、自己に関係するパーソナルデータを、「機械可読性のある形式で受け取る権利」と、「別の管理者にデータを移行する権利」を規定しているところです。

なお、日本でこれに類似する規定は、個人情報保護法の「開示請求権」（注6）になりますが、「書面の交付による」（注7）とされていますし、「データを移行する」という概念はありません。
この「データポータビリティ」とは、自分のデータを自分で活用するための権利を規定しているのですが、この背景には、「自分のデータは自分のもの」（注8）とする世界の動向があります。

こうした動きを受け、パーソナルデータの流通の構造について、データを保有する事業者による囲い込みでなく、データを提供する側の個人のニーズを満たすために、「データポータビリティによる個人主導のデータ流通の普及」のシナリオなどが検討されています。（注9）
総務省と経済産業省で、「データポータビリティ」の在り方等についての調査検討会（注10）を開催しています。

（注5）「データ主体は、… 自己が管理者に対して提供した自己と関係する個人データを、構造化され、一般的に利用され機械可読性のある形式で受け取る権利をもち、また、その個人データの提供を受けた管理者から妨げられることなく、別の管理者に対し、それらの個人データを移行する権利を有する。」（GDPR第20条・部分）個人情報保護委員会「一般データ保護規則の条文」日本語仮訳

（注6）「本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人データの開示を請求することができる。」個人情報保護法（平成15年法律第57号）第28条

（注7）「個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に対し、政令で定める方法により、遅滞なく、当該保有個人データを開示しなければならない。」個人情報保護法第28条第2項
「政令で定める方法は、書面の交付による方法（開示の請求を行った者が同意した方法があるときは、当該方法）とする。」同施行令（平成15年政令第507号）第9条

（注8）「個人情報は誰のもの？：データポータビリティ欧米では既に、個人の選択で、自分のデータをさまざまに流用できる「データポータビリティ」という試みが進められています。…個人データは本人が提供したものであり、本人のものでもあるということです。」
経済産業省 > 政策について > 60秒解説「個人情報は誰のもの？：データポータビリティ」（2017年1月26日）

（注9）信託代理機関・PDSの活用・その他関連事例、各国の取組実例などが検討されています
経済産業省「オープンなデータ流通構造に向けた環境整備」p.37-51 産業構造審議会商務流通情報分科会情報経済小委員会分散戦略WG（第7回）資料2 事務局説明資料（2016年8月29日）

（注10）総務省「データポータビリティに関する調査検討会の開催」、経済産業省「データポータビリティに関する調査・検討会を開催します」（2017年11月20日）

「MyData」自分のデータは、自分でコントロール

「MyData」というスローガンがあります。自分のデータは、自分でコントロールしようという発想です。
政府IT本部が招集した「データ流通環境整備検討会AI、IoT時代におけるデータ活用WG」の初回で、海外事例として「MyData 2016」（於フィンランド、2016年8月31日～9月2日開催）が紹介されています。（注11）

「MyData 2016がヘルシンキで行われました。主催者はOpen Knowledge Finland、Aalto大学、フランスのシンクタンク Fing、メーンパートナーはフィンランド運輸通信省です。このほか、多くの企業・団体などがパートナーとして名を連ねています。… MyDataの基本的な考え方は、個人本人の同意に基づくデータのマネジメント、および、コントロールを実現していこうというものです。… MyData2016は、PDS（パーソナル・データ・ストア）などを用いた個人主導のデータ流通を実現していこうという趣旨の会でした。いわゆるGAFAによるデータの支配（注12）からの脱却を目指すというのが彼らの理念でした。データの主権は個人にあるということを前提に、メッセージとして共有されていたのは「自分たちの手にデータを取り戻そう」ということです。」（議事要旨より）

日本でも、一般社団法人オープン・ナレッジ・ファウンデーション・ジャパン（注13）の主催で、「MyData Japan 2017」（2017年5月19日）、「MyData Japan 2018」（2018年5月25日）が開催されています。

（注11） IT総合戦略本部データ流通環境整備検討会 AI、IoT時代におけるデータ活用WG 第1回会合議事要旨および文教大学情報学部・加藤「MyData 2016の報告」【資料6】（2016年9月30日）

（注12） Google、Apple、Facebook、Amazonなど国際的な巨大プラットフォームがパーソナルデータを囲い込み、寡占状態となっている状況（議事要旨より）
EUのGDPRについても、「巨大デジタル企業が支配するデータ市場」あるいは「既に大きな市場シェアを持つ巨大企業」という表現から、同様の認識がうかがえます（EC（欧州委員会 European Commission）「GDPRによるデータ保護改革案についての質疑応答概略」（2017年5月24日）個人情報保護委員会の日本語仮訳）

（注13）オープンデータとオープンガバメントを推進する Open Knowledge Japan
「MyData Japan 2017を開催します」（2017年5月19日）「MyData Japan 2018を開催します」（2018年5月25日）

「PDS」自分のためのパーソナルデータの一次利用

自分のデータを自分で管理、活用しようという発想がPDS（パーソナル・データ・ストア）です。自分のための「一次利用」が主眼です。
データの二次利用では、匿名化が必須になりますが、個人の意志で開示して一次利用を行うPDS型のデータ利活用では、実名のままでの流通や自分への還元ができることになります。

一番分かりやすいユースケースは、医療・健康分野でのデータの連携でしょう。

医療・健康分野の「PHR（パーソナル・ヘルス・レコード）」の考え方は、自分のデータを自己管理するPDS型に近いモデルです。

前回のマイナンバー制度の利活用で最初に紹介した「代理機関」（注14）の基は、自分の医療や健康の情報（レセプト、カルテ、薬、健康診断結果等々）を自己で活用しようという発想でした。
「どこでもMY病院」のような診療情報の連携や、「お薬手帳」などの情報が連携するPHRによって、自分の健康を自分でコントロールしていく仕組みができます。
自分のデータを自分で集め、「一次利用」することにより、健康維持というメリットが自分に還元されます。

アメリカの2010年からの「オバマケア」（医療保険制度改革）に並行して整備されている「ブルーボタン」という仕組み（注15）で、自分の医療情報を自由に活用できるようになっています。
健康・医療情報は自分で管理することが求められ、ヘルスリテラシーの向上のために、健康・医療情報を自ら活用しながら向上させて行く必要があるという段階になってきていると言えます。

（注14）ゼミナール第12回「マイナンバー制度の利用拡大と「代理機関」の提案」

（注15） Blue Button Project：米国保健福祉省ONC（国家医療IT調整官室）“About Blue Button”
政府が所有する医療データから健康情報（薬、アレルギー、検査結果、診療情報等）をインターネットでダウンロードして、医療機関にも提供できる様にする仕組み

オープンソースPDS “Personium”

MyData 2016で、日本からの発表は、「Global winds from Japan to Silicon Valley： Personal Data Ecosystems over the Pacific」と題し、日米共同セッションで開催されました。（日本は5編発表）

ここで、「PDSの社会実装の取り組みとPersoniumの紹介」（富士通研究所&富士通）が発表されています。（注16）

また、さきの「AI、IoT時代におけるデータ活用WG」でも、MyData2016の紹介があった次々回に、「PDSの社会実装の課題と取組み」（富士通研究所）が発表されています。（注17）

「富士通がオープンソースとして公開しているPDSソフト“Personium”の簡単な説明です。利用者中心のデータ管理、広域分散、モバイル/IoTのバックエンドとしてのBaaS機能（注18）を特徴とする富士通製のオープンソースPDSです。このシステムは、BaaSという形で、富士通のソリューションである「動物クラウド」（注19）、「高齢者クラウド」（注20）のデータ管理機構として、多数の実績があります。」（議事要旨から）

上記のPDSソフト“Personium”は、オープンソースの分散PDSサーバとして公開されています。（注21）
また、サーバを自分で置きたくなければ、クラウドサービスも富士通から提供しています。（注22）

（注16） K.Ishigaki（富士通研究所）, A.Shimono（富士通） “A challenge towards social implementation of PDS with public sector using open source software "personium"” Mydata 2016 Helsinki, Finland（2016年9月2日）

（注17） IT総合戦略本部データ流通環境整備検討会 AI、IoT時代におけるデータ活用WG 第3回会合議事要旨および富士通研究所・石垣「PDSの社会実装の課題と取組み」【資料2】（2016年10月28日）

（注18） Backend as a Service 「BaaSとは、スマートフォンを中心とした多様なクライアント技術から共通的に利用可能なバックエンドをサービスの開発者向けのサービスとして提供するもの」
富士通・下野, 今林「利用者データを中心とする新たなICTの形」（雑誌FUJITSU 2013-1月号（VOL.64, NO.1）特集「新しい世界へのICT活用」）

（注19）富士通「動物病院や自治体、飼い主がつながり、人とペットが安心して暮らせる社会に」 FUJITSU JOURNAL（2014年7月17日）

（注20）富士通「在宅医療向け・介護事業者様向けシステム「高齢者ケアクラウド」」

（注21） Personium 相互につながるオープンソースのPDS（Personal Data Store） server

（注22）【PDS製品】 FUJITSU Cloud Service for OSS パーソナルデータを管理「Personiumサービス」

「情報利用信用銀行制度」（情報銀行）「情報信託機能」の認定

膨大になる自分のデータを安全に、安心して管理できる仕組みを考えましょう。
自分のデータの管理を「預けよう」という発想が、さきの「代理機関」であり、「情報利用信用銀行制度（いわゆる情報銀行）」といえます。

技術的には、クラウドサービスでのデータ保管、その容易な預け入れと取り出しサービスが必要でしょう。
今後、個人が管理するデータが膨大になり、そのデータを事業者等に預け、本人のために活用する事業形態が出現することが想定されます。
この「情報利用信用銀行制度」とは、個人から情報の管理、コントロールを預託され、個人に代わってデータを蓄積、管理、活用し、そして個人に便益を還元する仕組みといえます。

総務省と経済産業省で、「情報銀行」について民間団体等における任意の認定制度を創設することを目指し、「情報信託機能の認定指針」（注23）が検討されています。

技術の保証と制度の保証で、安全で安心できるパーソナルデータの管理と活用ができるようになっていくでしょう。

（注23）情報信託機能の認定スキームの在り方に関する検討会「情報信託機能の認定に係る指針ver1.0」（2018年6月26日）