個人データの価値や有用性の高さに注目が集まっている昨今。それにともなって、個人データを活用する「情報銀行」の実証実験が進んでいます。そもそも、情報銀行とはどのような仕組みなのでしょうか。また、どのような課題を抱えているのでしょうか。それぞれについて詳しく解説します。
情報銀行の仕組みについて
個人が定めた範囲内で個人データを円滑に活用し、個人や企業にメリットをもたらす、これが情報銀行の仕組みです。国は「個人との契約などに基づいて、個人データを管理するとともに、個人の指示や個人が定めた範囲内において、個人データを第三者(他の事業者)に提供」するものであると明確に定義。ただ、情報銀行の仕組みについては少々複雑な部分もあります。まずは情報銀行の仕組みについて詳しく見ていきましょう。
ビジネスモデルとしての仕組み・枠組み
情報銀行事業者は、個人データを提供してくれた個人には金銭など何らかの形での対価を支払い、データを活用する企業からは対価をもらう仕組みです。このため、情報銀行はなるべく多くの個人データを集める必要があります。
個人データには、氏名や住所、生年月日といった一般的な個人データに加え、スマートフォンやパソコンに記録された移動履歴や閲覧履歴などのデータも含まれます。GAFA等巨大IT企業が個人データを獲得することで利益を積み上げ、個人データの価値の高さが明らかになる一方で、EUが欧州データ保護規則(GDPR)を2018年5月に施行。「個人データは個人が管理する」という概念が登場したことで、情報銀行の存在意義が理解される基盤ができあがりました。
情報銀行は、個人と企業の間にたって個人データを管理する一方で、個人の許容する範囲内で企業に提供したりします。個人データを購入する企業は、ビジネスを新たに生み出すためのマーケットデータを得られるほか、個人にあわせたきめ細かなサービスを提供できるチャンスを得られることになります。
データの取引に際しては、情報銀行と企業が相対取引するケースと、データ取引市場を通じて売買されるケースがあります。
システムの枠組み
情報銀行は、PDS(パーソナルデータストア)という、個人データを管理するシステムを内在しているケースと、外部にあるPDSを利用して個人データの活用につなげるケースがあります。PDSは個人データを蓄積、管理し、個人がどこまでの範囲でデータの活用を許容しているのかを判断します。
情報銀行は、個人データを復元できないようにした匿名加工データを大量に集めて、ビッグデータに加工します。相対取引の場合は、データを求める企業との直接取引で、そうでない場合はデータ取引市場で取引します。個人データの管理だけでなく、活用の判断もするPDSがセキュリティ面で最も重要な役割を果たし、データを提供する個人と向き合うことになるのです。
例えば、NTTデータでは2019年度に情報銀行の実証実験を実施。東京海上日動火災保険などの協力を得て、モニターの参加者に氏名、住所、生年月日、性別などのデータを仮想PDSにWeb登録してもらい、仮想データ活用事業者へのデータ活用に関する同意までの流れを体験してもらっています。
PDSでは不正アクセスの検知やログ管理、通信の情報セキュリティ、システム自体の開発、保守、インシデントへの対応や事業継続マネジメントも求められます。また、第三者提供への同意を撤回した場合や、個人データの開示の請求があった場合の対応なども求められます。
情報銀行の課題について
画期的なシステム、概念である情報銀行。しかしながら、まだ黎明期であるがゆえ、課題も山積しています。ここではその中からいくつかご紹介しましょう。
欧州データ保護規則(GDPR)との共存
欧州市民のプライバシー保護を目的にした欧州データ保護規則(GDPR)は、外部への個人データ持ち出しを制限しており、個人データの保管などに対する完全管理措置の実施、EU(欧州連合)域外へのデータ移転の原則禁止など、厳しい制限を課しています。氏名などの個人データだけでなく閲覧履歴も対象に含まれ、個人データを取得する際には各個人に利用目的などを適切に告げて同意をとるよう求めています。GoogleはGDPRによって初めて制裁を受けた企業ですが、同意の取り方が不適切だったことが理由です。
個人が企業内のシステムから個人データのデータポータビリティー権や、削除を要請する権利なども認めており、企業にとっては大きな負担になります。EU域内に事業所を展開する日本企業だけでなく、EU域内向けサービスを提供しているだけでもGDPRの規制対象になりうるだけに、日本企業もうかうかしていられません。最悪の場合、最大で全世界売上高の4%または2000万ユーロ(約24億円)という巨額制裁金が課せられます。日本企業としても対応を求められているわけですが、情報銀行が扱う個人データの概念もGDPRと同じですし、個人の同意を得て初めて個人データを活用するという点も同じです。データポータビリティー権を確立させることなどで、GDPRの規制対象から外れ、共存が可能となります。こうした状態をいかに早く生み出せるかも、情報銀行の課題の一つといえるでしょう。
なお、PDSを内蔵した情報銀行サービスのpaspitでは、依頼を受けた個人の購買履歴や行動履歴を集約するだけでなく、さまざまなサイトのIDやパスワードも管理。データ管理を任せた個人はpaspitを通じて送られてくる企業からのデータ提供オファーに応じるかどうかを検討できます。個人にとってはpaspitを通じて個人データの管理や活用を図れるため、メリットは大きいです。
個人データは「個人のもの」という意識の壁
名前や性別、生年月日といった個人データは、2003年に成立した個人情報保護法によって保護が図られました。2015年の改正で適用対象となる事業所が拡大される一方で、ビッグデータの活用を図りつつも個人のプライバシーの保護をすることも目指しています。
個人データは確実に守られる対象として法的に位置付けられ、社会的にも浸透しています。しかし、2017年の総務省「通信利用動向調査」によると、インターネット利用時に3分の2以上の人が不安を覚え、そのうちの9割の人が個人データやインターネット利用履歴の漏えい」を不安視しています。その不安はネット空間のセキュリティ上の問題からだけでなく、ネット利用時に求められる「個人情報の利用許諾」に同意せざるを得ない気分になることもあるでしょう。
個人データについては、個人側の「個人のもの」「守りたい」という意識と、その壁の向こう側にある企業側の「利便性の高い機能を使いたい」という意識が共存しています。情報銀行の存在価値はこの2つの意識にある壁を取り除くことにあるといえるでしょう。
求められる高度なセキュリティ
個人データを「守りたい」意識と「活用したい」意識を滞ることなく融合させるには何が必要なのでしょうか。それは、個人データを守り活用するための高度なセキュリティ、確実な本人同意獲得による高い信頼性の確保、同意を撤回した場合や個人データの開示の請求があった場合の適切な対応などにかかっています。
「情報銀行」の存在を認知している人のなかでも、4割以上が個人データの提供に抵抗を感じているとの意識調査結果もあります。情報銀行には個人データが集約されるため、情報銀行が攻撃(ハッキング)などによってデータ流出させてしまうことも懸念されます。情報銀行には、二重三重のセキュリティを構築し、第三者からの攻撃にも耐える強靭さを持つことが求められています。
個人データ取り扱いの現在地
情報銀行が立ち上がり、本格的に動き始めた日本。しかし、官民連携のデータ活用基盤は欧米に比べてはるかに遅れています。総務省が2017年に実施した調査結果によると、米英独では65~72%が産業データを利活用しているのに対し、日本では52%にとどまっています。個人情報保護法改正などで基盤を整えつつある日本ですが、法整備面でもまだ不足しており、欧米へのキャッチアップが急がれます。
法の不透明さは企業の情報銀行利用の障壁に
日本では2015年の個人情報保護法改正でビッグデータの活用が可能となり、2016年成立の「官民データ利活用推進基本法」によって、データの「保護」から「利活用」へ政策の舵を切りました。しかし、政府は2017年、「未来投資戦略2017」で業種・業界を超えたデータの流通、活用を促す施策の推進を閣議決定したものの、情報銀行に加え、産業データの連携・活用などの施策が整うのは計画通りでも2022年以降です。
情報銀行に対しては「個人側のメリットをはっきりさせないと活用が進まない」との見方が強く、どこまで浸透していくかは見通しにくい状況にあります。氏名や生年月日に加え、購買履歴や閲覧履歴といった個人データについては「誰のものか」という議論も道半ばのため、情報銀行の推進に大きな課題を残しているのです。
個人データ活用の基盤・情報銀行の活性化には多くの課題
個人データの有効活用による個人のメリットは、データ提供先企業からの対価だけではありません。今はさまざまな企業がばらばらにもっている個人データが集約化されることで、自分にあったきめ細かなサービスを受けられるようになるからです。しかし、法的な議論の深まりが不十分な現状では急速な活性化は難しそうな情勢といえるでしょう。ただし、これらはあくまで現時点での話であり、今後議論の深まりや法改正などがあれば、環境は劇的に変化する可能性も当然あります。私たちはこれからも推移を見守っていく必要があるといえるでしょう。
