何か新しいことを始めてみるというのは、とても難しいことですよね?そして、始めること自体よりも、それを継続して続けていくことというのは、より難しいことだと思います。 例えば、「テレワークを始めましょう。」と言うことは簡単ですが、理由があってテレワークできない人も含め、全ての働く人がその恩恵を受けるためには、適切なルールが必要になると思います。 新規事業やサービスについても同様です。いま、「情報銀行」を通じて、パーソナルデータを活用し、新たなサービスを提供するという取り組みが始まりつつあります。そして、パーソナルデータという機微な情報を扱うため、消費者が不利益を被ることがないように、ルール整備も並行して取り組まれています。 この記事では、「情報銀行」という新たな世界観を実現するために、どのような仕組みづくりが検討されているかをご紹介します。後半でご紹介したいと思いますが、「情報銀行」は銀行業ではありません。あらゆる企業のビジネスや私たち自身の生活に密接に関連する事業となりますので、是非最後までお付き合いください。
情報銀行って何?パーソナルデータって何?
そもそも、情報銀行やパーソナルデータとは何でしょうか。こちらについては、以前の記事でご紹介していますので、是非お読みいただければと思います。
本記事でも簡単にイメージをご紹介すると、パーソナルデータとは個人情報よりも広範囲な情報を指しており、購買履歴や趣味・嗜好といった、私たちに関わるさまざまな情報が含まれます。身近な例では、スマートフォンから分かる位置情報や歩数情報などもパーソナルデータに該当するものです。
これまで、各企業は自社が保有する情報とCookieなどのデータを基に、ユーザーがどのような人物かを推測し、ターゲティング広告を実施してきました。(こちらも詳細は先述の記事をご参照ください)
しかし、あなたの同意を前提に、正確なパーソナルデータを企業が利活用し、より良いサービスの提案を受けられる時代が近づきつつあります。情報銀行は、あなたから預かったパーソナルデータを、あなたが同意する範囲で運用し、そこから得た便益を還元してくれる仕組みを指します。当然、パーソナルデータという非常にセンシティブなデータが企業に利活用されることとなります。そのため、情報銀行ビジネスへの参画事業者へ求めるべき基準などについても、継続的に議論されてきています。
ルール整備を巡る経緯
パーソナルデータ利活用を巡る世界的な流れとしては、GAFAやBATといったメガプラットフォーマーが強力に利活用を推進する流れと、EUにおける、一般データ保護規則(General Data Protection Regulation:GDPR)を背景として、パーソナルデータを企業から個人へ還元し、個人の主権の下で利活用を進めるという、大きな2つの流れがあります。
情報銀行は、後者に近い考えから生まれていますが、自身のパーソナルデータを、情報銀行という第三者を信託して運用してもらうというサービスは、日本発のものです。そのため、仕組みの検討も他国を模倣しているわけではなく、独自に検討が進められてきました。
日本国内では「情報銀行」という言葉が少しずつ一般的に知られるようになってきましたが、基準の検討は2017年から開始されています。では、それはどの省庁の主幹で進められているのでしょう?
冒頭で既にネタバレしてしまっていますが、情報銀行は銀行業ではありませんので、金融庁ではありません。正解は総務省です。そこで「情報信託機能の認定スキームの在り方に関する検討会」が開催され、民間企業から選出された委員を中心としつつ、継続的に議論されています。また、経済産業省や個人情報保護委員会といった方もオブザーバーとして参画されており、検討会の成果として「情報信託機能の認定に係る指針」が公表されています。
個人が不利益を被らないための仕組みづくりと第三者による認定制度
「情報信託機能の認定に係る指針」は情報銀行事業者だけでなく、情報銀行を通じてパーソナルデータ授受し、利活用しようとする事業者も対象として、満たすべき基準などが示されています。なぜ、情報銀行だけでなくパーソナルデータ利活用企業まで対象とするのか?という点は、皆さんもご想像のところだと思いますが、企業がパーソナルデータを不適切に扱うことにより、結果的にサービスを受ける個人が損害を受けることを回避するためです。
設定されている基準項目は多岐にわたりますが、特に情報セキュリティに関する基準は項目数も多く設定されており「情報信託機能の認定に係る指針ver2.0」時点では、プライバシーマーク、またはISMS(Information Security Management System)認証の取得が求められていることも特徴です。
このように、ユーザーが不利益を被らないよう考慮がされた上で、基準が検討されています。 では、総務省により、認定の「指針」として対外的に基準が公表された後は、どのように運用されているのでしょうか?総務省では、事業者の認定は実施していません。指針に基づき、一般社団法人日本IT団体連盟(以下「IT連盟」)が「情報銀行認定申請ガイドブック」制定し、それに基づき認定事業を実施しています。2021年6月現在、既に6社が情報銀行認定を受けています。
鋭い方は既にお気づきかもしれませんが、IT連盟は民間団体ですので、情報銀行認定はあくまでも民間の認定です。したがって、情報銀行事業に参画するためには必ずしも認定を受ける必要はありません。しかし、いざ情報銀行を利用してみようとしたとき、第三者の認定を受けた情報銀行のほうが利用しやすいと考えるユーザーは少なくないかもしれません。ユーザーへの安心感を対外的に示すために、一定数の企業はこの認定を受けるために、取り組みをされるのではないでしょうか。
これから起こることは?
参画事業者を増やすことによる情報銀行市場の活性化と、消費者の権利を守るための議論は同時並行的かつ継続的に行われています。2020年秋以降も、改訂に向けた各種議論が繰り広げられており、総務省からは検討経緯が随時公表されています。現在、総務省が公表している最新の指針は「情報信託機能の認定に係る指針ver2.0」であり、IT連盟も当該指針に対応した「「情報銀行」認定申請ガイドブックVer2.0」を公表していますが、2021年度中にも指針は改訂される見込みです。
また、「情報信託機能の認定スキームの在り方に関する検討会」とは別に、総務省による「令和2年度情報信託機能の普及促進に向けた課題解決に係る調査」では、要配慮個人情報と呼ばれる医療情報も段階的に活用していくべきという報告書も出てきています。この内容を踏まえて、速やかに今年度の指針の改訂に反映されるかは分かりません。しかし、ヘルスケア情報や医療情報が自分のコントロール下で利用できるようになることで、自身が望むサービスが受けられることを期待する方も多いのではないかなと思います。
極めて個人的な悩みですが、私は顎関節症で、歯医者が変わる度にレントゲンを撮られ「顎関節症ですね」という診断を受けます。しかし、私が知りたいのは顎関節症かどうかではなく「症状が進んでいるのか?何を気にしたほうが良いのか?」なんですよね・・・と、いつも感じます。もちろん、毎回かかりつけの歯医者に通えれば良いのですが、都合がつかなかったり、引越しをしたりで、私と同じような悩みを持っている方もいるのではないでしょうか?
歯医者の例はあくまでも一例ですが、読者の皆さんも「こんなことができたらいいのに?」と思う世界観があると思います。その中には、パーソナルデータの流通・利活用が進んだ社会により実現されるものもあるかもしれません。そうした近い将来を見据えて、私たち消費者が不利益を被ることがないように、適切なルールと基準を予め設けておくことは非常に重要です。これは前述の通り、確りと議論されているところであり、当社も積極的にそのお手伝いをしていきたいと考えています。
※本記事の内容は、執筆者および協力いただいた方が所属する会社・団体の意見を代表するものではありません。
※記事中の所属・役職名は取材当時のものです。
<参考>
パーソナルデータ流通や情報銀行への理解をより深めたい方は、NTTデータでパーソナルデータ利活用分野を牽引する花谷昌弘さんのインタビュー記事もぜひご参考ください。
※株式会社サイカが運営するメディアの記事に遷移します。