個人情報のビッグデータ解析 (JR東のSuicaデータ外販問題)

平成25年6月27日に日立製作所が発表した駅エリアマーケティング情報提供サービスが大きな波紋を呼んでいます。分析対象データである交通系カードデータはJR東日本が、匿名化などの処置を施した上で、日立に販売します。日立は、このビッグデータを解析し、移動パターンや利用目的を推定して、集客力、集客層、潜在商圏、通勤圏などを把握して、出展計画や土地評価、抗告・宣伝計画などを目的とする企業や商店に販売する予定です。

一読すると、いよいよビッグデータ本格化かと思わせる新聞報道でしたが、直後からJR東には問合せが入り出し、約一か月で150件に及んだそうです。直接、質問やクレームを伝える人達よりも、SNSの反応はJR東に厳しい内容が多く、メディアも即座に反応しました。個人情報の無断使用にあたらないか、利用者の抱く不安にどう対応するのかと取材攻勢をかけました。その結果としての報道内容は表面的には客観的なものでしたが、むしろ利用者の不安を増幅させることになり、SNSではJR東を非難する声が一挙に強まりました。自分に関する情報を業者が勝手に販売することに気味悪さを感じるという内容が大半です。JR東が、法令違反はない、個人情報保護には十二分の配慮を行っている、等々を冷静に説明すればするほど、何か怪しさが増してくるのです。それほどの手間暇とコストをかけてまで売れるような価格なのか?一体幾らで売るのか?単純な統計情報ではなく、何か希少情報も含んでいるに違いないなどと想像が膨らんでしまうのです。

例えば、乗降客の少ない駅は対象外としているとの説明ですが、少ないとは何人なのか、自分の駅は朝の通勤時間乗降客数は、5千人くらいだが対象なのか?自分の通勤ルートを知っている人間が見れば、通勤時間帯や年令などで自分を特定できるだろう。そうすれば、地下鉄やバスなどを使って、どこを廻ったかも判る。ズーッと追跡すれば、どの取引先をいつ訪問したかも判る。探偵事務所などは、これからは物理的に追跡しなくても、こちらの行動をみんな把握できるのだ・・・と憶測が発展してしまうのでしょう。日立は購入データをそのまま、転売しない契約になっているというが、そんな条件を信用できる保証はどこにもないではないか。となります。要は技術論ではなく、信用論になってしまいました。

個人データは、誰のものなのでしょう?個人データとは個人の行動分野に関わるものだそうです。GPS情報や買い物履歴などです。個人を識別、特定できるデータを外せば、個人情報保護法の対象ではなくなるそうです。ですから、JR東や日立は問題ないと考えたのでしょう。しかし、利用者は自分に関するデータが、勝手に転売され、利用されることに違和感や不安を感じました。JR東が事前に顧客に通知していなかったことも非難されました。結局はオプトアウトできる仕組みを発表しました。電話やメールでSuica番号を連絡すれば、二次利用対象から外すのです。それも大変なコストになります。JR東は顧客からの個人情報開示請求に有料で応じていますが、二次利用対象か否かを確認することが有料かどうかは明示していません。これもトラブルの元になりそうです。

JR東が日立にデータを利用する際には、相当な個人情報保護策が施されています。まず、Suica番号等個人識別できるデータは匿名化ないしは取り外ししている。匿名化方法は一定期間毎に変更して、長期継続追跡できないようにしている。販売先のデータ管理体制を事前に充分な精査を行い、かつ、取扱い状況を監査できる、JR東内の組織も個人情報取扱い部門と社外提供部門は厳格に分離し、個人特定情報は扱えないようにしているなどです。しかし、利用者からすれば、全て運営の方法であり、要は、JR東を信用しなさいと言っているだけです。これまでもプライバシーマーク取得企業などで、悪質というか、低レベルな個人情報漏洩事件を数多く見てきた利用者からすれば、信用できないというのが本音です。いずれマンネリ化して漏れるに決まっていると思うのは自然です。正直なところ、漏れたとしても、ごく稀なケースを除けば、どうでも良いような影響しかでないことは理屈では判っています。でも薄気味悪い。自分に関するデータを勝手に売って、それを加工して多方面に売る商売にする会社がある。それは、何となく自分の所有物を勝手に使われるような気分にさせる。これらの顧客の不安感をなくしていく努力が必要です。その意味で、JR東と日立は、得な役割ではありませんが、パイオニアの役割を負ってしまいました。

個人情報保護法を所管する総務省は、携帯電話のID、継続的購買履歴、位置情報などを実質的個人識別性のあるデータとし、法的保護対象としています。更に、個人情報取扱い者が、法の趣旨に外れた行為を行っていないか、匿名化などを適切に行っているか等を監督する第三者機関の設置を検討しています。韓国では政府が、交通カード利用データを活用する為の研究を進めています。現在は最終段階にあり、2014年度から事業化を開始したいとしています。この調査研究には、データの二次加工に伴い発生が予想される問題の調査分析、必要となる基盤技術、第三者監督組織の設置、関連する法制度の整備、世論調査など極めて総合的な調査研究だそうです。政府主導の国だとしても、わが国の行き当たりばったりの政策との違いに驚きます。

JR東は、顧客に事前周知しなかったことで不安を与えたと謝罪していますが、言葉の端々に、日立が新聞発表さえしなければ、こんな騒ぎにならなかったのにとの思いが見えます。しかし、日立は事前に発表の内容につきJR東の同意承認を得ている筈です。もう少し旨い発表方法がなかったかと思いますし、その後のJR東の杓子定規な説明も、利用者視点が不足していたということでしょう。ビッグデータ・ブームと政府の個人情報保護制度施策の稚拙さと大企業意識が、こうしたトラブルを引き起こしたことになります。個人データを扱うビッグデータ解析の商業化は少し遅れることになるでしょう。

二次利用データの販売価格は一件当たり数円といったところでしょう。大量のデータをJR東から安く買って、データマイニング等のツールで個人を識別化した上で、再販売した方が儲かりそうです。それに特化したツールもでてくるでしょう。こうした行為は個人情報保護法の趣旨には外れますが、今の法律では違反にならないように思えます。法は常に社会の実態に遅れます。悪影響を完全に予測して法制度化ができないのであれば、その時間差を最少にする制度対応しかありません。日本では、それも期待できないようです。今回の騒動は、これからも繰り返されることでしょう。顧客を守る企業か、顧客から少しでも利益を得ようとする企業か、企業の品格が問われ続けます。

                                                  (島田 直貴)