日経メッセ > SECURITY SHOW > ニュース > 情報銀行、データ保護が要、サービス本格開始へ、取得や提供、問われる安全。

日経の紙面から

情報銀行、データ保護が要、サービス本格開始へ、取得や提供、問われる安全。

[ 2019年3月11日 / 日本経済新聞 朝刊 ]

 個人データを預かり、民間企業などに提供する「情報銀行」が2019年から本格的にサービスを開始する。一定のルールのもとで産業界がデータを利用しやすくし、データエコノミー社会を後押しする。すでに一部で実証実験も始まった。データを個人から受け取る「入り口」と第三者に提供する「出口」の信頼性向上が、サービス普及のカギを握りそうだ。(広井洋一郎)

 スマートフォンのアプリに自分のプロフィルを登録しておくと、東京・上野エリアのおすすめレストランや観光イベントが表示された――。大日本印刷とJTBが2月末まで実施した旅行者向け情報銀行サービス「oide」の実証実験だ。サービス業など約100社が参加し、約1000人がデータ登録した。

データ活用容易

 旅行者の年齢や性別などのデータをシステムに登録し、サービス業などの事業者がデータが容易に活用できるようにする。データには旅行者の趣味や行動プランなども含まれ、事業者が適切なタイミングで情報提供できるのが利点だ。旅行者は最新の情報を入手しやすくなるうえ、一部事業者から特別観覧などの特典も得られる。

 情報銀行とは、個人のデータを集めて第三者に提供する事業者のこと。契約に基づいてデータを収集・管理。個人の指示やあらかじめ決めた条件に基づき、個人に代わってデータを提供する。

 政府は業界団体の日本IT団体連盟(東京・千代田)が一定の条件を満たす情報銀行を認定する制度づくりに取り組んでおり、18年10月に開いた説明会には約200社が出席した。認定を受けるかは任意だが、19年3月下旬にも最初の認定事例が出る見通しだ。

 IT連の情報銀行認定分科会長の崎村夏彦氏は「データを提供する個人の情報銀行への信頼が最も重要」と強調する。福岡真之介弁護士は「情報銀行はデータの利用目的を明示し、契約でそれを守ることが大前提だ」と指摘する。

 個人情報保護法は、企業などが取得した個人情報を第三者に提供する場合、原則として本人の同意を求めている。

 大日本印刷などの実証実験では「(運営企業が)個人情報保護法に定める義務および本利用規約の定めを順守する」という条件を示したうえで、利用者に「(第三者提供を含む)個人情報を管理・利用する業務を委任する」などと記した利用規約に同意してもらった。

 その後、利用者が提供するデータの項目や提供先を設定する。運営側がまず大まかな設定パターンをいくつか用意し、それをもとに選んでもらう。提供先を細かく選ばずに、「飲食」や「買い物」などの9つのジャンルで設定することも可能にした。

 三菱UFJ信託銀行が18年11月に実施した実証実験では、個人情報を活用するサービスの一覧を用意。利用者がサービスを選び、個人情報を提供するかを判断した。

漏洩にも責任

 第三者に提供する出口の安全性管理も大きな問題だ。情報銀行は提供先のデータの管理方法にも責任を持つ。仮に提供先で情報流出などが起きた場合、対応責任は情報銀行が負う。

 IT連の基準では、情報を受け取る企業にも情報銀行と同水準のセキュリティー体制が求められる。提供先に、企業の管理体制が適切であると認定する「プライバシーマーク」やグローバル企業が導入している情報セキュリティー国際規格の「ISMS」などの取得を求める。

 一部には「これでは情報提供先が限られてしまう」などの意見もあったが、野村総合研究所の安増拓見グループマネージャーは「情報漏洩などが起こると、情報銀行全体の信頼が失われる。まずは厳しく制度を設計すべきだ」と主張する。

 大日本印刷のVRMビジネス企画開発部の勝島史恵部長は「提供先のセキュリティーレベルに合わせて、提供データを絞り込むことも選択肢だ」と明かす。

 情報銀行は個人からの相談受付窓口を設け、情報の削除依頼などに対応する役割も求められる。データ流通推進協議会(東京・港)の伊藤直之理事は「消費者の目線でチェックする機能が重要」と話す。政府の認定制度では、情報銀行に第三者機関「データ倫理審査会」を設置させる。エンジニアやセキュリティーの専門家だけでなく、消費者の代表も加わる。

 消費者の安心や信頼を制度面やコーポレートガバナンス(企業統治)の仕組みから確保できるか。その整備状況が情報銀行の競争力も左右しそうだ。

【表】情報銀行の主な認定基準 
◆操作が容易なインターフェースの提供 
 ○情報銀行は提供先や利用目的のほか、データ項目などの選択肢を用意 
 ○個人は第三者へ提供した情報の履歴を閲覧できる 
 ○個人は第三者への提供を停止できる 
◆データ倫理審査会を設置 
◆提供先から他の提供先への個人情報の再提供は禁止 
◆個人の相談に応じる窓口を設置 
◆データ提供先による個人の損害に対し、損害賠償責任を負う

ニュースの最新記事

PAGE TOP