「情報銀行」認定申請ガイドブックを読んでみた

Blockchain/Funding/IoT/Media /

昨年(2018年)12月21日、一般社団法人日本IT団体連盟より、「情報銀行」認定申請ガイドブックが開示されたので、ざっと読んでみた。ガイドブックは50ページを超えるものだが、その3分の2は申請手続などであり、冒頭十数ページを読むだけで概要は把握できる。なお、発行は民間団体である「一般社団法人日本IT団体連盟」(我が国の多くのIT関連事業団体の連合体:延べ約5,000社)となっているが、昨年6月に「情報信託機能の認定スキームの在り方に関する検討会」(総務省及び経済産業省主幹)から公表された「情報信託機能の認定に係る指針ver1.0」を基に、昨年11月にその素案が策定され、その後の意見等を反映した修正版が今回公表されたガイドブックである。

情報銀行とは、簡単には
・契約に基づき個人データを管理し、
・指示又は予め指定した条件に基づき、
・第三者にデータ提供する事業
と定められている。


(2018年7月31日開催 データ流通・活用ワーキンググループ資料より抜粋)

個人情報を含むパーソナルデータの円滑な流通、社会での有効活用に関しては、2016年に「官民データ活用推進基本法」が成立したことを皮切りに、今日までに様々な適正管理・適正利用に関する枠組みが定められてきている。この「情報銀行」としての認定申請も昨年12月21日より受付が開始され、早ければ今年(2019年)春には第1号の認定がなされるだろう。

「情報銀行」の最も重要なポイントは、信頼できる者(受託者)へパーソナルデータを預けることにより、個人の都度判断を要することなく、当該受託者が第三者へデータを提供できることにあると考えられ、活用したい事業者にとっては最大のメリットとなるだろう。要は、特段の情報収集手段を持たない事業者にとって、法的に利用が認められた生の個人情報を(優先的地位のある者を介さずに)入手できるというわけだ。

委細については、認定事業者が多く現れ、具体的な事業が開始されるとともに明らかになると思われるが、現時点において、誤解の生じやすい点、気付いた点について4点ほど掲げてみたいと思う。

  • 認定
    そもそも、本制度はあくまで「認定制度」であり、任意のものだ。認定をうけることにより一定の信頼は供与されると考えうるが、「情報銀行」に関する事業を行うための必須要件ではない。各個人との契約関係が成立すれば、同様の事業を展開することに許認可は要らない。
  • プラットフォーマーへの影響
    情報銀行構築のひとつの主旨は、比較的弱小の事業者に対し、膨大な個人情報を利活用できる機会を与え、市場競争力を高めてもらうことにある。既に多くの個人情報が収集され、また収集・分析・活用(マネタイズ)する手段を有しているプラットフォーマーにとっては、情報銀行から提供されるデータは興味がないかもしれないが、当該データを加えることにより、さらに強大になることも懸念される。これは昨今のデジタルプラットフォーマーに規制をかけようとする流れに逆行するとも考えられる。
  • 信頼
    ガイドラインでは「・・・本人の不安を軽減し、安心・安全にデータを預けることを可能とするために、一定の要件を満たした事業者については、第三者による認定・公表を含め、客観的な基準の下に社会的に認知される仕組」として「認定制度」が設けられたとの記載がある。日本IT団体連盟がしっかりとした組織であり、認定・監視機能を発揮できることについて筆者は疑う材料を持たないものの、果たして第三者であるかどうかについては疑問が残る。ルール制定に参画していることもあり、「身内が仲間を審査する」ことにならないだろうか?少なくとも、そう思われてしまったら、不安軽減にとっては大きなマイナスだろう。これに対しては、2重、3重の監査体制(的なもの)が定められており、事故が起きた時の責任分散の仕組みは流石と言えるが、果たして個人の信頼を得るための仕組みを内包しているといえるのだろうか。
  • 個人のメリット
    個人にとっては、自分の情報管理の窓口が一本化されること、提供される相手を認識できることなどがメリットとして考えうるが、既存の多種多様な顧客サービスと比較して、新たに大きなメリットを享受できるかどうか、疑問は残る。一説には「金利」のような金銭バックも噂されている。「氏名、性別、生年月日、趣味、メールアドレスを1年間お預けいただけたら〇〇円差し上げます」といった具合なのだろうか。まさかとは思うが、Tポイントでバックなどとは言わないでほしい。それならとっくに出来上がっているのだ。

2019年は「情報銀行」元年となるわけだ。どういった団体・法人が認定へ動き出すかは不明だが、信託銀行や広告業界などから認定法人が最初の候補者として噂されている。この仕組みが成就するかどうかは別として、個人が個人に帰属する情報が「売れる」ものであり、「既に売っている」ことを認知し、自らが提供先をコントロールし、マネジメントすべき対象であることを我々が認識するいい機会かもしれない。

ちなみに、「銀行」という商号は、銀行法により、金融機関である銀行等以外には使えず、また「信託」も同様である。なので、例えば「〇〇パーソナルデータマネジメント株式会社」(トラストも厳しそう)などといった商号になるのではないかと思われるが、親しみを得られ、信頼を得るために、実体を包み隠した柔らかいネーミングとなる可能性もある。契約にあたっては、呼称のイメージにとらわれずに、具体的なサービス内容や責任範囲等を約款等で十分確認する必要があろう。