1. 位置情報データビジネス最前線〜Location Weekly Japan 〜
  2. 『位置情報って、個人情報?』..
2023-10-30 13:17

『位置情報って、個人情報?』ーLBMA Japanガイドラインをわかりやすく解説

『位置情報データって、個人情報なの?』と聞かれることも多くですが、答えは、「YESの場合」と「Noの場合」がある、です。認定個人情報保護団体にも認定されている、位置情報データの利活用を推進する団体、LBMA Japanが発行する共通ガイドラインをベースに、この問いにわかりやすく答えておく回を配信します。個人情報かどうかだけではなく、ユーザーさんのロケーションプライバシーをしっかりと守っていくことを事業者が約束していくことについて、川島代表理事と理事の内山理事の対談形式でお送りします。

00:06
Location Weekly Japan番外編、もう番外編と言いながら4回もやってるんですけれども、番外編4ということで、今日はですね、
位置情報って個人情報?というタイトルで少しお話ができればと思ってます。
今日はですね、私の他にLBMA Japan理事であられる内山さんに来ていただいてます。
内山さんは株式会社ウネリの代表取締役でもあります。内山さんよろしくお願いします。
よろしくお願いします。
はい。ちょっと今日ですね、位置情報データって個人情報なの?っていうような、これずっと我々向き合ってきた話ではあって、
個人情報保護委員会の方にもこのPodcast出ていただいたりもしているんですけれども、
セミナー等々も開催させていただきながら、なんかいろいろあるんですけど、はっきりちゃんとこういうことだよっていうのをわかりやすく一度解説、
我々でできたらいいなと思って今日のセッションを設けてますっていうところでございます。
はい。でですね、まず位置情報データって個人情報なの?って言われるとですね、
個人情報になる場合とならない場合がありますということをまずちょっとお話しさせていただければと思ってます。
我々LBMA Japanでは位置情報データをリカピをするためのガイドラインというものは発行しておりまして、
LBMA Japanのウェブサイトからダウンロードをどなたでもできるようになっておりますので、興味のある方はぜひご参照くださいというところではあるんですが、
まずですね、個人情報になる場合っていうのは、我々その位置情報データについてはデバイスロケーションデータという言葉で定義させておりまして、
いわゆるスマートデバイスから取得できるデータですね。位置情報データのことをデバイスロケーションデータと呼んでます。
スマートデバイスっていうのはスマートフォンだったりタブレットだったりWi-Fiだったり、さまざまなデバイスから取得される位置情報データのことを総称しております。
これが個人情報になり得る場合っていうのは、このガイドラインでは特定の個人を識別することが可能な場合、それは個人情報として取り扱うという定義になってます。
これ、我々のガイドラインがというよりは、現状2022年4月に改正された個人情報保護法の中で定義されている言葉なので、
それをそのまま我々のガイドラインでも使わせていただいているという状況ではありつつでございます。
特定の個人を識別することができない、そういったデータに関してはデバイスロケーションデータとして個人関連情報として活用するという、
そういったことをガイドラインとして定義付けさせていただいております。
分かりやすいですかね。ちょっとまだ分かりにくいですかね。
そうですね。ただ一般的なLVMJapanにご加盟いただいている企業さんが扱っている位置情報っていうのは、通常は個人情報には該当しない企業が多いんじゃないかなと。
03:02
ただやっぱり個人情報を取るところにいかに位置情報を取る場合とか、あと位置情報がずっと連続的に溜まっていて、もうこれって内山だけだよねっていうことが容易に分かってしまうという、
この2つの条件のどちらかが該当する場合が個人情報だというふうに理解しています。
なんで、例えばその位置情報を活用したデリバリーサービスだったりとか、こういったサービスだともちろん個人情報がないと家にお食事届かなかったりしますんで、そこはもう位置情報データ含めて個人情報であるという定義になるのかなと思ってます。
あとは先日の個人情報保護委員会さんとのセッションでもお話しさせていただいたんですけども、とにかく名前データと結びつく、または結びつき得る場合っていうのはもうこれ必ず個人情報であるということで、個人情報保護法に則った運用をするということが法律に受けられていますというところです。
そうじゃなくて、さっきちょっと内山さんが言ったような、これって内山だよねっていうのが分かるって、具体的にどんなケースがあったりしますか?
2つケースがあるかなっていうのは、オリジナルイメージャパンで言うとデバイスロケーションデータって言ってますけど、要はデバイスのIDに紐づいた位置情報がたまっていて、このデバイスのIDを例えば別の個人情報を持っている会社さんと突合していくことによって、個人情報と位置情報が紐づけられたと。
これはもう位置情報は完全個人情報で一貫になってしまうというのが一番多いケースなんじゃないかなとまず思います。ここまでやってる企業ってほとんどないかなと思いますし、うねりにおいても当然そんなことはやらないということで、その場合は一般的な個人関連情報というふうになるかなと思います。
もう一つとしてケースがあるのが、位置情報をずっとためていくと、家ここで、どういう通勤経路でここの場所に行ってということが1年も2年もたまっていれば、これはここに住んでる人1人しかいないよねみたいなことがわかってしまうような場合、これを一般の人が簡単にわかってしまう状態に置かれてしまうと、これは個人情報だというふうに思うので、それを避けていくような運用が必要で、
例えばこの人が1人と特定できないような分析の仕組みにしていくとか、データの仕組みにするとかっていうケアが必要なんじゃないかなと思います。
実際、我々仮名団体、仮名企業65社は今おりますけれども、全員が全員位置情報データ自体を取り扱っている企業は限らないんですけれども、位置情報データを取り扱っている企業としては、基本的にはそれを個人情報として取り扱うことがない前提で、個人関連情報、要は個人を特定できないように、識別できないようにするというようなことを学者さんやってらっしゃるのかなと思います。
そういった観点において、位置情報データを名前とかメアドとか住所と紐づく場合というのは、これはもう個人情報です。
06:00
もう一回あれになりますけれども、連続したデータをずっと保有し続けて、頑張ればこれが誰かっていうのは分かっちゃう状態になることっていうのも、これも個人情報になるというのが、公立法令における整理なのかなと思います。
なので、もちろんそういった可能性がある、またそういったサービスを展開されるのであれば、本当にそれは個人情報としてちゃんと扱って、法律に則った運用をしてくださいというのがメッセージになるかなと思います。
一方で、個人関連情報、プライスロケーションデータ、特定の個人を識別できない、このデータが誰だか分からないデータに関して、だからといって存在に扱っていいというわけでは絶対にないと思っているんですよね。
それに対しての運用方法とか保管方法とかって、例えばうねりさんでどういったこと気をつけて、どういった方針でやっていらっしゃるとかってあったりしますか。
まずユーザーさんに対してどういうコミュニケーションをするか。
DOTアプリのプライバシーポリシーの話と、あと知識の段階における話と、あと理学用の段階ってちょっと分けて話をすると、例えばうねりにおいては百数十個ぐらいのモバイルアプリにSDKという形で一応このモジュールが入っていますので、そのアプリをダウンロードしていただいたときに必ずプライバシーポリシーまたはDOTアプリに、うねりに対してこういう目的でこういう項目のデータをこの条件で提供しますということを必ず書かせていただいていると。
これまず徹底するっていうことをずっとやってますし、これがLMMJapanのガイドラインでもありますので、そこにしっかり準備をしてやっているのが一つ。これがデータの取得の段階ですね。
徹底するという段階においても、これを徹底するともう個人が特定できたという可能性もなくはないので、ここに対するデータのアクセス制限みたいなのがかなりきちんと書けていて、例えばですけど、うねりの社員がどんなクエリを投げたのかということは全部ログが残っているんですよね。
それで個人を特定しようという行為みたいなものを発見したら、そういうものを全部除外していくというか、きちんとパトロールできるみたいな、その対象を整えているのが徹底の段階ですね。
利活用の段階においては、これLMMJapanのガイドラインもありますけれども、特定の個人を識別できるような形で当然分析もしないし、広告もしないし、データ提供もしないということは、社内のガイドライン、ほぼ同じガイドラインを社内でも適用し、例えばN数でいうと何人以下だったらもう分析にも使わないようにしようね、みたいな形のルールを決めさせてもらっています。
一時情報データって非常にセンシティブな個人を特定できないにしても、非常にセンシティブなデータだと思うんですけれども、そのデータ自体のセキュリティとかってどんな感じで対策を取られていたりしているんですか?
やはり僕らのデータって、いわゆる数百億件のデータがデータベースに入っていますので、一義的には外部からの対策ですよね。外部攻撃からの対策っていうのを、うちの両方セキュリティ部門がしっかり対策をしていると同時に、やはり内部対策として権限管理だったりとか、内部からのアクセスを全部モニタリングするみたいなことをやって、外からも中からもしっかり防御するっていう体制を作っています。
09:12
でも本当に大量のデータなので、実際にそれをビッグデータとして活用していくっていうことに社会的な意味もたくさんあると思うから、我々こういう団体もやってはいるんですけど、どうなんですかね、特定の一人の人を分析するとか解析するみたいなことってやるんですか?
絶対にないですね。まずやることの経済的な意味もそもそもないんですよね。一人の人を分析したからって言って何かが分かることってそんなにないので、経済的な意味もないし、あと我々の利用ケアっていうときに、個人を特定する目的では利用しないっていうお約束の下で必ず同意を取ってデータを取得している以上、その行為は絶対に行わないっていうことは徹底してますね。
ありがとうございます。そんな感じで、我々のガイドラインはそういった位置情報データを取り扱って事業を行う上で守らなければいけないルールだったりとか、こういったガイドラインを設けましょう、こういった許諾を取りましょうということを明確にしてくださいということを加盟企業およびその他の皆さんにも可視化して、実際にそういったデータ漏洩とかそういったことをなくしていきましょう。
しっかりと利用者のプライバシーを守っていきましょうということを推奨させていただいている。それを実現していく上で社会で情報データ活用がどんどん進んで、さらなるイノベーションを起こしていくということを推奨させていただいている。
大前提条件ではあるので、ぜひちょっとこれは情報データ活用をしていらっしゃる企業の方々には参照いただきたいのと、個人情報だからダメとかではなくて、個人情報だったらもうちゃんと個人情報として運用してください。
そうじゃない形で活用するのであれば、しっかりとそれはそれで運用をしていく。そのために必要な要素っていうのはちゃんと定義していきましょうねっていうような、こんなことを推奨させていただいています。
というところで結局話が難しくなっちゃいましたけれども、もう一回最初に戻りますけれども、一応データっていうのは個人情報になり得る特定の個人を識別することができる場合はそれは個人情報であるということをしっかりとご認識いただければなというところです。
はい、じゃあまた中、最後の。
はい、たぶん一つね、我々はその位置情報に関するものの具合は非常に分かりやすい、我々の選引ではしっかりさせていただいていますし、例えばUNERIだったら個人情報は一切お預かりしない事業者であったりしますけれども、一般的には分かりづらい概念だと思うんですね。
なので、もし位置情報で個人情報なのって分かりづらければ、まずLVMJapanの会員企業なのかどうかということと、LVMJapanの中でもロケーションプライバシー認定程度っていうのがありまして、その中でもしっかりと安全管理措置を守ってますねとか、個人情報ではない形で取り扱ってますねってきちんとレビューもしてもらっている会社って複数社いますので、企業かどうかっていうことをご確認いただくっていうのも一つの方法なのかなというふうには思います。
12:07
はい、ありがとうございます。そうですね。我々は本当に監査制度を持っているので、この監査制度ってルールをちゃんとガイドラインを守っていますかっていうところもそうなんですけども、実際にこれちょっと危ないんじゃないですか、セキュリティ上みたいなところもご指摘させていただくようなそういったこともできますし、本当に単純に何か事件が起こったとか漏洩が起こったっていう前の段階でぜひご相談いただきたいっていうのがありますね。
それで一緒にそれを話して、じゃあここはこうした方がいいんじゃないでしょうかっていうことも一緒に相談させていただくことはできると思いますので、ぜひそういった窓口も我々設けてますのでご活用いただければということと、我々認定個人情報保護団体として活動させていただいてますので、位置情報データだけでなくて位置情報データが個人情報になるケースにおいてもご相談いただける窓口設けてますので、ぜひ何かあればお声掛けいただければと思います。
はい、そんな感じで今日のセッションは終わりたいと思います。どうもありがとうございました。
ありがとうございました。
13:17

コメント

スクロール