情報銀行が2019年3月から事業者認定 情報銀行って何?

ビジネス

先の2018年10月19日、総務省が個人データを収集・管理する情報銀行の事業者認定の説明会を行ったんだけど、その後の12月から認定申請の受け付けを始めて、2019年の3月にはさっそく事業者認定の第一号が生まれます。

でも、そもそも「情報銀行」っていう言葉が聞き慣れないですよね?銀行にお金を預けるように情報を預けて運用するんですが、それって一体どうなってるの?そもそも何でそんなことが必要とされているの?てな感じでたくさんの疑問が出てきます。

そこで今回は、情報銀行に関する情報を整理して、来るべき「情報運用」に備えておきましょうという話をします!最後までお付き合いくださいねー。

EUでのGDPRの施行

2018年5月25日、EU(欧州連合)でGDPR(General Data Protection Regulation:一般データ保護規則)が施行されました。GDPRは、2012年に立案、2016年4月に採択されたもので、EU内にいるすべての個人の、個人情報をコントロールし保護することを目的としています。

 クライドサービスの利用拡大や、企業によるビッグデータの活用など、今やビジネスにとってデータの共有や収集・分析といったものは無くてはならないものになりました。一方でビジネスの現場で個人情報を扱うことも多くなり、それに伴って個人情報漏洩のリスクもどんどん高まってきていますね。

EUでもそれは例外ではなかったのですが、ビジネスのグローバル化もあって、各国でバラバラのルールを作っていたものから一歩進んで、全てのEU加盟国に共通の規則を作らなければならないという議論が湧き起ったことで、GDPRを作る流れになったようです。

 そしてGDPRは、日本企業にとっても無関係な話ではありません。EU内に居住する人の個人情報を有する企業にはすべて適用される規則なので、EU内に子会社や支店を持つような企業だけでなく、日本国内であってもEU内にいる個人に向けて商品やサービスを提供しているような企業であれば適用範囲内というわけです。

 EU諸国にビジネスを展開しているグローバル企業だけでなく、EUにいる個人と(インターネット上などで)取引する企業にまで影響は広がるため、かなりの数の企業が対象になるため、日本でもGDPRの厳格な基準に対応する必要が出てきたんですね。

GAFAなどの巨大企業が情報の主権を持つ懸念

GAFA(Google、Amazon、Facebook、Apple)は世界時価総額ランキングの上位を占めている米国を代表するIT企業で、それぞれが世界中の多くのユーザーに利用されるプラットフォーム(生活やビジネスの基盤となるサービス)を提供している企業です。

ちなみにGAFMAというものもあり、これは上記の4つの企業にMicrosoftを加えたものを指します。MicrosoftはGAFAに押されて一時期勢いを落としていましたが、近年AIやブロックチェーンなどの分野に積極的に投資することで再び存在感を増してきています。

GAFAなどの巨大IT企業が提供するプラットフォームが世界中でユーザーに利用されているということは、そのサービスを利用するために取得した個人情報や、取引やサービスの利用履歴、その他にもどんどん蓄積していくデータの主権がプラットフォーム企業にあるということです。そうして多くの情報を囲い込むことにより、情報が集中し、それを利用したい他の組織に狙われてしまうリスクや、知らないうちにプラットフォームが情報を売ってしまうリスクがないわけではないですよね?

 「21世紀の石油」と言われる個人情報。その利用価値はもしかすると石油以上の利益につながる可能性もあるのですが、元をたどれば個人ひとりひとりが持っている情報なわけです。その情報の主権が一部の企業に握られていることに危機感を覚えている人も少なくはありません。

日本はどう向き合っていくか

個人情報の利用については、GAFAはもちろんですが、日本でも独自に運用をしている企業がいくつもあります。その中でも大きなものとしてはTSUTAYA事業を手がけ、Tポイントカードを発行しているカルチュア・コンビニエンス・クラブ(CCC)やメッセンジャーアプリを提供しているLINE、通信大手のNTTドコモやau・ソフトバンクなどの企業があります。日本の通信販売大手の楽天などもそうですね。

 個人情報は物理的に存在しているモノでもなければ現金のように数字で見えるものでもないですし、勝手に使われても持っているお金が盗まれるわけではないので、知らないうちに利用されることに対する損失もわかりにくい面があります。また、膨大な個人情報もビッグデータという形で企業が利用したり、リスト化することで有利なマーケティングを展開できたりするのですが、個々の情報だけでは利用価値が薄いこともあり、「大企業が使ってナンボ」という部分も確かにあります

とは言え、自分の情報が勝手に使われるのは気持ちの良いものではない上に、自分の情報が自分自身でコントロールできない状態で使われることで、思いもよらない不利益が起こるリスクもあります。

他方、企業がビッグデータを扱ってさまざまな分析をすることや、個人へ向けた直接のマーケティングができることで、新たなイノベーションが起こって生活の利便性があがることもあるので、一概に悪いとも言えないわけですね。要は自分の個人情報が自分の利益になる部分にだけ提供できるようにコントロールできれば良いということです。

そこで日本は「情報銀行」を発足させて、個人情報が個人でコントロールできて、運用することができるようにするための土台作りを始めたんですね。


情報銀行とは
(出典:内閣官房IT総合戦略室「AI・IoT時代におけるデータ活用ワーキンググループ」)

個人が情報の運用を意識する時代

日本の総務省では「個人が自らパーソナルデータを事業者に与えるかどうか管理できるシステム」のことを「PDS(Personal Data Store:パーソナルデータストア)」と定義しています。パーソナルデータ、つまり個人情報を運用するためには、企業が収集した個人情報を本人に還元してもらい、そのデータを置いておくところが必要になります。それがPDSというわけですね。

今までの形では、企業が収集した個人情報は、その個人情報を収集するネットワークに加入していた企業同士でやり取りされ、一部がポイントなどの形で還元されたり、マーケティングやイノベーションに活用されてきました。その際にどう使われるかは本人にはほとんどわからないのが一般的でした。

一方、PDSは各々の企業が収集したデータを一旦集めるのですが、PDSに置いたデータをどう運用するかは個人情報の主が決めることとなります。自分で運用するもよし、情報銀行に預けて運用方法を選ぶもよし、ということです。

 でも、「あなたの個人情報はPDSに全部集めたので、はい今からどうぞ運用してください!」ってイキナリ言われても困りませんか。何の知識もない、どういう運用方法があるのかもわからないではせっかくの個人情報も宝の持ち腐れになってしまいます。

 もちろん、わからなければガッチリ保護して誰にも使わせないという方法もあるのかもしれないけど、個人情報はうまく使えばその元となる本人や社会にも利益は大きいんですよ!

個人情報をコントロールして運用するメリット

まず、個人情報は企業にとって、情報を大量に集めてビッグデータとして分析することや、マーケティングに活用すること以前に、もっと基本的な利用方法があります。それは、個人を特定し、その本人かどうかか確認することです。その人が実在する人物本人であるかを確認することで、他人になりすましてサービスを使ったり、架空の人物をでっち上げて悪いことをしたりするのを防ぐためです。

行政機関や金融機関、医療機関などは以前から本人確認を行っていましたが、今ではインターネットサービスを中心に、たくさんの企業も提供するサービスが本人が使っているものなのかを確認しながら提供しています。そうやって顧客のデータが管理されていく中で、その顧客の購入履歴などのデータをもとの顧客データに追加していくことで、ユーザーが一度利用したモノやサービスを再度利用しやすくなるメリットがあるわけです。いわゆる飲食店の常連さんが注文する「いつもの」みたいなやつですね。

 本人かどうか確認できた個人に対して、一度利用したモノやサービスを次から頼みやすくできることは、その商品を気に入った人にも再度購入してもらえる企業やお店にも双方のメリットになります。購入履歴などの個人情報は、直接個人と企業の間でだけ利用され、外に漏れない限りは良いんです。

問題はその購入履歴を参考にしたい別の企業があった場合に、今までは個人情報を収集した企業との取引という形になり、個人には秘密のまま取引されるか、わずかなポイントなどを与えられてごまかされていた例えばポイントカードなどは規約に利用方法が書かれているのかもしれないけど、ほとんどの人は小さい文字でずらずら書かれた規約を見ていないんです。そこを個人がコントロールできるようになり、個人が信頼できる(便利に利用できる)企業や、納得できる対価を示してくれた企業だけに個人情報を渡すことができれば、個人情報の企業間のやり取りで個人に分配される対価はかなり大きくなるし、納得できないところには渡さないという選択もできます。

 また、重要な個人情報の一つとして身体の情報、特に身体の検査データや、ケガや病気の既往歴、飲んでいる薬や受けている治療などの医療データがあります。非常に繊細で他人にあまり知られたくないような情報が多いので、医療機関などでも厳重な取り扱いをしているのですが、医療データのコントロールは個々の医療機関が行っていて、たとえ本人であっても自由に利用することは難しくなっています。そして医療機関同士の情報のやり取りはいまだに紙に頼っているような現状です。

しかし医療的な判断は過去のデータもあるに越したことはないですし、個人が本人の医療データのやり取りに介入することができるようになれば、今まで受診していなかった診療科目の医療機関で受診する際や、セカンドオピニオンを受ける際にも過去の医療データを使うことができるため、かなり大きなメリットになります。健康は大事ですから!

 さらに、そういった医療データを欲しがる企業もあるでしょうし、研究や統計に使うこともできるので、見合った対価を出してくれる企業や、社会に役立つ取り組みをしているところに自分で選んで渡すことができれば良いですよね!

 購入履歴や医療データはひとつの例ですが、個人情報を「安全に管理」できて、「個人がコントロール」できるようになれば、対価を得ることができたり、情報で社会に貢献することができるようになります。

そして個人情報を運用する手助けをしてくれて、利益を得られる仕組みが「情報銀行」ということなんです。

情報銀行の課題

情報銀行のこれからの課題としては、PDSで個人情報を安全に管理するためにはどういった仕組みが必要なのか情報銀行が個人情報を運用するための手数料はどれくらいが妥当なのか個人情報を取引する市場の整備はどうするのか、などが考えられます。

PDSは個人情報をどれだけ安全に管理できるかがカギになるので、民間企業が管理する形になるのか、行政の仕組みのなかに位置付けるのか、どちらがより安全かというところから考えなければならないんですね。民間企業が管理する場合は市場競争をしていくのか、行政の委託という形になるのかというところも論点になってきます。

 うめ吉としては、民間が市場競争のなかで管理をしていく形で、行政がチェックをする仕組みが良いんじゃないかと思うんだけど、どうなんだろう?

情報銀行の手数料はあまり高くなりすぎると、従来の巨大IT企業による情報支配と変わりがなくなってしまいます。むしろGAFAよりも行政のお墨付きをもらっているだけタチが悪いかもしれないですね。市場競争によってより個人への還元率が高い情報銀行が生き残っていく形にしていかないといけません。

個人情報を取引する市場(データ取引市場)はどういう整備が必要なのか、さっぱり見当がつきません…引き続き市場の動きをニュースなどで追いながら注視していきます。

情報銀行について、なんとなくわかりましたか?

 今までなかった仕組みなんで、自分でも把握しきれていない部分もあるし、どんどん疑問がふくらんで全部書こうと思ったら書ききれないぐらいですけど、少しずつ勉強して理解していこうと思います。

今回はここまで。うめ吉でした!

コメント