IAPP Data Protection Congress in Brussels　での Viktor Mayer-Schönberger （「ビッグデータの正体」の著者）のKeynote address　あるいは同じ内容が書かれた"Data Protection Principles for the 21st Century;”に対する Privacy by Design提唱者のAnn Cavoukianの論争をまとめてみた。というのは、この論争がビッグデータの利活用における個人のプライバシー情報の扱いについての本質的な論点だからだ。

1. Schönberger vs. Cavoukian 論争
説明責任 か 同意 か
中川裕志
（東京大学）
ショーンベルガー対カブキアンの論争

2. まえおき
 IAPP Data Protection Congress in Brussels での Viktor
Mayer-Schönberger （「ビッグデータの正体」の著者）の
Keynote address
http://www.youtube.com/watch?v=40fSCZaLv_A
• あるいは同じ内容が書かれた"Data Protection Principles
for the 21st Century;”
• http://www.oii.ox.ac.uk/publications/Data_Protection_Prin
ciples_for_the_21st_Century.pdf
 に対する Privacy by Design提唱者のAnn Cavoukianの論争
をまとめる。
 というのは、この論争がビッグデータの利活用における個
人のプライバシー情報の扱いについての本質的な論点だ
からだ。

3. この論争については 第9回GSDMプラットフォー
ムセミナー国際シンポジウム『ビックデータ時代
における越境データの国際ルール作りと成長戦
略への寄与』3月12日 （本郷キャンパス 小柴
ホール）でＫＤＤＩの高崎先生が欧米からのパネ
ラーに質問されました。だが、残念ながら満足の
いく回答は得られなかった。
そこで、個人情報保護法の改正の動きの中、こ
の論争についての私の理解と問題点の指摘を
する。（紛らわしい場合は中川の意見は緑字で
書く）
追記

4. Schőnbergerの主張
• 文書としての出展は"Data Protection
Principles for the 21st Century;”
• http://www.oii.ox.ac.uk/publications/Data_Pr
otection_Principles_for_the_21st_Century.pdf
• 上記の文書で触れられている1980年制定の
OECDのData Protection Guideline† 改正案と
コメントがSchönbergerの主張
• 以下にその要点を述べる。
†各国のデータ保護法制の基礎になってきた。

5. データ業者が個人情報を収集、利用する
ことについての同意の形骸化
 Webサービスに参加、あるいはWebアプリやソフトのダウンロード
時に、「同意します」を儀式的にクリックするが、その一方で、契約
文書を読んだ人は果たしてどれほどいるだろうか？
 例えば、2008年の調査では、このような契約文書（プライバシー・
ポリシー）をちゃんと読むと、年間244時間（＝30日間のフル仕事）
になってしまう。
 プライバシー・ポリシーはサービスやアプリの利用者に自己情報
開示の度合いを選ぶ権利を与えていない。さらに第3者への利用
者データの転移の状況も教えないという。そして、「同意」しなきゃ
サービスやアプリは使えないだけだよ、というある意味非常に不平
等な契約。（付合契約というらしい）
 こんなわけで、本来は「通知と同意」(notice and consent)という枠
組みは有効なプライバシー保護を与えるはずだったのに、現状で
は全く非効率ないし実質的に機能しない

6. 同意から説明責任へ
 データ源の個人の同意が実効性がなくなっているので、別のアプ
ローチが必要
 本質的に個人データ収集時には、どのような利用方法があるか予
測しきれない。
 同意の内容は「データ利用法を限定しない包括的」かつ「データ事業
者側に有利なもの」にならざるを得ない。
 別の方向性
 データ事業者（個人データ収集とデータマイニングなどの利用を行
う業者）が、収集、利用について説明責任(accountability)を持つ。
 データ源の個人からの要求による説明責任の実行は法律で担保
する。
 この説明責任の実行がデータ事業者が個人データの利用以前、
以後を通じてできるのかどうかがキーポイント。
 そのための技術的課題も明らかにしないといけない。（中川）

7. 提案されたOECD Data Protection Principleｓ
Accountability関連の改正の骨子
a. データ事業者（データ収集者を含む）は、どのようなデータがどのように
使われるか、またデータ源の個人はどのような権利を有するかを開示
しなければならない （無料）
b. データ事業者は、彼らのミスによって起こる可能性のある被害を明記す
ること
c. データ源の個人は、自己データへのアクセス、訂正、消去を速やかに
実行させる権利を持つ。
a. 権利執行にかかる費用は不当なものであってはならない。
d. データ事業者は上記の個人からの要請に応えなければならない。もし
応えられない場合は、その合法的な理由を明示しなければならない
a. ここから先は法的措置であろうか（中川）

8. Cavoukianの反論
• 責任あるデータ利用や accountability は良いにしても、
• 個人情報の利用に関連する決定においてデータ源の
個人を蚊帳の外に置き、同意不要、あるいは同意の
形骸化には反対
• Accountability モデルは (データ処理以前のプライバ
シー保護を目指す） Privacy by Design （PbD)に反する
– データ事業者側に個人データ処理の主導権がある
– プライバシー関連の問題が起きてからの処理では
– too little, too late;
• Schönbergerの改正案では必ずしも問題が起きてからの処理とは
言っていないように見えるが。（事前と明記しているわけでもない）
 キーポイントはPbDと哲学の差のように見える（中川）

9. 参考：Privacy by Design
1. Proactive not Reactive: 事後の尻ぬぐいではな
く事前に対策を;
2. Privacy 配慮はデフォールト;
3. Privacy 対応策は制度、システム設計時に;
4. ゼロサムではなく win-win : Privacy対策をしっ
かりやれば、データ業者側にも得になる;
5. End-to-End Security: データが活きている間は
いつもProtection;
6. 可視性と透明性: 公開性を確保;
7. User Privacyを中心に考えるべし.
Schönbergerとほとんど同じ主張にみえる。差は、実行主体が誰か、とい
つ実行するか、にあるようだ

10. Canoukianの主張
Innovate with De-Identified Data
• De-identification（匿名化）と扱うデータの最小化が
個人情報保護の最重要課題
• 匿名化データ、暗号化されたデータ、曖昧化された
データでデータ事業者の目的が達成できるなら、直
接個人データを収集し処理すべきでない
• なぜなら匿名化、暗号化などの技術はすでに十分
使える状態
– 匿名化データの定義が実は不明確に見える。
Linkabilityをカバーしているかどうかが判然としない
– 暗号化は依然としてかなり重い処理（中川）

11. Cavoukian のカウンターの提案
Personal Data Ecosystem：ＰＤＥ
 情報サイロと呼ばれる寡占状態を打破して、個人に自己データの
利用決定権を取り戻し、他人（あるいはデータ事業者）と契約によ
りシェアする
 個人による自己データ管理のアイデアに賛同し、それをシェアする
ための新規ツール、技術、ポリシーを共有するデータ事業者の集
合をＰＤＥと呼ぶ
 個人データ管理権が個人になることによって、新規の方法でデー
タ利用することが、個人も巻き込んで進展すれば、個人、データ事
業者の双方にとって win-win という主張
 理想的ではあるが、特に知識を持たない一般の個人がそれだけの判
断ができるかどうか疑問（中川）
 個人とデータ事業者の間にデータ仲介者が必要になるのではないか。
 ツールはＶＲＭ(Vender Relation Management)に関連したものであり、
仲介者はVRMにおける第4者（Fourth Party)になるかもしれない（ドク・
サールズのインテンション・エコノミー）

12. Data Protection Regulation Revision
• 以上で述べてきたS vs. C の論争に関連して見ておくべ
きはData Protection の改正案
• 改正案は2014年3月12日にEU議会で276 対30で可決。
– http://europa.eu/rapid/press-release_MEMO-14-
186_en.htm
– 旧Data Protection Directiveは1980年
• 中心的ポイントを以下に述べるが、Cavoukianの考え
に近い。
– ただし、かなり急進的。
– 成案となるためには欧州理事会でも可決しないといけな
いため、見通しは不透明。

13. Data Protection Regulation Revision 抜粋１
http://europa.eu/rapid/press-release_MEMO-14-186_en.htm
• A right to be forgotten:
– When you no longer want your data to be processed
and there are no legitimate grounds for retaining it,
the data will be deleted. This is about empowering
individuals, not about erasing past events or
restricting freedom of the press.
– SchenbergerもCavoukianもこれを重視する点は同じ
• Easier access to your own data:
– A right to data portability will make it easier for you to
transfer your personal data between service providers.
– これはCavoukianのＰＤＥに近い

14. Data Protection Regulation Revision 抜粋２
http://europa.eu/rapid/press-release_MEMO-14-186_en.htm
• Putting you in control:
– When your consent is required to process your data, you must
be asked to give it explicitly. It cannot be assumed. Saying
nothing is not the same thing as saying yes. Businesses and
organisations will also need to inform you without undue delay
about data breaches that could adversely affect you.
– ここはaccountabilityでも対応するかもしれない
• Data protection first, not an afterthought:
– ‘Privacy by design’ and ‘privacy by default’ will also become
essential principles in EU data protection rules – this means that
data protection safeguards should be built into products and
services from the earliest stage of development, and that
privacy-friendly default settings should be the norm – for
example on social networks.
– Canoukianのアイデアを直接利用

15. ひとまずのまとめ
 SchönbergerもCavoukianも個人データをデータ業者が
どのように蓄積し使うかをデータ源の個人が知り、場
合によっては訂正、消去させる権利（自己情報コント
ロール）の実効性を重視している。
 Schönbergerはデータ業者側のaccountabilityの形を推
奨。ただし、自己情報コントロールがどのタイミングで
発動できるかは明らかでない
 Cavoukianは個人データの管理まで含めてデータ源の
個人が持つ方向を目指す。当然、自己情報コントロー
ルの発動は任意の時刻にできる。

16. ひとまずのまとめ
現在のデータ業者が個人データを収集して利
用するという構図の下では、
結局のところ、 SchönbergerとCavoukianの対
立点をデータ源の個人の自己情報コントロー
ルの発動がいつできるかに帰着
だが、CavoukianのPbDを徹底し、データ管理
権を個人に帰属させる方向でVRMが提唱さ
れてきている。以下で簡単に紹介する。

17. Vender Relation Management:VRM
• PbDに近いアイデアをVRMが提唱している。
– インテンション・エコノミー（ドク・サールズ著）2013
• データ源の個人のプライバシー保護に関しては、
PbDとVRMは驚くほど似た主張をしているが、両
者の間に参照関係は見つからない
– VRMはマーケティングの話なので、元々の分野が違
うからか。
– ＰｂＤの実現形態としてVRM。ただし、両者は完全一
致するわけではない
– 以下では、インテンション・エコノミーに記載されてい
ることで、 SchönbergerとCavoukian論争、およびPbD
に関連の深いところを紹介する。

18. 付合契約
• 契約当事者の一方（企業側）が契約内容の
全てを決める契約であって、もう一方（個人顧
客）は、(1)その契約に同意するか、(2)サービ
スを受けないか、の二者択一しかできない契
約
– Webサービスやソフトライセンスはほとんど全てこ
の契約になっており、 「同意」は不平等。だから、
Schönbergerは企業側のaccountabilityを重視する。
– Accountabilityが実効性があるのは法律の裏付
けがある場合のみだろう。

19. ステークホルダーの関係図
第2者
企業
第3者
クレジットカード会社
など
VRM:
第4者
個人顧客の
代理人
第1者 個人
顧客
弱い
ＶＲＭの提唱する構図
個人側から自分の個人データ
を選んだ企業に使わせてやる、
という契約の仕方
当然、個人データの管理権は
個人側にある
A right to data portabilityに対応
する仕掛け
従来ないし
現在の構図

20. フォースパーティ：第4者
• 図にある第4者はVRM提案の概念で、顧客の利
益を代表し、その代理人として機能する存在。以
下の特性を持つ
1. 取引相手企業の置き換え可能性
2. サービスのポータビリティ
3. データの使用企業を顧客が選べる（ポータビリティ）
 これがPbDの実装と見なせる部分
4. 独立性
5. 説明責任（企業のaccountabilityの代理する）

21. パーソナル・ドットコムの2011年の
「所有者データ契約」
• これがPbDのアイデアの実装となる契約と読
み取れる
1. 個人自身が自分のデータを所有
2. 個人が他者のデータへのアクセスをコントロー
ル
3. 個人が承認した形でだけ業者はデータ利用可
4. 個人の要求による削除
完全な自己情報コントロールになっている。

22. 実現可能なストーリー
 パーソナル・ドットコムの2011年の「所有者データ契約」は完全な
自己情報コントロールの実現
 だが、既存のデータ処理業者には負担も大きく、抵抗も激しいだろう。
 既存の事業者が取り込むことは望み薄なので、VRMシンパとして
新規企業を巻き込むか（Project VRM)
 既存企業に対して個人は第4者を代理人として使って、
accountabilityを実現させるか（Schönbergerの路線）
 Accountabilityの実効性を法律的に担保する公の機関として第3者委
員会（個人情報保護委員会のような組織）が日本的には実現性があ
るのではないだろうか。
 データ業者のプライバシー取り扱い資格を第3者委員会（例えば個人
情報保護委員会） が与える。
 データ源個人の代理人であるVRMの第４者へのお墨付きも第3者委
員会が与える
 この業務をこなせる強力な第3者委員会ないしはその実行機関が作れるかど
うか。。。。 相当大変そう  実現可能じゃないかも