インタビューレポート

本日は「個人情報の使い方にルールを追加し、悪質な違反には課徴金を科せるようにする法案」について、感じていることや気になる点を伺います。差し支えない範囲で大丈夫ですので、率直にお聞かせください。 この法案にどういう立場で関わっていますか。

本日は、「個人情報の使い方にルールを追加し、悪質な違反には課徴金を科せるようにする法案」について、率直なお考えを伺えればと思います。差し支えない範囲で結構ですので、この法案にどういう立場で関わっていますか。

ありがとうございます。一般の立場で個人データの使われ方が気になるのですね。 今回の個人情報保護法の改正について、現時点でどの程度ご存知ですか。

承知しました。では前提をそろえるために要点だけ短く触れると、今回の改正は①AI開発・統計目的なら一定条件で同意なしにデータ提供が可能に、②16歳未満の子ども情報と顔データの保護強化、③悪質で大規模な違反に課徴金、④名簿転売の確認義務強化、などが柱です。 この法改正について、全体としてどのように評価していますか。

承知しました。AIのところは、この法案だと大きく「統計情報の作成やAI開発“だけ”が目的の場合」に、本人の同意がなくても個人データを他の事業者に提供できるようにする、という方向です。 そのうえで伺いたいのですが、この「同意なしでもAI開発目的ならデータ提供があり得る」という点について、今の時点の印象はどちらに近いですか。

不安や抵抗感があるのですね。 その不安は、どんな場面を想像したときに強く感じますか。

率直なお気持ち、よく分かります。 補足すると、この法案は「規約に何も書かれていなくても自由に使っていい」という形ではなく、あくまで「統計作成やAI開発“だけ”の目的」で、目的外利用は禁止、という建て付けです（ただ、本人の“明確な同意”がなくても第三者提供が起こり得る点は変わりません）。 この前提を踏まえたうえで、もし同意なしの仕組みを導入するとしても、最低限ここは守ってほしいと思う条件はどんなものですか。

懸念のイメージ、伝わってきました。 確認だけさせてください。「LINEのデータが、第三者に渡って“ばら撒きAI”みたいなものができてしまう」という不安は、主に“第三者に提供されること自体”が一番の引っかかりですか。

ありがとうございます。第三者提供そのものへの抵抗感に加えて、「同意なし」を入口に抜け穴ができてしまう不安があるのですね。 その「抜け穴になりそう」と感じるのは、どういう形での悪用・すり抜けを想像していますか。

ありがとうございます。法案の細部が見えない中で、「AI」を口実に不正取得や目的外利用が起きるのでは、という不安なのですね。 補足すると、この法案のAI関連は「統計情報の作成やAI開発“のためだけ”」に限って、同意なしで“他の事業者に提供”を可能にする方向で、目的外利用は禁止という前提です。一方で、ご指摘のように“AIと言えば通ってしまう”運用にならないよう、線引きと監視が重要な論点になります。 そのうえで伺いたいのですが、「AI開発のためだけ」を掲げてデータ提供できるようにする場合、どんなチェックや歯止めがあれば「抜け穴になりにくい」と感じられそうですか。

おっしゃる通りで、「少なくとも同意と周知で、本人に“認識させる”ことが必要」という感覚なのですね。また、事業者に悪意がなくてもAIが個人情報を出力してしまうリスク（いわゆる漏えい・流出）を強く懸念されている点も重要だと思いました。 では確認したいのですが、この法案が仮に“同意なしの第三者提供”を残すとしても、最低限「通知（あとからでも可）」が義務なら受け入れやすさは変わりそうですか。

ありがとうございます。「事後通知ではなく事前に確認（同意）」「AIはブラックボックスで、意図せず個人情報を出力しうる」という前提が強いのですね。あわせて、“個人情報を含まない範囲なら同意なしもギリ許容”という線引きも見えてきました。 ここで伺いたいのですが、あなたの感覚で「個人情報を含まない」と言えるのは、どんなデータの状態を想像していますか。

なるほど、SNSやウェブサイトなど「もともと公開されている情報」なら許容しやすい、という線引きなのですね。 今回の法改正で、あなたが特に気になっている点はどれですか。

承知しました。「一定の条件のもとに、同意なく個人データが使われるようになること」が特に気になっているのですね。 その点が気になるのは、どのような背景や経験からですか。

ありがとうございます。いまのお話を整理すると、 - 本人が事前に認識して同意していないデータ利用は受け入れにくい - AIは意図せず個人情報を出力してしまうリスクがあり、いったん使われると取り返しがつきにくい - 公開情報（SNSやWeb）のように元からオープンなものは、まだ許容しやすい という点が背景にある、という理解で合っていますか。

ありがとうございます。理解は合っていそうで安心しました。 最後に、この法案について「制度を設計する人」に伝えるとしたら、どんな点を重視して設計してほしいですか。

承知しました。まずその前段として伺います。 「流出が多い」という実感は、どんな出来事（ニュース、身近な会社・サービス、自分の体験など）を見聞きしたことから強くなりましたか。

身近なサービスでの流出が続いている実感があって、特に日本企業は多いのではという感覚もあるのですね。自社サーバー運用が背景にあり、クラウド活用を進めた方がいいというお考えも理解しました。 その上で伺いたいのですが、今回の法案の「悪質な違反には課徴金（大規模な違反など一定の条件つき）」の仕組みについては、流出が多い現状への対策として“効きそう”だと感じますか。

具体案まで出ていて、とても分かりやすいです。一定規模以上は「資格を持った第三者がセキュリティ評価する」仕組みが必要、ということですね。 その“評価を義務にする対象”の「一定のレベル」は、どんな基準（扱うデータの種類、人数、売上、業種など）で線を引くのが現実的だと思いますか。

ありがとうございます。ユーザー数の規模と、扱うデータの機微さ（メールアドレスか、カード情報か等）で線引きするのが現実的、ということですね。 その線引きでいうと、顔データ（顔認証の特徴量など）は、どのレベルのデータとして扱うべきだと感じますか。

ありがとうございます。流出したときの損害の大きさや、個人が特定できるかどうかで線引きして、その評価は資格を持つ第三者が担うべき、というお考えですね。 この法案には「顔データを扱う事業者は、その事実や利用目的を公表する」「本人は理由を問わず利用停止を求められる」といったルールが入りますが、あなたの問題意識（第三者評価）に照らすと、顔データについては“事業者の公表や停止請求”に加えて、どんな仕組みがあると安心感が上がりそうですか。

なるほど、顔写真・顔データは「本人確認で必要になりがちだからこそ、企業が保持しない仕組みにして流出リスク自体を減らしたい」という発想なのですね。 伺いたいのですが、国が本人確認のOAuth的な仕組みを作るとして、民間サービス側は最終的に「本人確認できた／できてない」だけ分かれば十分だと思いますか。

ありがとうございます。民間が欲しいのは個人情報そのものではなく、「本人確認できた」という保証や不正利用されにくさ、ということですね。 では最後に、この法案について制度を設計する人に伝えるとしたら、どんな方向性（同意の扱い、第三者評価の義務化、国による本人確認基盤など）を重視して進めてほしいですか。

ありがとうございます。日本のAI開発は進んでほしい一方で、個人情報の扱いは一線を引くべき、というバランス感覚なのですね。あわせて、国主導の本人確認OAuth基盤を作って「企業に個人情報を持たせない」方向を重視したい、ということも理解しました。 ここまで伺った内容をもとに、これまでの内容をまとめ、レポートを作成します。

お時間をいただき、ありがとうございました。ここまでの内容でレポート案をまとめました。事実関係やニュアンスにズレがないか、ご確認ください。