日立製作所は2013年6月27日、JR東日本のSuicaの乗降履歴をビッグデータとして活用し、駅エリアマーケティング情報として提供するサービスを開始すると発表した。
これに「行動を監視されているようで気持ち悪い」とネットで不安が広がっている。
飲食履歴や、物販に関するデータは含まない
「日立 交通系ICカード分析情報提供サービス」は7月1日に開始した。リリースによると、個人情報を含まない交通系ICカード「Suica」の履歴情報の提供を受け、日立のビッグデータ解析技術で分析、首都圏における「駅利用状況分析リポート」を提供するサービスだという。
「駅利用状況分析リポート」は毎月定期的に提供され、駅の利用者の性年代構成をはじめ、滞在時間、乗降時間帯や独自に分析した利用目的(訪問者/居住者など)などを可視化し、平日・休日別に報告する。
これに対して、ネットで「気持ち悪い。何だか嫌だ」と拒否反応が広がっている。「個人情報を含まない」と一口に言っても、どんなデータを集めてどう扱っているのかわからないので、行動を監視されているようで気持ち悪い、あるいは、個人情報の利用の仕方に問題があるのでは、と言う。個人情報は、第三者への提供をおこなう場合、基本的には事前に本人から同意を得ることが必要になる。
そこで、JR東日本にJ-CASTが問い合わせたところ、「個人が特定できないので、個人情報とは考えていない」という。今回、日立に提供したデータは、記名式Suicaの登録を通じて取得した個人情報を匿名化処理したもの。具体的な内容は「駅の乗降履歴、利用額、日時、性別、年齢」で、「氏名、電話番号、住所、生年月日」はあらかじめのぞいてある。一般に、匿名化処理されたデータは個人情報とはみなされない。
また、日立製作所も「あくまで統計データとしてまとめているので、個人が特定できることはない」と強調した。
一部には飲食や購入履歴も提供されるとの誤解もあるが、提供されているのはあくまで乗降履歴だけで、レストランやショップの利用など、物販履歴は含まないそうだ。
「データを組み合わせて個人を特定」は日立との契約で禁止
要するに、個人情報保護法には抵触しないということだ。ただ、産業技術総合研究所情報セキュリティ研究センター主任研究員の高木浩光氏は6月28日、ツイッターでこう問題点を指摘している。
「これが、単に住所氏名等の特定個人識別情報を排除しただけで、生の履歴データであるなら、明らかに総務省パーソナルデータ研究会報告書の言う『保護されるパーソナルデータ』に当たり、いくつもの義務が課されようとしているところだ。総務省報告書は、『本人同意を得なくても利活用を行うことができる』要件として、
①適切な匿名化措置を施していること
②匿名化したデータを再識別化しないことを約束・公表すること
③匿名化したデータを第三者提供する場合は、提供先が再識別化することを契約で禁止すること
としている。今回の日立の発表は、JR東日本が『再識別化しないことを約束・公表する』ものなのか、日立がJR東日本から『再識別化を契約で禁止』されているのか、明らかにしていない。約束・公表するのはJR東日本側であって日立側ではないが……」
これについて、JR東日本と日立製作所はともに、「再識別化、すなわちデータを組み合わせて個人を再特定することは、契約の中で禁止されている」と話した。また、これを「約束・公表」しなかったのは、「契約の中でしっかり禁止しておりますし、日立は信頼のおける企業ですので…」(JR東日本)と説明した。
それでも心情として「気持ち悪い」という場合、いったいどうすればいいのか。
自分のデータを提供しないようJR東日本に請求すれば止められるのかについては、JR東日本は「不可能ではないのかな、と思います」と話す。ネットでは、「無記名式Suicaにすればいいじゃんw」「気持ち悪いからSuicaやめてPASMOにするわ」という意見も見られる。
なお、JR東日本は、今後も「信頼のおける」企業に対してはデータの提供を行っていく可能性があるとしている。