「データを組み合わせて個人を特定」は日立との契約で禁止
要するに、個人情報保護法には抵触しないということだ。ただ、産業技術総合研究所情報セキュリティ研究センター主任研究員の高木浩光氏は6月28日、ツイッターでこう問題点を指摘している。
「これが、単に住所氏名等の特定個人識別情報を排除しただけで、生の履歴データであるなら、明らかに総務省パーソナルデータ研究会報告書の言う『保護されるパーソナルデータ』に当たり、いくつもの義務が課されようとしているところだ。総務省報告書は、『本人同意を得なくても利活用を行うことができる』要件として、
①適切な匿名化措置を施していること
②匿名化したデータを再識別化しないことを約束・公表すること
③匿名化したデータを第三者提供する場合は、提供先が再識別化することを契約で禁止すること
としている。今回の日立の発表は、JR東日本が『再識別化しないことを約束・公表する』ものなのか、日立がJR東日本から『再識別化を契約で禁止』されているのか、明らかにしていない。約束・公表するのはJR東日本側であって日立側ではないが……」
これについて、JR東日本と日立製作所はともに、「再識別化、すなわちデータを組み合わせて個人を再特定することは、契約の中で禁止されている」と話した。また、これを「約束・公表」しなかったのは、「契約の中でしっかり禁止しておりますし、日立は信頼のおける企業ですので…」(JR東日本)と説明した。
それでも心情として「気持ち悪い」という場合、いったいどうすればいいのか。
自分のデータを提供しないようJR東日本に請求すれば止められるのかについては、JR東日本は「不可能ではないのかな、と思います」と話す。ネットでは、「無記名式Suicaにすればいいじゃんw」「気持ち悪いからSuicaやめてPASMOにするわ」という意見も見られる。
なお、JR東日本は、今後も「信頼のおける」企業に対してはデータの提供を行っていく可能性があるとしている。