エストニアの個人番号と個人データ保護の関係:個人情報を「ひとり歩き」させないために

マイナンバー制度、3年目でも課題のITリテラシー 日経 xTECH/日経コンピュータ
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00138/082000128/

「経団連と経済同友会はいずれもエストニアの国民IDが氏名と同様に秘密にする必要がなく公知のものとして扱っていると脚注に記載している」とあるので、エストニアの個人番号と個人データ保護との関係について解説しておきます。

まず、エストニアはEU加盟国なので、他のEU加盟国と同様に個人情報保護法(個人データ保護法:Personal Data Protection Act)を整備しています。

この法律の中で、個人データを処理する(processing personal data)際に、処理者(processor)が従うべき7つの原則を定めています。

ここで言う「個人データの処理」は、収集、記録、編成、保管、改変、開示、個人データへのアクセスの許可、検索、組み合わせ、消去、破棄など、「個人データを使用して行うあらゆる行為」を意味します。

エストニアの個人データ処理の原則

1 合法性の原則:個人データは、誠実かつ法に従った方法でのみ収集される。

2 目的性の原則:個人データは、決定された合法的目的の達成のためにのみ収集され、データ処理の目的に適合しない方法で処理されない。

3 最小主義の原則:個人データは、定められた目的を達成するために必要な範囲でのみ収集される。

4 制限された使用の原則:個人データは、データ主体の同意を得て、または管轄当局の許可を得てのみ、他の目的のために使用される。

5 データ品質の原則:個人データは、データ処理の目的を達成するために、最新かつ完全で必要なものでなければならない。

6 セキュリティの原則:個人データを不本意または不正な処理・開示・破壊から保護するためのセキュリティ対策が適用される。

7 個人参加の原則:データ主体は、自分に関するデータの収集を通知され、データ主体は、データに関するアクセス権を与えられ、データ主体は、不正確または誤解を招くデータの訂正を求める権利を有する。

日本の個人情報の保護に関する法律には、こうした原則は明記されていません。

エストニアにおける個人データ処理の許可

個人データの処理の許可(permission)は、 法律で別段の定めがない限り、データ主体(本人)の同意が必要です。同意の有無について紛争がある場合、データ主体の同意の証明の負担は、個人データの処理者側にあります。

氏名や個人番号(国民ID)も個人データなので、当然ながら利用する場合は「本人の同意」が必要です。「本人の同意」が無い場合は、他の法律による根拠が必要です。

例えば、会社の登記情報には代表者の氏名と共に個人番号も併記されており、インターネット経由で誰でも閲覧可能ですが、それはあくまでも法律に基づく登記制度の一環として提供されるものです。そこから得た氏名や個人番号を、他の目的のために他人や企業が勝手に利用して良いということではありません。

もちろん、災害等の緊急時に本人から同意を得ることができない場合などは、本人の同意なしに個人データを利用することは可能ですが、そうした例外は非常に限られています。

日本の個人情報の保護に関する法律には、個人情報の処理の許可について、「法律で別段の定めがない限り、データ主体(本人)の同意が必要」といった規定がありません。かろうじて要配慮個人情報については、「取得」に限って「事前の同意が必要」としています(同法第17条)。

マイナンバー制度、3年目でも課題のITリテラシーでは、水町雅子弁護士が次のように解説されています。

マイナンバーを個人情報と同じく扱えるように法律を変えると、利用範囲の制限がなくなる。ネットへの公開は個人情報の第三者提供に当たるので、企業がオプトアウト(利用停止)の手段を用意すれば本人の同意なくネット上にマイナンバーとひも付いた個人情報を提供できてしまう。「本人が拒否して初めて削除が可能になる」(水町氏)。

また、水町弁護士は、「マイナンバー制度はマイナンバーの利便性を自ら下げることで、マイナンバーが悪用されても検索できる情報の範囲を減らしている」と説明されています。

エストニアでは、個人番号の利便性を下げることはせず、個人番号を含む個人データの処理の許可について「本人の同意、または法律による定め」が必要という原則を徹底させることで、本人の同意なしに個人情報が「ひとり歩き」しないようにしています。

私自身は、マイナンバーをもう少し使いやすいものにした方が良いとは思っていますが、その前に個人情報保護法の見直しが必要と考えています。

日本の個人情報保護法や行政機関個人情報保護法でも、エストニアのような「個人データ処理の原則」を明記して、本人の同意を基本要件とする「個人データ処理の許可」を規定すれば、マイナンバーに関する議論も今より建設的・合理的なものになると思います。


レポート「プログラミング教育の進め方」を公開しました
http://agora-web.jp/archives/2034328.html
プログラミング教育は、1)論理的思考(力)の育成、2)コンピュータプログラムとは何かを理解させる、3)プログラマーを育てるの三段階から構成されますが、義務教育段階では第一・第二段階に力点を置くのが適切。多様な子どもたちがそれぞれの得意分野を中心に個性を発揮しながら協力する協働学習がプログラミング教育の形態として適していると。

「電子薬」の登場と、そのポテンシャル
https://tech.nikkeibp.co.jp/dm/atcl/feature/15/073000169/082100002/
「電子薬」とは、末梢神経系の異常シグナルをモニタリング・調整することで、自己免疫疾患やメンタルヘルスを治療するニューロモジュレーションデバイスのこと。自己免疫疾患(リウマチ、全身性炎症反応症候群、炎症性腸疾患)やメンタルヘルス(PTSD、うつ)などが研究対象で、治療コストの低減が期待されると。


グレーゾーン解消制度に係る事業者からの照会に対し回答がありました
疾患診断補助機器の開発のための個人情報の提供に係る個人情報保護法等の取り扱い
2018年7月31日
http://www.meti.go.jp/press/2018/07/20180731012/20180731012.html
照会者や学会が、医療機関から患者の電子カルテ情報(個人情報)の提供を受け、当該情報をAIが学習することで、診断補助手法のアルゴリズムを開発し、当該アルゴリズムを利用して機器開発を行う場合、

・本事業における個人情報の提供においては、照会者は、学会及び加盟医療機関と共同研究に属する者として一つの主体とみなすことができることから、「大学その他の学術研究を目的とする機関若しくは団体又はそれに属する者」に該当する。

・照会者は、新たな診断補助に必要なアルゴリズムを開発する目的に限って個人情報を利用することとしていることから、当該アルゴリズムの開発は「学術研究の用に供する目的」に該当する。したがって、照会者は、個人情報保護法第76条第1項第3号(適用除外)の要件を満たし、個人情報の提供を行うことが可能である。

・本事業において、患者に対して研究の実施等について通知又は公開を行い、拒否できる機会を保障すること等の所定の手続を行うこととしていることから、研究対象者等も含めて本手続を行うことを前提に、上記倫理指針の要件を満たすと考えて差し支えない。


既得権者が甘い蜜を吸うだけの日本AIに未来はない~“資金の補給路なし” 負け戦と認識せよ【東大・松尾豊氏×外資就活・音成 スペシャル対談(上)】
https://gaishishukatsu.com/archives/124169
AI研究は、ディープラーニングの研究開発競争のように見えて、本質的には補給路を作る戦いであり、日本が逆転するチャンスは基本ない。大手ITベンダーに予算が流れており、彼らは社会へのAI導入を推進するという触れ込みで活動しているが、実態は単なる「IT」を「AI」と呼んでいるだけと。

携帯大手「もうけ過ぎ」批判=増える家計負担
https://headlines.yahoo.co.jp/hl?a=20180823-00000098-jij-bus_all
違約金払ったとしてもすぐに回収できると思うので、格安SIMに乗り換えれば良いと思うのですが。。ちなみに現在の私は、自分と家族のスマホ回線+iPadデータ通信=SIM3つで月5000円弱。以前は、家族のスマホ(ソフトバンク)だけで月8000円ぐらい取られてました。

スノーデンから始まったWeb暗号化、最新TLS1.3で何が変わる?
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00047/00006/
TLS1.3では、サーバがサポートしているパラメータをクライアントがあらかじめ幾つか想定し、ハンドシェイクを開始する。サーバは、合意ができるパラメータがあれば、次の認証ステップへと進み、もし合意できなければ、サーバがハンドシェイクをやり直すようクライアントに差し戻すことになる。再接続時にハンドシェイク開始とともにアプリケーションを暗号化して送付する0-RTT接続の機能が、新しくサポートされたと。

スマホにマイナンバー機能、実現に課題山積
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/00858/
マイナンバーカードの内蔵ICチップに搭載した公的個人認証サービス(JPKI)の電子証明書(利用者証明機能)をスマホにも搭載できるようにする取り組みを進めているが、どのようなやり方で提供するか、マイナンバー制度の理解不足への対応などが課題と。
関連>>個人番号カード・公的個人認証サービス等の利活用推進の在り方に関する懇談会
スマートフォンへの利用者証明機能ダウンロード検討サブワーキンググループ
http://www.soumu.go.jp/main_sosiki/kenkyu/mynumber-card/index.html

ExcelとRPAを止めれば生産性が上がる
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00166/080700011/
システムとは、「ある程度広範囲の部門にまたがる仕組みとそれを支える情報提供を指し、特定の人に頼らず、ほぼ自動で処理できるもの」だと。「前より少ない人員でこなせれば素晴らしい」、「より少ない人員で作業をこなすには作業の内容や流れを見直し、効率が前よりは良いやり方を考える」といった記述があるように、「前より少ない人員で仕事をこなす」というニーズや目標が経営者と労働者とで一致していない限り、生産性は向上しませんよね。一致させるのが難しい場合は、別の視点から目標を再設定する必要があります。


Windowsのサマータイム対応はアップデートが必要、難題は組み込み機器
https://tech.nikkeibp.co.jp/atcl/nxt/news/18/02305/
Windowsは決済端末やキオスク端末、工場設備などの組み込み機器にも多く使われている。これらの機器でWindows Updateを適用しにくい場合、サマータイム対応が難題になる可能性があると。

What is Crypto-Agility?
https://www.cryptomathic.com/news-events/blog/what-is-crypto-agility
暗号アジリティの解説を読んでから、サマータイム対応の話題を考えると、環境や状況の変化に対応するのに時間がかかりすぎるのは良いことではなく、ましてや導入が「不可能」というのは、褒められた状況ではないですよね。最近だと、西オーストラリア州で、2006~2009年の3年間サマータイムを試験導入したそうですが、この時のシステム対応はどんな感じだったのでしょうか。
関連>>「サマータイム実施は不可能」スライドが話題 「経済被害が兆単位」「サイバーテロをお膳立て」立命大・上原教授が指摘
http://www.itmedia.co.jp/news/articles/1808/10/news090.html
オーストラリアの時差と現在時刻
https://www.time-j.net/WorldTime/Country/AU
Confusion over Daylight Saving Time in Australia and New Zealand
https://www.timeanddate.com/news/time/australia-nz-daylight-saving-2008.html
The Complexity of Time Data Programming
https://www.mojotech.com/blog/the-complexity-of-time-data-programming/
Problems and Solutions for Adjusting to Changes in Daylight Saving Time
https://www.maximintegrated.com/en/app-notes/index.mvp/id/3778
Embedded systems, in contrast, often have limited software, firmware, or memory resources, are limited to sales in North America, and may still implement DST by using the RTC’s integrated DST function.

yasuokaの日記: 日本の法令における「一日」と「二十四時間」
https://srad.jp/~yasuoka/journal/623028/
サマータイムについて、既存の法令との矛盾を全て徹底的に調査して、どこをどう直せば全体として整合性が取れるのかといった議論が必要と。


なぜ「なんでも外注主義」が地方を滅ぼすのか
https://toyokeizai.net/articles/-/230176
調査などレポート作成に多額の予算を積むのであれば、その一部でも行政であれば職員に、企業であれば社員が自ら調べたり、考えるのに必要なスキルを身に付けるのに調査予算を委ねて自前で調査させたり、自ら研修に参加する予算を捻出して人材投資をするほうが、地方にとっては「自力で考える力」を形成できると。

佐川急便の不正アプリ対策でトレンドマイクロがバッシングされた真相
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00138/080700122/
2017年4月に更新された別の不正アプリに関する記事では、「提供元不明アプリのインストールを許可しない」を不正アプリ対策の一つとして挙げていた。2018年8月2日に更新された佐川急便の不正アプリに関する新しい記事でも、「提供元不明アプリのインストールを許可しない」を紹介している。トレンドマイクロの最新記事だけを見て対策を報じたメディアがあったというのが真相のようだと。とりあえず、iPhoneの利用者が増えそうですね。
関連>>記者よりもネットデマが信用される時代
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00138/081000125/

週2日の食事制限強化でもHbA1cは減らせる
https://medical.nikkeibp.co.jp/leaf/mem/pub/hotnews/jama/201808/557295.html
間欠的制限群は、1週間に2回(連続しない日)摂取エネルギーを500~600kcalに抑える日を作り、あとの5日は通常の食事を摂った。制限日でも最小限50gの蛋白質は摂取するように指導を受けた。持続的制限群は、毎日の摂取エネルギーを1200~1500kcalに、栄養素の比率は蛋白質30%、炭水化物45%、脂質25%になるような食事を持続するよう指導を受けたと。和食+果物+スイーツといった食生活だと、蛋白質不足で、炭水化物の割合が80%ぐらいになっちゃうんですよね。個人的には、蛋白質30%、炭水化物30%、脂質40%ぐらいを目安にして、多様性の高い食事を心がけています。