2018年7月31日、官民データ活用推進基本計画実行委員会の第1回データ流通・活用ワーキンググループが開かれました。

この会議で総務省から出された「情報銀行」の話題が、名前のインパクトと相まってマスコミでも多少取り上げられるようになりました。これらの報道で初めて「情報銀行」の話を知った方も多いと思います。

参照「情報銀行」の社会実装に向けた取組/総務省(PDF)

とはいえ、良いものだと思う反面、"なんだかよくわからなくて不安だ..."と感じる方もいらっしゃるでしょう。今回はこの「情報銀行」の現状の計画に触れて行きたいと思います。

「情報銀行」を作る意味とは

まず、情報銀行の目的を見てみましょう。

現在、私たちの個人情報は様々な形で、私たちと個別企業との契約の下、各企業で利用されています。その際、私たちはどの企業にどんな目的で利用をさせているか、許諾を与えています。(プライバシーポリシー等に承諾与える形が多いですね。あまり自覚はないかも知れませんが)しかし、どの企業でどう使われているか、"全て"を把握している人はそうはいませんよね。

情報銀行は、予め「こういう利用目的なら提供して良いよ」と個人に"許諾のライン"を決めてもらいます。その上で、個人情報を使いたい組織の利用目的等、妥当性を判断し、企業等に提供を行う組織です。企業からしてみれば、いちいち一人一人と契約をする必要は無いし、個人は情報銀行を経由し、利用企業から便益を貰えることが容易になります。

仕組みとしてうまく回れば、とても良いものだと思われます。成功すれば、社会の活性化に役立つことでしょう。..."うまく回れば"です。

情報銀行の懸念点

情報銀行の考え方自体は、悪いものではありません。ただ、"上手く使いこなせるか"。ここに懸念があります。

個人の初期設定の問題

今の個人情報は、企業に提供する際、その都度本人が確認をとる形です。それが情報銀行が入ると、情報銀行の判断で提供が行われることになります。ここで、果たして各人が納得できる初期設定ができるか、という問題があります。

例えば、「一部上場企業のマーケティング活用なら提供化可能」という設定をしたとします。これは企業の継続性を考えると、あり得る設定だと思います。

しかし、一部上場企業でも「ブラック企業は嫌だ」「自分の勤め先の競合企業は嫌だ」など、様々な個人の思惑がありますよね。そこをカバーできるだけの設定ができるのだろうか、という懸念が生じます。

一応、後から設定の問題に気がついた際に修正できるプロセスは準備してあるのですが、やはり、最初にきちんとリスクや要望を各個人が明確にして、設定に反映する必要があります。

情報銀行自体の信頼性の問題

もう一点は、"そもそも情報銀行自体が信頼できるのか"という問題です。

情報銀行開設時の必要条件

情報銀行を開設する場合、下記のような条件を揃える必要があります。

  • データ倫理審査会を作ること
  • 個人の提供同意の修正ができる仕組みを作ること
  • 提供先の利用状況が妥当かどうかチェックできる仕組みを作ること
  • 個人が損害を受けた場合、情報銀行が賠償責任を負うこと

定められた条件を満たすことで、情報銀行を名乗ることができるのです。

第三者認定は必須ではない

また、"情報銀行としての要件を揃えているかどうか"確認する「認定団体」が作られます。情報銀行が認定依頼をし、団体が審査で"問題なし"と判断することで、お墨付きが与えられるのです。今の所、信頼性の判断基準は、"この認定だけ"となっています。

しかし、この認定は必須ではありません。情報銀行は"自己宣言"のみで、情報銀行を名乗れるんです。国はこの一連の流れに介在しません。

このようなプロセス自体は、ISOやプライバシーマークと変わりません。「ISO9001やってますよ」と同じレベルで「私たちは情報銀行ですよ」と名乗れるということです。

公的機関による管理体制が必要なのでは...?

一般的な銀行であれば、定期的に日本銀行や金融庁と言った公的機関が業務内容をチェックしに来ます。そこで問題があれば、厳しく指導します。さらに銀行が破綻したときも、一定金額は預金を戻せるように、預金保険機構制度があります。だからこそ、銀行は"お金を預けても大丈夫"と信頼されているのです。

一方、情報“銀行”と銘打っていますが、現在想定される制度では、一民間企業の自己宣言でも情報銀行になることが可能です。もちろん、信頼できる情報銀行もあるでしょう。しかし、情報管理に詳しくない個人が、どこが信用できるのかを判断できるでしょうか。国も介在しないISOマネジメントシステムレベルの保証体制で...

経済産業省に金融庁を置いて銀行を管理しているように、総務省に情報庁のようなものを設けて情報銀行を管理する。そうでもしないと、怪しげな情報銀行が乱立することになりかねないと心配です。ちょうど野放しであった仮想通貨取引所で混乱があったように。

最後に

情報銀行の考え方自体は、決して悪いとは思いません。

ただ、銀行が信頼を得ている理由をきちんと理解し、情報銀行にも当てはめ、信頼を確保する仕組みが現在の案には不足していると感じます。まずは委員会に銀行や金融庁の方を入れ、意見を傾聴すべきではないでしょうか。

良いアイディアを実現させるためには、しっかりしたリスクアセスメントが必要です。画餅にならないよう、運用リスクやリスク顕在時の対応まで考慮した体制作りが望まれます。

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。