匿名化された個人データの復元
EUのGDPR及び関連法令は,匿名化された個人データの復元(=個人を識別可能な状態に戻すこと)を禁止している。
しかし,近時の応用AI技術またはそれに類する技術上の手法は,従来は復元され得ないと考えられてきた匿名化された個人データを用いて特定の個人を識別する方法(=個人データを復元または再識別する方法・tecnique for reidentification of data subjects)を生成しつつあると考えられる。
例えば,一定の集団に関するデータとの多角的なマッチングにより,匿名化されて属性値だけをもつデータが識別可能な特定の個人と(自動的に)再び結び付けられ,完全に復元されたデータセットを(自動的に)生成することが可能なことは明らかだ。
従来,その弊害があまり意識されてこなかったのは,(特に手作業の場合には)手間がかかることや,(計算処理の場合でも)関連データの収集に要する時間,計算処理時間と費用の関係で,誰も実行しないだろうと安易に考えられていたからだと思われる。しかし,近時のAI関連技法の中には,短時間かつ無料でそのような処理を実行してしまうような手法に応用できるものがある。
関連する科学技術論文の中には,そのような個人識別性を復元するという目的で応用可能な技術であることを誇示するような(法令遵守に疎い)論文があるかもしれない。
このような場合,法解釈論上,幾つかの難問が生ずる。
(1)そのような個人データとしての顕名性の復元技法は,技法それ自体として違法であるかどうか,または,そのような技法を個人データとしての顕名性の復元のために使用することは違法行為であるかどうか,(2)現実に復元されているかどうかとは無関係に,そのような技法によって復元可能な状態の下にあると推定され得る匿名化された個人データは,既に匿名化されたデータに該当しないと判断すべきかどうか・・・などの問題である。
一般に,個人データの匿名化と言っても,個人データの完全な破壊(=消去)ではないので,関連技術の発展により,「匿名化されている」という主観的評価または社会的評価が反故にされてしまうことは十分にあり得る。
ここで大事なことは,個人データの「匿名化」は,事実そのもの,または,科学そのもの,または,技術そのものではないということだ。
「匿名化されているかどうか」は,その評価者の主観的評価または社会的評価の結果に過ぎない。
この評価は,属性値の指定と同じものなので,(関連技術の発展,特にAI技術の発展により)無効化され得る。要するに,もともと絶対的なものではなく,相対的なものに過ぎない。
以上のことは,仮名化された個人データでも完全に同じである。
それゆえ,個人情報保護委員会は,常に,この種の関連最新技術に精通している必要があり,そのような能力をもつための資金上,人事上,施設・設備・組織上,技術上の対応を維持・確保すべきであり,その必要性を誰よりも早く認識・理解できる人材を揃えるべきである。
そして,関連技術の発展,特にAI技術の発展により,過去の時点では匿名化されたと判断されていた個人データの匿名性が反故にされてしまっているときは,当該匿名化されていると理解されてきた個人データを全て匿名化されていない個人データとして扱うための方策を,迅速かつ適正に検討し,実施すべきである。
[追記:2023年10月23日]
この記事は,EUの規則(EU)2022/868(データ統治法)の全文を精読・理解していると推定される読者を想定して書いている。そうではない読者には「意味不明」かもしれないが,前提を全く欠いているので,やむを得ない。
どのように評価するかは各人の自由なのだが,もし専門家だと自認しているのであれば,まず自分自身で(私がこれまでやってきた)概ね300本以上の分量と同じ分量またはそれ以上の分量のEU法の翻訳をやってみた上で,私が書いていることの内容を評価するのが専門家としての正しい態度だと思う。
当然のことながら,客観的に私よりも優れていると自認するのであれば,私よりも短期間に,私よりも大量に,私よりも精密に,私よりも丁寧な解説を付して,かつ,単独で,かつ,Eur-lexの二次利用条件を完全に満たして,EU法の翻訳物を作成できるだろうし,そのようにして作成された翻訳物を無償でWeb公開し,私を乗り越える自由がある。その逆もまた真である。
私は,そのような自由を最大限の熱意をもって支援する。是非,乗り越えてほしい!
他方において,無論,素人に対してはそのような要求をしていない。素人にはそのような能力が最初からないので,私と同等またはそれ以上であることを全く求めていない。
| 固定リンク
コメント