全4195文字

開示できるのはたったこれだけ?

 開示範囲を了承した上で請求を続けてみたところ、実際に開示されたのはA4用紙13枚分しかなかった。例えば、ヤフーの電車の乗り換え案内サービスを利用した事実は記載されていても、どのルートについて調べたのかは記されていない。これだけ少量の情報を開示するだけで業務への影響を検討しなければいけないということなのだろうか。

ヤフーから郵送されてきたデータ

 前回の記事で触れた通り、今回の調査がきっかけとなり、個人情報保護法ガイドラインが2018年、改正された。その中で、個人情報保護委員会はヤフーのような対応に関しても一定の枠組みを示した。「著しい支障」に関して、「単に開示すべき個人データの量が多いという理由のみでは該当しない」と解説。「試験の採点情報を全て開示することにより、試験制度の維持が難しくなる」といった該当事例を挙げた。個人情報保護委員会の其田真理事務局長は「ちょっと負担があるという程度で開示を拒むことは許されない」と語る。

1人の開示でシステム停止!?

 ガイドラインの改正案が固まった後、ヤフーに再び連絡を取った。たった1人の全情報の開示が、新しいガイドラインに沿っても「著しい支障」にあたるのか、と。ヤフーの答えは変わらずYESだった。「(全情報の開示は)現時点において、当社システムの一部を一定時間停止する必要がある。24時間365日、永続的にサービス提供を行っている当社としては致命的」というのが広報担当者の説明だ。

 ヤフーの月間アクティブユーザーは4000万人を超える。そのうちのたった1人が全情報の開示請求をするだけで、これだけの大ごとになるのは奇妙に思える。ヤフーは業務上の支障が大きくなる理由として、データベースにアクセスできる社員を必要最小限に限定していること、多岐にわたるサービスがデータを分散管理していることを挙げた。一方、具体的にどんな作業に負担がかかるのかについては、詳細を明かさなかった。

 ビッグデータを使ったマーケティングを手がける専門家が、一般論という前提で補足の説明をしてくれた。「プラットフォーマーが取得した情報は、サービスごとに設定されたサーバーの間で自動的に共有、統合、加工、コピーが複雑に繰り返される。元のデータとつながる情報がどこにどれだけあるのか、把握するのが難しい」という。

 連載の第1回では、企業間で売買されるデータのトレーサビリティー(追跡可能性)がないという問題を解説したが、この専門家が語っていることはプラットフォーマーの社内においても同様の問題が存在するケースがあることを示唆している。

 データを各サービスのサーバーで分散管理することは、セキュリティー上のメリットがある。サイバー犯罪者にサーバーに侵入されても、流出する情報が制限されるからだ。しかし、上記の専門家の分析からは、セキュリティー上の理由だけでなく、データを各サービスで迅速に活用するという企業側の都合も背景にあることがうかがえる。

 ヤフーは「著しい支障」を理由に情報の開示が限定されている現状を改善すべき課題と認め、「ユーザーの声を踏まえ、開示できる範囲を拡充していく」と宣言。ここで同社への調査を終了した。