法的に緻密な分析を端折って捨てて、リサーチャー的にパーソナルデータにまつわるトピックスと参考情報を集めて整理することに振り切ったことで、読み手にとっての分かりやすさを追求した本。
全体の構成は、
第1章で、Suica事件をはじめとする炎上案件とそこから見えた反省・課題を踏まえ、
第2章で、パーソナルデータの議論でもっともややこしい「特定」と「識別」の違いを解説し、またその理解を難解にさせている原因を「3つのグレーゾーン(個人特定の可能性/容易照合性/属性推定の可能性)」として整理し、
第3章で日本のプライバシー保護法制を
第4章で米国のプライバシー保護法制を
第5章でEUのプライバシー保護法制をそれぞれ概観しながら、
第6〜9章で、日本の法改正の展望と今から企業が行うべきことを提言する
という流れ。
あとがきで筆者自身が認めているように、法律家やパーソナルデータ検討会の関係者らが書いた本ではないぶん、
個人を「特定」できる情報とは、個人の名前や顔が分かる情報のことで、例えば、住所録などの氏名と組み合わされた情報が該当する
識別・非特定情報を、識別もできない状態、つまり誰か一人の情報では分からないようにデータの加工処理(非識別化)すると、非識別・非特定情報となり、これが事実上の「匿名情報」に相当する
といったような、リテラシーのない方が読んでそのまま鵜呑みにしてしまうと危険かもしれない記述もあるにはあります(特に2〜3章にいくつか)。が、抽象的な概念・議論を豊富な事例紹介と図表によって噛み砕くことに腐心されている分、読んでいてわからなくなる箇所がありません。中途半端な法律セミナーに参加して「わかった気」になるより全然いいんじゃないでしょうか。理解のとっかかりさえできれば、後は自分で理解を深めることもできますしね。
また、6〜9章の提言部分は、パーソナルデータ大綱が示す道すじに忠実に、では企業として具体的に何を準備しておけばよいのかを大綱以上に踏み込んで述べている点、すばらしいと思いました。中でも、著者のコンサルタントとしての経験を踏まえての、プライバシー影響評価(PIA)の具体的な進め方のアドバイスは、法律家が書く論稿にはない価値が感じられたパートです。
本書全体を通底する提言の内容としても、今後のパーソナルデータ取扱の基本方針として、安易に「同意を取らないで済む道」を追求するのではなく、
・同意を取得した方が結果的にビジネスで使える情報になる(個別同意と包括同意を併用しながら)
・その同意取得プロセスがあったとしても、オプトアウト手続きの提供は必須
といった主張が繰り返されていた点も、個人的に共感を覚えました。
端折ることで正確さをある程度捨てている点、そういったところをないがしろにしたくない向きからは批判もあるかもしれませんが、パーソナルデータ検討会の最大の功績である技術検討ワーキンググループ報告書を読む前の準備運動として、そしてそれを読んで理解した後の行動を踏み出す具体的指針として、オススメな本です。
