オープンデータ法倫理 - オープンデータ利用におけるプライバシー侵害と法的責任：他のデータとの結合、再識別リスクを中心に弁護士が解説

オープンデータ利用におけるプライバシー侵害と法的責任：他のデータとの結合、再識別リスクを中心に弁護士が解説

Tags: オープンデータ, プライバシー, 個人情報保護法, 再識別リスク, 法的責任, データ結合, 弁護士実務

はじめに

近年、行政機関や民間企業から提供されるオープンデータは、新たなサービス開発、研究、政策立案など多岐にわたる分野で活用が進んでいます。オープンデータは原則として個人情報や営業秘密を含まない非秘匿性の高い情報であるとされていますが、その利用の仕方によっては、意図せず個人を特定し、プライバシーを侵害するリスクが生じる可能性があります。

特に、複数のオープンデータを組み合わせたり、オープンデータとその他のデータを結合したりすることで、特定の個人を識別できる状態となる「再識別」のリスクは無視できません。オープンデータの提供者側における匿名化・非識別化の適切性に関する法的論点は広く議論されていますが、本稿では、オープンデータの「利用者」が、その利用行為によってどのようなプライバシー侵害のリスクを負い、いかなる法的責任を問われうるのかについて、弁護士が実務上考慮すべき論点を整理して解説いたします。

オープンデータ利用におけるプライバシー侵害リスクの類型

オープンデータの利用によってプライバシー侵害リスクが発生しうる主な類型としては、以下のものが考えられます。

提供されたオープンデータ自体に個人情報が残留している場合: これは提供者側の匿名化・非識別化処理が不十分であった場合に生じます。利用者としては、提供されたデータをそのまま利用しただけでも、結果として個人情報を取り扱うことになり、意図せず個人情報保護法上の義務を負ったり、プライバシー侵害の責任を問われたりするリスクがあります。
他のデータとの結合により個人が特定可能になる場合（再識別）: オープンデータ単体では個人情報に該当しない情報であっても、利用者が保有する他の情報や、インターネット上で公開されている情報などと容易に照合することにより、特定の個人を識別できる状態になるリスクです。統計データに含まれる少ない属性情報の組み合わせと他の公開情報を照合することで個人が特定されるケースなどが典型です。
派生データ作成過程で個人情報が生成・利用される場合: オープンデータをもとに分析や加工を行い、新たなデータセット（派生データ）を作成する過程で、元のオープンデータには含まれていなかった個人情報が意図せず生成されたり、その派生データが個人情報を含んだものとなったりするケースです。
センシティブ情報を含むオープンデータの利用: 医療、犯罪、人種、信条、性生活などに関する情報は、特に高度なプライバシー保護が求められます。これらの情報を含むオープンデータ（たとえ匿名化されていても）を利用する際には、再識別リスクに加え、特定の個人が判明した場合の倫理的・法的な影響がより重大となります。

これらの類型は複合的に発生しうるため、オープンデータ利用者は提供データの内容、利用目的、他のデータとの関係性などを慎重に検討する必要があります。

利用者側の法的責任論

オープンデータの利用者が、その利用行為によってプライバシーを侵害した場合、主に以下のような法的責任を問われる可能性があります。

(1) 個人情報保護法との関係

オープンデータそのものが個人情報に該当しない場合であっても、利用者が他の情報と結合するなどして特定の個人を識別できる情報として利用する場合、その情報は利用者にとって「個人情報」となり、利用者は個人情報保護法における「個人情報取扱事業者」に該当する可能性があります（法第2条第5項）。

個人情報取扱事業者に該当する場合、利用者は以下の義務を負います。

利用目的の特定と制限: 個人情報をどのような目的で利用するかを特定し、その範囲を超えて取り扱ってはなりません（法第15条、第16条）。
適正な取得: 偽りその他不正の手段により個人情報を取得してはなりません（法第17条）。オープンデータの取得方法によっては、利用規約違反や不正アクセス禁止法との関係で問題となる可能性もあります。
データ内容の正確性の確保: 利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければなりません（法第19条）。
安全管理措置: その取り扱う個人データの漏洩、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません（法第20条）。
従業者の監督: 従業者に個人データを取り扱わせるに当たっては、個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければなりません（法第21条）。
委託先の監督: 個人データの取扱いの全部又は一部を委託する場合は、委託先において個人データの安全管理が図られるよう、必要かつ適切な監督を行わなければなりません（法第22条）。
第三者提供の制限: あらかじめ本人の同意を得ないで、個人データを第三者に提供してはなりません（法第27条）。
漏洩等の報告等: 個人データの漏洩等が発生した場合、個人情報保護委員会への報告や本人への通知義務が生じる可能性があります（法第26条）。

オープンデータ利用者がこれらの義務に違反した場合、個人情報保護委員会による勧告、命令の対象となるほか（法第42条、第43条）、罰金等の刑事罰が科される可能性もあります（法第83条以下）。また、個人情報保護法の定める義務違反は、後述する不法行為における過失を基礎づける事情となることもあります。

なお、個人情報保護法における「仮名加工情報」や「匿名加工情報」の定義や利用に関するルール（法第35条の2、第36条）も重要です。オープンデータを他の情報と結合する際に、これらの加工情報として適切に処理できるかどうかが、法規制の適用回避やリスク低減の鍵となります。

(2) 不法行為責任（民法第709条）

オープンデータの利用行為が他人のプライバシー権を侵害し、損害を与えた場合、民法上の不法行為として損害賠償責任を負う可能性があります。プライバシー権侵害は、一般的に、(1) 私生活に関する事実または事実らしく受け取られるおそれのある情報であること、(2) 公開されていないこと、(3) 一般の人が公開を望まないであろうこと、の要件を満たす情報を、正当な理由なく公開または利用する行為によって成立しうると解されています。

オープンデータ利用者が、他の情報との結合によって個人を特定し、その個人の私生活に関する非公開情報を、本人の同意なく公開または不当に利用した場合、不法行為責任が成立しうる典型例となります。利用者側の過失（個人情報保護法違反や、再識別リスクに対する不注意など）が認められれば、損害賠償義務が発生します。

(3) 契約責任（利用規約違反）

多くのオープンデータは、提供者によって利用規約が定められています。利用規約には、通常、個人情報の特定やプライバシー侵害に繋がる利用方法の禁止条項が含まれています。利用者がこれらの条項に違反してプライバシー侵害を引き起こした場合、提供者との間の利用契約に基づき、契約違反責任を問われる可能性があります。具体的には、利用差止め請求、損害賠償請求などが考えられます。

再識別リスクへの実務的対応と法的留意点

弁護士がオープンデータ利用に関するクライアントへの助言を行うにあたり、利用者側が講じるべき再識別リスク対策と、それに伴う法的留意点は以下の通りです。

利用目的の明確化と限定: オープンデータを利用する具体的な目的を明確にし、その目的に必要な範囲でのみデータを利用することを徹底します。目的外の利用は、不法行為や、個人情報取扱事業者に該当する場合の個人情報保護法違反のリスクを高めます。
提供データの評価: 提供されたオープンデータが、単体または他の公開情報と容易に照合することで個人が特定されるリスクがないか、可能な範囲で提供者から説明を受けたり、自己で評価したりすることが望ましいです。ただし、提供者の評価に依拠したからといって、利用者側の責任が完全に免除されるわけではない点に留意が必要です。
他のデータとの結合の必要性とリスク評価: オープンデータと他のデータを結合する際には、その結合が利用目的達成のために真に必要か、また結合によってどの程度再識別のリスクが高まるかを慎重に評価します。
匿名加工情報・仮名加工情報としての処理: 結合後のデータに個人情報が含まれる可能性がある場合、個人情報保護法の定める匿名加工情報または仮名加工情報として適切に加工できないかを検討します。それぞれの定義、作成方法、利用制限を正確に理解し、法に則った処理を行うことで、個人情報取扱事業者としての義務の一部または全部の適用を回避できる可能性があります。
利用規約の厳格な遵守: 提供者が定める利用規約を十分に確認し、特に禁止されている利用方法（例：他の情報との結合による個人特定の試み）を行わないことを徹底します。
適切な安全管理措置: オープンデータの利用過程で個人情報（再識別された情報を含む）を取り扱う可能性がある場合、個人情報取扱事業者として求められる安全管理措置（アクセス制限、暗号化等）を講じる必要があります。これは、個人情報保護法上の義務であるだけでなく、不法行為における過失の有無を判断する上でも重要な要素となります。
第三者への提供に関する留意: オープンデータを利用して得られた情報や派生データを第三者に提供する場合、それが個人情報に該当するか否か、該当する場合には本人の同意が必要か否かなど、個人情報保護法上の第三者提供に関する規制を遵守する必要があります。

提供者との関係における留意点

オープンデータ利用者がプライバシー侵害リスクに直面した場合、提供者との関係で以下の点も検討が必要です。

提供データの瑕疵と利用者責任: 提供されたオープンデータに最初から不適切な匿名化など瑕疵があった場合、利用者側の責任は軽減される可能性があります。しかし、利用者は自己の利用行為によって個人情報を作り出した場合、その後の取扱いについては自ら責任を負うのが原則です。
利用規約における免責条項: 提供者が利用規約で再識別などによって生じた損害について免責条項を設けている場合、その有効性が問題となることがあります。消費者契約法などの関連法規や、提供者の過失の程度によって、免責条項が全面的に有効とならないケースも考えられます。
提供者への問い合わせ: 提供データの匿名化の適切性や、他のデータとの結合に関する許容範囲などについて不明な点がある場合は、提供者に対して積極的に問い合わせを行うことが、リスク回避の一助となることがあります。

結論

オープンデータの利用者は、提供されたデータが「オープン」であるからといって、プライバシー侵害のリスクが皆無であると考えるべきではありません。特に、複数のデータを組み合わせることで個人が特定されてしまう再識別リスクについては、利用者自身がその可能性を認識し、個人情報保護法をはじめとする関連法規を遵守するための適切な措置を講じる必要があります。

弁護士としては、クライアントがオープンデータをどのように利用しているか、あるいは利用しようとしているかを詳細にヒアリングし、その具体的な利用形態に応じて、個人情報保護法上の個人情報取扱事業者に該当する可能性、不法行為責任、契約責任などのリスクを専門的に評価することが求められます。そして、再識別リスクを低減するための実務的な対策（利用目的の限定、データ結合の慎重な検討、適切な加工処理、安全管理措置など）について、法的根拠に基づいた具体的な助言を行うことが、クライアントのリスク管理にとって不可欠となります。オープンデータ活用の進展に伴い、利用者側の法的責任に関する議論は今後さらに深まる可能性があります。弁護士は常に最新の法規制、関連するガイドライン、判例の動向を注視し、専門家として適切な情報提供と助言を行っていく必要があります。