ディスカッション 『ブロックチェーンと個人情報保護』
河﨑:まず4つの問いを私の方で投げかけさせていただいて、議論をほぐしていきたいと思っております。1つ目が、個人データにあたるとすると、いろいろな規制がかかってくるということがわかりました。ということは、「個人データにあたらないようにすればいいんじゃないのか?」と誰もが思いつくわけです。
したがって、「個人データにあたらないようにする暗号化というのは、どういうものなのか」というのが問1です。
2つ目は訂正・消去権です。日本の法律上の訂正要求というものが保有個人情報に対してなされている、というご説明がありました。これがGDPRだと、さらに強い「忘れられる権利」として立ち現れるということで、これにブロックチェーンという特性を捉えた時にどう対応するのか、というのが問2になります。
最後に、ブロックチェーンのノードを立てるということだけで個人情報の取り扱い事業者に該当してしまうのか、ノードに書き込むだけで個人情報の第三者提供に該当してしまうのか、という問題を問4としてお示ししたいと思います。
「問1:個人データにあたらないようにする暗号化とはどのようなものか」
河﨑:永井先生に伺いたいのですが、ハッシュ化したら、これは個人データ、個人情報にあたらないというお話がありましたが、この考えでよろしいのですか。
永井:「ハッシュ = 不可逆で元の情報に戻せない」という前提でよければ、個人情報をハッシュしたもの、それ自体は個人情報ではないということになります。
河﨑:日本法の解釈としてはそういうお話だと思いますが、GDPRとブロックチェーンの論点で英語の文献を探していきますと、必ずしもそうではないのではないかという記載が非常に多いです。例えば、匿名データという概念と仮名データという概念が区別されており、匿名データは完全に個人の特定が不可能なもので、仮名データというのは他の情報と組み合わせることによって間接的に個人データとなるものです。GDPRの適用対象外である、完全な匿名データとみなされるためには、①Singling out(個人を選び出すことができない)、②Linkability(同一人物の記録と連結できない)、③Inference(特定の個人に関する情報であると推定できない)、という3つの要件を満たさなければなりません。様々な匿名化技術の検討がなされていますが、いずれも完全な匿名化は難しそうだという整理がなされています。
永井:日本でも、個人情報保護法改正の議論をしていた2014年に同じような検討がなされました。個人情報をどの程度匿名化したら誰の情報か分からない状態となるのか、「パーソナルデータに関する検討会」の「技術検討ワーキンググループ」で検討されたのですが、このような加工を行えば常に大丈夫というような、明快な結論は出せませんでした。GDPRに関しても、技術的な観点から検討すると、この加工を行えば絶対安全ということは言えないのだろうと思います。
河﨑:ハッシュ化に関しては、表の中の一項目だけをハッシュ化するのか、元データとして1枚の画像データそのものをハッシュ化するのか、ハッシュ化したものを集めて更にハッシュ化するのか、というように元データセットをどんどん広げていくことで個人の特定は困難になるため、こうしてハッシュ化されたデータは、ほぼ個人データではないと言えると整理していいのかなと私は思っておりますが、このあたりラウルさん何かお考えありますか。
ラウル:エストニアのKSIブロックチェーンでは、元データをそのままブロックチェーンに記録するのではなく、ハッシュだけを書き込むのですけれども、ハッシュから元のデータに戻ることは無理なので、個人情報とは関係がないと思います。
「問2:訂正・消去権にどのように対応するか?」
河﨑:次の問いに進みまして、訂正権・消去権にどのように対応するかという話に、議論を進めさせていただきたいと思います。ブロックチェーンは削除ができないという話がありましたが、本質的にブロックチェーンは、訂正権や消去権、忘れられる権利を含めて相性が悪いと考えた方が良いのですか。
永井:個人情報保護法やGDPRは、中央集権の情報管理を念頭に置いてルールを定めており、ブロックチェーンの使用が広がることまでは十分に考慮していないというのが現状だと思います。ブロックチェーンのコミュニティとしては、ブロックを消去することが不可能であることを前提としつつ、ここまでの処理がなされたら訂正できたと考える、消去できたと考えるというように、ブロックチェーンの性質に即した主張を発信していくことが求められていると思います。
河﨑:ブロックチェーン上に個人データを直接持つべきでないというのは、コンセンサスになりつつあるのかもしれません。ブロックチェーンは、データのIntegrity(完全性)の部分の確保のためにハッシュを記入するために用いて、元データ自体はオフチェーン化するというのが、実際のほとんどの実装例であると考えているのですが、そうなると一方で、「分散化」というブロックチェーンの思想と衝突するような気がします。
永井:ブロックチェーン上に個人情報が記録されない仕組みでサービスを構築できれば、「個人情報を記録していないので、消去の対象となる情報はありません」と堂々と言えると思います。
河﨑:これに関して実務上の対応でよく言及されるのがIPFSだと思います。つまり、オフチェーン化をして個人データそのもの、あるいは個人データとみられるようなデータをブロックチェーンには書き込まないが、同じような分散型の仕組みであるIPFSに保存することが行われていると思います。IPFSのような分散ファイルシステムで、ある人物が個人データを持っていた場合に、一部の人からそのデータを回収できない、一部の人がデータを消してくれないというケース、これは法的にはどう評価されますか。
永井:個人情報保護法もGDPRも、権利義務の関係は、本人とそれぞれの事業者との間に成立するものです。従来の制度を前提とすれば、データを消さないノードの管理者に個別に削除請求をしていく必要があると思います。もっとも、個人に1対n対応の削除請求を行わせることについて、それで良いのかという議論はあり得るでしょう。
「問3:ブロックチェーンの種別における違いは、個人情報保護の観点からどのような影響を及ぼすか?」
河﨑:問3にいきたいと思います。ブロックチェーンの種類による違いは、個人情報保護の観点からどのような影響があるのか。パブリックかプライベートか、パーミッションなのかパーミッションレスなのかという、新しくノードを立てる時に、限られた人にしかノードを立てさせてくれないのか、誰でも立てることができるのか、読む権利のみを持つのか、書き込む権利を持つのか、という軸で整理した上で、日本の個人情報保護法の観点から見た時に、パブリックのブロックチェーンと、クローズドなブロックチェーンで、どのような違いが出ますか。
永井:パーミッションがあるかないかで、個人情報保護法上の評価は大きく異なります。つまり、パーミッションがあれば、第三者提供の提供先がパーミッションを得たノードに限定されるのですが、パーミッションレスであれば、不特定の第三者への提供が行われているということになります。特に、金融分野などでは、提供先を特定したうえで同意を取得することがガイドラインで求められていますので、パーミッションレスですとガイドラインの要件を充足できないおそれがあります。金融分野以外でも、「不特定多数に提供します。同意してください」と求められば、そこでドロップするユーザーも増えるでしょうから、同意取得のハードルの高さという意味でも、全然違うでしょうね。
河﨑:パーミッションでプライベートなブロックチェーンというのが、個人情報保護の観点からすると一番使いやすいということですか。
永井:個人情報保護法との関係ではそうなりますね。もっとも、パーミッション、プライベートの使用というのは、ブロックチェーンが大事にしている自由、分散の思想と合致しているのでしょうか。
河﨑:それはブロックチェーンなのかということですね。
高松:やっていることが招待制の共有データベースを提供するビジネスに近づいてきてしまいます。それはそれで安定して確実で有力なオプションではあります。しかし、パブリックのブロックチェーンについても、合理的な解釈を前提にした運用ができるように、中央集権型のデータベースを前提に作られてきた個人情報保護法制の考え方のほうが、少しずつ変わっていくべきではないかと思います。
「問4:ノードを立てるだけで個人情報取扱事業者に該当するのか? (ノードに書き込むだけで個人情報の第三者提供に該当する可能性はあるのか?)」
河﨑:最後に問4です。パブリックのブロックチェーンでは、ノードを立てただけで色々書き込まれていきます。その中に個人情報が含まれていた場合には、個人情報取扱事業者になってしまうのかどうかです。これは逆から言うと、立てられているパブリックのEthereumのブロックチェーンに書き込んだだけで、そのノード運営者に対して個人情報の第三者提供を行ったと法的に評価されてしまうのか、というような深刻かつ重要な問いだと思うのですが。
永井:ブロックチェーンに書き込むことで第三者がその内容を閲覧できることになるのですから、第三者提供を行ったとの評価を受けることは避けがたいと考えています。もっとも、ノードを立てるだけで個人情報取扱事業者に該当してしまうと実務的な支障があるというのは、今日のディスカッションを通じてよく分かりました。個人情報の取扱いの少ない中小規模の事業者は、取り扱う個人情報の数量が少ないことを背景として、2016年施行の個人情報保護法改正前は個人情報保護法の適用除外とされていましたし、施行後も大規模の事業者と同じ安全管理措置までは求められていません。ブロックチェーンのノードについては、中小規模の事業者やエンジニアの趣味によるものであったとしても、多数の個人情報を収集することになりますので、個人情報保護法の適用を受けない方向での評価になじむかどうか、悩ましいところです。例えば、個人レベルでノードを立てただけで「事業」性を有しないケースについては、個人情報取扱事業者情報には該当しないのではないかという解釈をブロックチェーンのコミュニティから発信していくことは検討されて良いかもしれません。
高松:日本の個人情報保護法の第三者提供に照らして考えると、社会的事実として情報は移転していくため、第三者提供にあたらざるを得ません。そこで、同意を取得する必要があるという解釈にならざるを得ないのですが、その同意の取得方法として、多少緩和された、包括的な同意で良いという解釈を考えてみてもいいのではないかと思います。また、同意の有効性という観点でも、ブロックチェーンでは自分のデータがノードに分散すると分かった上で書き込むのだということを理解の上でなされるものですから、安易に撤回できない性質のものだと考えていいのではないかと思います。
河﨑:ちなみに前提としてなのですが、例えばAWSを利用してプロダクト、サービスを作るというときに、Amazonさんは第三者提供しているのか。あるいは、DropboxやOneDrive等のサービスを我々は頻繁に使っています。そういった場合に、第三者提供にあたるのか。この点はいかがですか。
高松:AWSなどのクラウドサービス事業者がサーバーに記録された情報については、「取り扱うことができない」という前提が成り立つのであれば、第三者提供ではないという整理をしています。ブロックチェーンのノードの場合は、「取り扱うことができない」と言えるかどうか。現状ですと、「取り扱うことができない」とまで言うのは難しく、第三者提供にあたらざるを得ないと考えています。
Blockchain EXE Legal #2イベント:ネットワーキング
法整備が進められている中で、今後の金融庁の対応が変わっていく可能性も高く、仮想通貨やブロックチェーン業界でビジネスを考えている人にとっては非常に貴重な時間・ディスカッションの場になったと思います。次回開催もお楽しみに!
