秘密計算.jp#2を開催![トークセッションリポート有]

Date
2021/9/5
notion image
第2回秘密計算.jpが2021年8月4日、開催されました。第2回は光和総合法律事務所 弁護士 渡邊陽一郎先生、ひかり総合法律事務所 弁護士 板倉陽一郎先生、EAGLYS株式会社 代表取締役社長 の今林広樹氏、そして株式会社Acompany代表取締役の高橋亮祐氏が登壇しました。
今回は「プライバシー保護データマイニング(PPDM)と法制度」をテーマに、法制度の観点から見るプライバシーテックの現状・課題や将来について、板倉先生にお話していただきました。トークセッションでは登壇者4名で発表内容に関連して内容の深掘りや意見交換、視聴者からの質問対応を行いました。常時40人前後の方に視聴していただき、このテーマへの関心の高さがうかがえました。
イベントアーカイブや板倉先生の発表資料は、秘密計算コンソーシアムメンバー限定で配信しておりますので、是非登録をよろしくお願いします。登録はこちらから。
当記事は、同イベント後半のトークセッションを収録した内容を、書き起こし及び編集して書かれています。
登壇者紹介ひかり総合法律事務所 弁護士 板倉陽一郎 先生光和総合法律事務所 弁護士 渡辺涼介 先生EAGLYS株式会社 代表取締役社長 今林広樹氏株式会社Acompany 代表取締役 高橋 亮祐氏トークセッション[前半]個人情報保護法に関する相談を弁護士にする場合、専門ではなく一般の弁護士に依頼しても問題ないのでしょうか。ガイドラインと法律の違いは。秘密分散は個人情報保護法における安全管理措置として認められていますでしょうか?高度な暗号化に該当しますでしょうかまた、認められそうでしょうか?トークセッション[後半]個人情報保護法で行政訴訟がほぼないというのは、現状では事業者の良心任せということでしょうか。準同型暗号は通常の暗号とは異なるものですが、高度な暗号化として扱われるのでしょうか。秘密計算を企業が利用することによる法制度上のメリットがある世界を作るのが良いと考えております。どのように進めるのが良いでしょうか?グローバル(特にEU)でもPPDMで処理しても個人情報該当性は失われず、第三者提供には同意が必要という理解でいいでしょうか?Federated learning(連合学習)で扱う情報は個人情報でしょうか?統計情報でしょうか?鍵の適切な管理は、不正の主体が第3者に限定されているように見受けられます。内部不正が含まれないように感じますが、このリスクは個人情報保護法ではなく別の法律で罰する、ということになるでしょうか。電気通信事業法にのっとって通信の秘密を侵害せずに解析・処理を行うことができるのではないか。
 

登壇者紹介


 
notion image

ひかり総合法律事務所 弁護士 板倉陽一郎 先生

 
2002年慶應義塾大学総合政策学部卒業,2004年京都大学大学院情報学研究科社会情報学専攻修士課程修了,2007年慶應義塾大学法務研究科(法科大学院)修了.2008年弁護士(ひかり総合法律事務所),2016年4月よりパートナー弁護士,2010年4月より2012年12月まで消費者庁に出向(消費者制度課個人情報保護推進室(現・個人情報保護委員会事務局)政策企画専門官),2017年4月より理化学研究所革新知能統合研究センター客員主管研究員,2018年6月より国立情報学研究所客員教授.法とコンピュータ学会理事,情報ネットワーク法学会前理事,情報処理学会電子化知的財産・社会基盤研究会運営委員,日本メディカルAI学会監事.公職として総務省・AIネットワーク社会推進会議環境整備分科会および影響評価分科会構成員,IoT推進コンソーシアム・データ流通促進WGおよびカメラ画像利活用SWG委員など
 
 
 
notion image

光和総合法律事務所 弁護士 渡辺涼介 先生

 
2007年弁護士登録。総務省総合通信基盤局専門職(2014年~2017年)を経て、現在に至る。総務省では、IoT関連や情報通信端末のデータ利活用・プライバシー保護を中心とした、電気通信分野における施策を担当した。弁護士業務では、データの利活用を、プライバシー・個人情報保護等と調和して実現させる観点から法的助言をしている。最近の主な著作として、『データ利活用とプライバシー・個人情報保護 最新の実務問題に対する解決事例108』、『オンラインビジネスにおける個人情報&データ活用の法律実務』がある。
 
 

 
 
notion image

EAGLYS株式会社 代表取締役社長 今林広樹氏

 
早稲田大学大学院在籍中、米国でデータサイエンティストとして活動したことを契機に「AI・データ利活用時代」におけるデータセキュリティの社会的重要性を実感する。帰国後、科学技術支援機構の戦略的創造研究促進事業(CREST)研究助手を務めながらプライバシー保護ビッグデータ解析の研究に没頭。2016年大学院在籍中にEAGLYS株式会社を創業。 企業理念である「あらゆるデータを安全に活用できる社会の実現」に向けてAI解析とデータセキュリティ事業を展開し、日夜エンタープライズ企業を中心とした顧客支援と社会実装に奔走している。
 
 
notion image

株式会社Acompany 代表取締役 高橋 亮祐氏

 
名古屋大学在学中にエンジニアとして活動を始めたことをきっかけに、個人でのwebアプリケーション開発や複数のベンチャーでのインターンを経て、2018年6月に株式会社Acompany創業。これまでに、デジタルキー管理システムの開発、デジタルアセット管理プロジェクトへの参画などの開発実績や総務省・NICT起業家万博を始めとし、複数のビジネスプランコンテンストでの入賞歴あり。セキュアマルチパーティ計算による秘密計算の実用化に注力する。2019年名古屋大学工学部物理工学科卒業。
 
 

 

トークセッション[前半]

個人情報保護法に関する相談を弁護士にする場合、専門ではなく一般の弁護士に依頼しても問題ないのでしょうか。

板倉:個人情報保護法の専門弁護士は100人くらいかな。結構、後始末案件をやることが私は多いです。残念だけど間違っている回答は多々あります。
高橋:他の先生に相談していて、ちょっとまずいんじゃないかと板倉先生のところに来ることもありますか。
板倉:ちょっと際どいのもありますね。明確におかしいものも割とあるんですよ。
高橋:専門性がある方に事前に相談をかけていくことが、リスクヘッジを考える上でも重要だということですか。
板倉:でもね。いい顧問弁護士なら、専門家に回しますよ。
高橋:いい顧問弁護士だと思っていても、そのまま話をすすめていくとやばいというケースがあるんじゃないかなと。
板倉:割と大きい会社なら、社内弁護士がいるので、彼らが選ぶ弁護士はかなりシビアですよ。
高橋:では、そう言ったケース以外だと誰に相談すればいいんでしょうか。どこを参照して、アクセスしに行くのがいいんでしょうか。
板倉:弁護士は弁護士の中で専門家を知っているんですよ。誰か紹介してくれと言われたら、判断して紹介してくれると思いますよ。弁護士に弁護士を紹介してもらうことが一番いいです。
なので、顧問弁護士で全部抱え込んでやってしまう人は、個人的にはあんまり良くないかなと思います。全ての分野が難しくなっていて、全ての分野を一人で抱え込むことはできないんですよ。できなくはないですが、専門家に頼まないと10倍くらい時間かかってしまうんです。
高橋:ということは、相談した答えがいつも返ってきていたら、黄色信号ということですかね。
板倉:いや、わかんないですよ。本当に優秀な人でできているのかもしれない。けれど、専門的な案件がまわってきても無理に抱え込んでやってしまう先生は危ないです。
高橋:難しいですね。
板倉:例えば、海難審判の案件が回ってきた場合、絶対自分でやらないですもん。できないじゃないですか。
高橋:渡邊先生はどうですか。
渡邊:板倉先生に相談へ行くなら確実ですよ。個人情報保護法に関する専門家が100人というのはなかなか厳しいなと思いましたね。とはいえ、弁護士は基本法律ができるので、個人情報保護法とかだとガイドラインを見れば一通りの回答ができてしまうんですよ。ただ、根本からの検討が必要なのにそれができていないとなると、よくないです。なので、弁護士から専門家を紹介してもらうとか普通はやるので。
高橋:なるほど。
板倉:分からないと言わない人は心配だよね。
高橋:専門なのかどうか、こちらから確認するアクションを起こすことが現実的ということですかね。
板倉:そうですね。あと、弁護士に弁護士を紹介してくださいと言うことは失礼かと思うかもしれないですけど、失礼じゃないんですよ。むしろできないから回しますね、なんです。嫌な気分になる弁護士は基本いないです。
いろんな弁護士と付き合ってもらうことはあまり気にしないので。全然いいんですよ。
高橋:逆に、今林さんは事業者視点で、個人情報保護法とか専門的な領域ですが、どうしていたんですか。
今林:最初の頃は、よく分からなかったです。顧問の先生と相談しつつ、ケアしつつ、専門の弁護士の先生に見てもらっている感じですね。
高橋:まさに僕らも専門家がわからない時期に陥っていたことがあったんですよ。それで、法律まわりを強化しないといけないタイミングで法律に明るいメンバーを入れた時、渡邊先生が上がってきて、渡邊先生にご支援いただくという流れでした。法律に明るい人に聞いて、お墨付きをもらうことがやっぱりポイントでしたね。
板倉:わかんないですよね。本書いていればいいわけでもないし、芸人みたいにいろんなことやるんですよ。ただ、表に出ない人でも弁護士しか知らない専門家がいるんですよ。そういう人にアクセスするには、弁護士が必要という謎の慣習があるので。顧問は顧問で仲良くしておいた方がいいですよ。

ガイドラインと法律の違いは。

板倉:ガイドラインは個人情報委員会が勝手に言っているだけです。一方で法律は違反したら違法。ただ個人情報委員会が法律の解釈を決めているので、だいたい重なっているだけ。ガイドラインは最後の最後で違うなと思ったら、無視してもいいことにはなっています。ただ、個人情報保護法は争った事例がほとんどないのが現状です。
高橋:じゃあガイドラインは事例の判断軸として定められているものということですか。
板倉:ガイドラインは解釈が書いてあるんですよ。あくまで個人情報保護委員会が言っているだけで。法律の解釈権限は最高裁にしかないんですよ。とはいえ、基本はガイドラインは従っておいた方がいいです。
あとたまに、解釈ですらないアドバイスとかあるんんですよ。金融機関のガイドラインとか結構多いイメージですね。
高橋:ガイドラインを守るかどうかの判断も、専門家に相談することがベストということですかね。

秘密分散は個人情報保護法における安全管理措置として認められていますでしょうか?高度な暗号化に該当しますでしょうかまた、認められそうでしょうか?

板倉:令和2年度の改正で高度な暗号化はQ&Aで書いているんですよ。ただ現状、ガイドラインには書かれていなくて、今後書いていくのかどうかは検討していくという回答だけなんですよね。
そもそも個人情報保護法で命令まで行った事例が1回しかないんですよ。「破産者マップ」というものがあって、これは1回怒られましたね。その後後継サイトができて、怒られてもいうことを聞かなかったので命令が出たという事例です。
命令はこれ1回だけなので、なかなか争うことがしにくいんですよね。となると、無理矢理確認へ行くという手段「ノーアクションレター」や「グレーゾーン解消制度」などがあるんですよ。ただ割と時間がかかってしまう。あとは、個人情報委員会と個別でアポイントとってお話しするのもあるので、聞いてみる方法もあるけれどね。
ガイドラインに本当に書いて欲しかったら、アクションを起こすべきですよ。ISOもあるんだから、みんなでどんどんアプローチした方がいいですよ。

トークセッション[後半]

個人情報保護法で行政訴訟がほぼないというのは、現状では事業者の良心任せということでしょうか。

板倉:争える形で訴訟がないだけです。行政指導はいっぱいやっているみたいです。というのも、個人情報保護委員会は件数だけしか公表しておらず、内容が分からないんですよ。公表した方がいいと言っているのに、公表しないんです。ただ、一般論をやっていることもあるのに、事案も社会的に重要なものしか公表しないのが現状なんです。
高橋:公開してもらえれば、事例としても扱える内容となってきますもんね。
板倉:表に出ている事例は10件くらいしかないですもん。事例出して欲しいですね。

準同型暗号は通常の暗号とは異なるものですが、高度な暗号化として扱われるのでしょうか。

板倉:わからないけど、入って欲しいなあ。
高橋:ここはそうですね。
板倉:役所にお手紙送ればいいんですよ。ちゃんと思いを伝えたら無下にはしないですよ。
高橋:我々も、個人情報保護法委員会とディスカッションしていると、認識のずれがあるなと思うこともあります。なので、啓蒙をしっかりやっていくことが重要なのかなと思いました。
またどういった処理だとOKなのか整理していくのも重要ですよね。
板倉:最後のアウトプットが個人情報でなければいいとおもうんだけれど、やっぱりデータを持ってくる上で第三者提供をしているのではないかという点がつまっているなと。あとはヨーロッパがどんな顔をするのか、ですね。

秘密計算を企業が利用することによる法制度上のメリットがある世界を作るのが良いと考えております。どのように進めるのが良いでしょうか?

板倉:高度な暗号化に入れてもらえれば報告義務がなくなるからメリットですね。あとは、同意なしで解釈なし立法で入れば後押しとなるけど、なかなか難しいなあと。

グローバル(特にEU)でもPPDMで処理しても個人情報該当性は失われず、第三者提供には同意が必要という理解でいいでしょうか?

板倉:エストニアの件は処理ではないですとしました。ただ1回だけで、エストニア個人データ保護法のもとなので弱いですね。

Federated learning(連合学習)で扱う情報は個人情報でしょうか?統計情報でしょうか?

板倉:学習したデータは個人データではないと思いますよ。AIはどういう応答するのか、構造なのかが論点になっていきますよ。知見を共有しているだけなら大丈夫ですよ。

鍵の適切な管理は、不正の主体が第3者に限定されているように見受けられます。内部不正が含まれないように感じますが、このリスクは個人情報保護法ではなく別の法律で罰する、ということになるでしょうか。

板倉:第三者は従業員も入る。

電気通信事業法にのっとって通信の秘密を侵害せずに解析・処理を行うことができるのではないか。

渡邊:これから検討していくと思うけど、通信の秘密は仲介の電話会社がデータ取り扱っていいかどうかという話なんです。中身見てはいけないけど、結果だけ出して成果物出すのは議論の余地はあると思います。秘密計算の新しい利用としては価値はあるのではないかと思います。
高橋:新しいケース作りで論点となってくるものの、少しずつ、可能性も見え出しているのではないかと思います。事業と、専門家の知恵を借りながら秘密計算の社会実装を目指してい期待と思っています。