家で着るように、クロミちゃんのお洋服を去年の秋冬ぐらいに買いましたが、写真をアップしていなかったので。

ピューロ着にしてもいいかなと思うけど、まあ家着かな。

そう、家着が、そこそこサンリオ服だったりするのです。恥ずかしいですね。

でも別に、家で着る服なんて、宅急便以外だれかに見せるわけでもないんだから、好きな服を着たいなと思って、冬以外はサンリオ服がそこそこの割合であります。冬は寒がりなので、超あったか服を着る必要があるので、サンリオではなく、機能性の高い服を着ています（笑）

そろそろあったかくなってきましたので、家着をこのクロミ服に変えようかな。

ピューロ着（ピューロランドに着ていく洋服）ですが、意外とピューロはサンリオ服着ている人が少なくて、結構おしゃれをしている女性が多いです。ただ、スパークルとかパレードは、床に直に座ってみるから、スカートだとよくないし、かつお洋服が汚れるので、私的にはあまりきれいな洋服を着る気になれず。女児は、時々サンリオ服を着ている人がいますね。でもそんなに多くない気が。

去年ぐらいに思ったのですが、無理してピューロ着を買うよりは、普通の服に、ピューロで売っているキャラクターのぬいぐるみブローチを付けた方が、サンリオ感が出て、かつ洋服としても無理がないような気もしています。ただ、つい習慣なのか、サンリオのアパレルを見るたびに「ピューロ着にいいかな？」とかって思ってしまうのです（笑）

しかし、ピューロも当分行かれなそうですね。ピューロは動画も公開してくれて、本当にありがたいです。応援しています。

www3.nhk.or.jp

データ分析等をすることで、根拠に基づく政策立案（Evidence Based Policy Making(EBPM)）が実現できるなどと言われていますが、

上記のNHKニュースの記事、まさに実データを分析して、「外出自粛」を要請した効果を検証していて、非常に良い例だと思います。

テレビ番組では、街中を取材にいって、どの程度人がいないか、来ている人へのインタビューなどを行っていますが、たしかにそういう映像もインパクトはあるかもしれませんが、すべての場所を網羅しているわけではありませんし、場所ごとの状態・遷移などは詳細にはわかりません。

また、渋谷スクランブル交差点の映像を、過去の人出と比較する映像・写真等もありますが、これも渋谷スクランブル交差点という一地点だけの状態・遷移でありますので、上記のNHKニュースの記事は、カバー範囲が広いので、２３区でも、都心部と住宅地の比較ができるなどして、良いと思います。

プライバシーインパクトについては、携帯の位置情報データの時点で、どの程度匿名加工がなされているかは不明ではありますが、NHKが一般公開する際に、きちんと粒度の粗い統計情報にしているので、このニュースについては、プライバシー権への配慮とデータ活用が十分両立していて、非常に良い例だと思います。

※データ出典に「アグープ」とあるようです。検索したら、以下の企業が表示されましたが、この企業のデータを利用しているのでしょうか？？

https://www.agoop.co.jp/

同社Webサイトを見ると、スマートフォンアプリの位置情報の提供に同意したユーザから、位置情報を取得しているように読めます。

位置情報を外部提供することが十分ユーザ側に説明できていて、真の同意を取得できているか論点となるかと思います。アプリ一覧を見ると、歩数計、ラーメン、Wi-fi検索とかなので、それらのアプリに必要な機能以外のために位置情報を取得・外部提供しているかがユーザから見てある程度容易にわかるかどうかがポイントかなと、ちょっと思いました。

あとは、取得した位置情報をどの程度の強度で匿名化できているのか。50メートルメッシュとか、From-Toをそのまま利用しちゃうと、匿名化とは言えない可能性もあるのではないか、ともちょっと思いました。

詳しくは知らないで、ただ同社Webサイトをちらっと見ただけなのですが。

アプリで同意取るっていっても、真の同意か、ユーザがどこに提供されるかを理解しているかっていう問題があるから、そういう意味では、ユーザに明確な明示がされた状態での情報銀行を使うか、又は、ユーザの同意なしに携帯キャリアから情報を取って公益目的に限った活用を公益的組織で行うか、それか完全な統計情報化して商業利用も可能とするかなどで、データ利活用を図るっていうのも、コンプライアンスの観点からはいいのかなと思いました。

あとは、同意を得たユーザからの位置情報分析ってなると、そのユーザに偏りがないのか、そのユーザのデータを分析することで一般分析をしているといえるのか、などの問題もあるのかなーとも。

EEA→日本への個人データ提供は、日本が十分性認定を取得しているので、GDPR上問題ない。

日本→EEAについても、日本が適切と認めているので、日本の個人情報保護法上問題ない。

EEAなのかEUなのかがいまいちよくわかりません。

個人情報保護法ガイドラインには「EU」と書いてあります。

https://www.ppc.go.jp/files/pdf/190123_guidelines02.pdf

個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国は、EU が該当する。ここでいう EU とは、「個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国等」（平成 31 年個人情報保護委員会告示第１号）に定める国を指す。
なお、EU の指定は、日 EU 間で相互の円滑な個人データ移転を図るために、欧州委員会による日本への十分性認定（GDPR（※）第 45 条に基づき、欧州委員会が、国又は地域等を個人データについて十分な保護水準を確保していると認める決定をいう。）に併せて行ったものである。
（※）個人データの取扱いに係る自然人の保護及び当該データの自由な移転並びに指令95/46/EC の廃止に関する欧州議会及び欧州理事会規則（一般データ保護規則）（REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protectionof natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC（General Data Protection Regulation））

しかし、同告示1号を見ると、ノルウェー、リヒテンシュタイン、アイスランドも入っているので、「EEA」だと思われます。

っていうか、お互いに認定しているから、EEA→日本はOKで、日本→EEA（EU除く）はダメとはできないですよね。ガイドラインで「EEA」って書いていないのには、きっと行政上のなんか理由があるんでしょうね。

https://www.ppc.go.jp/files/pdf/190123_h31iinkaikokuji01.pdf

次に掲げる平成三十一年一月二十三日時点における欧州経済領域協定に規定された国
アイスランド、アイルランド、イタリア、英国、エストニア、オーストリア、オランダ、キプロス、ギリシャ、クロアチア、スウェーデン、スペイン、スロバキア、スロベニア、チェコ、デンマーク、ドイツ、ノルウェー、ハンガリー、フィンランド、フランス、ブルガリア、ベルギー、ポーランド、ポルトガル、マルタ、ラトビア、リトアニア、リヒテンシュタイン、ルーマニア及びルクセンブルク

十分性認定あるからよかった！って一見思われますが、そうはいっても、EEAデータを日本から第三国に移転するとかすると、SCCかBCRとかってなったりして、意外と、企業実務上は大変だったりする気がしていますが、グローバルな個人データ移転がある企業はみなさんどうしてるんでしょうか…。意外と、SCC漏れとかってある気がしてしまいますが、どうなんでしょうか。

ちなみに、いま個人情報保護法２４条改正の資料作成をしていて、その前提として、規則で認められた国をまとめているところです（笑）