ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

自動化された個人に対する意思決定とプロファイリングに関するガイドライン

情報法 GDPR

自動化された個人に対する意思決定とプロファイリングに関するガイドラインGuidelines on Automated individual decision-making and Profiling for the purposes of Regulationの自分用まとめです。

随時更新予定。

 

概観

  • プロファイリング及び自動化された意思決定profiling and automated individual decision-makingの例:銀行と金融、ヘルスケア、租税、保険、マーケティングと広告
  • リスク:不明瞭であるかもしれない。個人はプロファイル化されることを知らず、又は何が関係しているかを理解していないかもしれない。これまでの典型的で社会的な区分を永続させるかもしれない。それは個人を特定のカテゴリーに閉じ込め、それら個人の示唆する選好に個人を制限するかもしれない。それは、例えば、書籍、音楽、ニュースのような商品若しくはサービスの選択の自由を弱めるかもしれない。プロファイリングは、ある場合には、不正確な予測に繋がるかもしれない。他の場合には、それはサービスや商品の提供拒否や不当な差別をもたらすかもしれない。
  • GDPRのProfilingに対する規制例:特定の透明性と公正性の要件、強化されたアカウンタビリティの義務取扱いのために特定された法的根拠、プロファイリング、特に、マーケティングのためのプロファイリングに異議を述べる個人の権利、及びいくつかの条件が満たされる場合、データ保護影響評価を行う必要性
  • GDPRは自動化された取扱い又はプロファイリングの結果としての意思決定にだけ焦点を当てているわけではない。それはプロファイル作成のためのデータ収集、それらのプロファイルを個人に当てはめることにも適用される。
  • プロファイリングともっぱら自動化された取扱いは別概念であり、もっぱら自動化された取扱いの方が規制が強い。ただ、重なり合う場面も多い。

 

プロファイリング定義

  • GDPR4条4項any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements; 自然人と関連する一定の個人的側面を評価するために、特に、当該自然人の業務遂行能力、経済状態、健康、個人的嗜好、興味関心、信頼性、行動、位置及び移動に関する側面を分析又は予測するために、個人データの利用によって構成される、あらゆる形式の、個人データの自動的な取扱い
  • 当たる例:あるデータ・ブローカーは、顧客の代理として又は自らの目的のために、官民の異なる情報源からデータを集める。そのデータ・プロ-カーは個人についてのプロファイルを作成するためにデータを蓄積し、個人をセグメントに分類する。当該データ・ブローカーはその情報を、商品やサービスのターゲティングを改善しようとする企業に販売する。データ・ブローカーは、個人の関心に従って個人をある特定のカテゴリーに入れることによって、プロファイリングを行う。
  • 当たる例:いくつかの保険会社が個人の運転行動に基づいて保険料率とサービスを提供する。その場合に考慮される要素には、これまでの走行距離、走行時間、及び旅程、またその他(スマート)カー・センサーで収集されたデータに基づいた予測が含まれうる。収集されたデータは(急加速、急ブレーキ、超過速度など)望ましくない運転行動を識別するプロファイリングのために利用される。この情報は、ドライバーの行動をより理解するために、他の情報源(例えば、天候、交通量、道路種別)とも相互参照されうる。
  • 当たる例:あるデータのブローカーは、消費者の許可なしに又は基礎とするデータの知識なしに、金融会社に消費者のプロファイルを販売する。そのプロファイルは、消費者の金銭的脆弱性に焦点を当てて、消費者をいくつかのカテゴリー(「地方で困窮」、「民族的セカンドシティ困窮者」、「厳しいスタート。若いシングル・ペアレント」のような見出しを付けて)に分類し、又は「スコア化」している。金融会社はそうした消費者に対してペイデイローンや他の「通常と異なった」金融サービス(高コストのローンや他の金融リスクのある商品)を提供する。米国上院商務/科学/運輸委員会「データ仲介業に関する報告:マーケティング目的のためのデータに関する収集、利用、販売」、ロックフェラー委員長のためのスタッフレポート、2013年12月18日よりUnited States Senate, Committee on Commerce, Science, and Transportation. A Review of the Data Broker Industry: Collection, Use, and Sale of Consumer Data for Marketing Purposes, Staff Report for Chairman Rockefeller, December 18, 2013. https://www.commerce.senate.gov/public/_cache/files/0d2b3642-6221-4888-a631-08f2f255b577/AE5D72CBE7F44F5BFC846BECE22C875B.12.18.13-senate-commerce-committee-report-ondata-broker-industry.pdf. See page ii of the Executive Summary and 12 of the main body of the document in particular. Accessed 21 July 2017 
  • 当たる例:いくつかのモバイル・アプリケーションは、ユーザーが近くにある割引提供のレストランを見つけられるようにしたロケーション・サービスを提供している。しかしその検索で収集された利用者のデータは、-ユーザーの食べ物の好み又は一般的なライフスタイルを特定するための-マーケティング目的をもったデータ主体のプロファイル作成にも利用される。データ主体は、自己のデータがレストランを見つけるために使用されることを予想しているが、アプリが遅く帰宅するのを特定しただけでピザ配達の広告を受けるようにするために使用されるものではないと予想している。こうした位置データの追加的利用は、最初に収集された目的と両立しないかもしれず、したがってそうした利用には、関係する個人の同意が必要かもしれない。
  • 当たらない例:年齢、性別、身長のようなよく知られる特性に基づくシンプルな分類は、必ずしもプロファイリングとなるわけではない。それは分類の目的に依拠する。例えば、企業は、個人についての予測又は結論を得ようとするのではなく、統計目的のために年齢又は性別に基づき顧客を分類し、顧客の集計的な概観を得ようと望むかもしれない。その場合、その目的は個人の特性評価ではないため、プロファイリングではない。
  • 4条4項は、「もっぱら」自動化された取扱い(第22条に規定)というよりも、むしろ「あらゆる形の自動化された取扱い」と規定している。プロファイリングは、-人的な介在が必ずしもその行為を定義から除外することになるものではないが-何らかの形式の自動化された取扱いを含んでいなければならない。
  • プロファイリングは一連の統計的推定を伴うかもしれない手続
  • GDPRは、欧州評議会勧告CM/Rec(2010)132におけるプロファイリングの定義を参考にしているが、同じではない。なぜなら、同勧告は推定(inference)を含まない取扱いを除外しているためである。しかし同勧告はプロファイリングが三つの異なる段階に関わるかもしれないと有益な説明をしている。1データ収集2相関性を識別するための自動化された分析3現在又は将来の行動の特徴を識別するためにその相関性を個人に当てはめること
  • 広義に言えば、プロファイリングは、特に、例えば業務遂行能力、関心、又は起こりうる行動の分析及び/又は予測を行うために、あるカテゴリー又はグループに分けることを目的として個人(又は個人のグループ)について情報を集め、当該個人又は個人のグループの特性又は行動パターンを評価することを意味している。

プロファイリングの際にやるべきこと

  • 取扱いの透明性5Ia→わかりやすい説明要12I、13、14(13の際も14IIIに注意)。特に、取扱いがプロファイリングに基づく意思決定を含む場合(それが第22条の規定の適用対象になるかどうかにかかわらず)、その取扱いが(a)プロファイリング、及び(b)作成されたプロファイルに基づく意思決定の両方の目的のためであるという事実は、データ主体に対して明確にされなければならない
  • 追加的な取扱いがデータ収集の当初の目的と両立しているかどうかの確認(データが収集された目的と追加的取扱いの目的の関係性、データが収集されたコンテクストと追加的利用に関するデータ主体の合理的な期待、データの性質、追加的取扱いがデータ主体に与える影響、また、公正な取扱いを確保しデータ主体に対する不当な影響を防止するために管理者が採用した保護措置が重要)
  • データの最小化5Ic:データを不当に持ちすぎない
  • データの正確化5Id:管理者は再利用されるデータ又は間接的に取得されたデータが正確であり、また最新であることを継続的ベースで証明し確保する安定した措置を導入する必要がある。生データが正確に記録されていたとしても、データセットは十分に代表的でないかもしれ又は、解析には隠れたバイアスが含まれているかもしれない。
  • 記録保存の制限5Ie:データ最小化の原則を遵守し、また個人データ取扱いの目的に対して必要であり比例的である以上に長い期間、それら個人データの保存をしないように確保しなければならない。
  • 取扱いの法的根拠を満たす必要あり。詳細は以下。
  • 取扱いの法的根拠①同意6Ia:データ主体が何に同意するかを正確に理解していることを示す必要があり、また同意が必ずしも常に取扱いの適切な基礎とはならないことを思い出す必要がある。どんなケースでも、データ主体は、それの与える同意が説明を受けた上での選択であることを確保するため、取扱いの想定される利用と結論について十分に関連する情報をもつべきである。
  • 取扱いの法的根拠②契約履行に必要である6Ib:必要性は狭く解釈されるべき
    ダメな例→あるユーザーがオンラインの小売業者から商品を購入する。小売業者は契約を履行するため、支払いを受ける目的でユーザーのクレジットカード情報を取り扱わなければならず、また、商品を届けるためにユーザーの住所を取扱わなければならない。契約の完了は、ウェブサイトの訪問に基づくユーザーの嗜好やライフスタイルのプロファイル作成に依拠しない。プロファイリングが契約書の細かな文字で述べられているとしても、その事実だけでは、契約履行にそれが「必要である」とはならない
  • 取扱いの法的根拠③法的義務の遵守に必要である6Ic:詐欺の防止又はマネーロンダリング等。参考:Page 19 Article 29 Data Protection Working Party. Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC. European Commission, 9 April 2014. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf. Accessed 24 April 201719頁。第29条作業部会「指令95/46/EC第7条のもとでのデータ管理者の正当な利益の概念に関する意見06/2014」、欧州委員会、2014年4月9日
  • 取扱いの法的根拠④生命に関する利益の保護に必要である6Id:生命を脅かす疾病の予測モデル開発又は人道的な緊急性のある状況において必要とされるプロファイリングが含まれる。しかしそれらのケースにおいて、また原則として、管理者は、プロファイリングについて他の法的根拠が利用できないときに限り、生命に関する利益の根拠に依拠することができる。取扱いが特別な種類の個人データを含む場合、管理者はなお、それが9条IIcの要件を満たすことを確保する必要がある。
  • 取扱いの法的根拠⑤公共の利益又は公的な権限の行使に際して実施される職務遂行のために必要である6Ie:公的分野のプロファイリングの適切な基礎となる。法律に明確な基礎を持たなければならない。
  • 取扱いの法的根拠⑥管理者又は第三者により追求される正当な利益に必要である6If:その利益がデータ主体の利益又は基本的権利と自由によって優先されるかどうかを評価するため、バランスを図る措置を実施しなければならない。プロファイルの詳細さのレベル(「英文学に関心を持つ人々」のような広義に叙述された集団の中でプロファイル化されるデータ主体、又は粒状的レベルでセグメント化されまたターゲット化されるデータ主体)、プロファイルの包括性(プロファイルがデータ主体の狭い側面しか叙述していないのか、包括的な像を叙述しているのかどうか)、プロファイリングの影響(データ主体に与える効果)、及びプロファイリングの過程における公正性、非差別性、正確性を確保するための保護措置を特に検討する。将来のプロファイル利用やプロファイルの組み合わせも考慮すべき。
    参考:Article 29 Data Protection Working Party. Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC. European Commission, 9 April 2014, P59 – examples 5and 7 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2014/wp217 en.pdf. Accessed 24 April 2017 第29条作業部会「指令95/46/EC第7条のもとでのデータ管理者の正当な利益の概念に関する意見06/2014」、欧州委員会、2017年4月9日、59頁-事例5及び7。複数のウェブサイト、ロケーション、デバイス、サービス又はデータ仲介(data brokering)についての個人のトラッキングを含め、マーケティングや広告目的のために踏み込んだプロファイリング及びトラッキングの慣行、に関する適法性の基礎として、管理者が正当な利益を根拠とするのが難しいことを示唆している
  • 特別な種類のデータ規制を検討する必要あり:データ自体は特別な種類のデータではないが、他のデータとの組み合わせたときに特別な種類のデータとなることがある。例えば、食品品質とエネルギー容量に関するデータと食品購入履歴を組み合わせることによって、誰かの健康状態を推定できるかもしれない。ある研究は、Facebookの「いいね」と限定的な調査情報と組み合わせ、研究者が男性ユーザーの性的指向を88%、ユーザーの人種を95%、ユーザーがキリスト教徒かイスラム教徒であるかを82%、正確に予測したことを明らかにした。ichael Kosinski, David Stilwell and Thore Graepel. Private traits and attributes are predictable from digital records of human behaviour. Proceedings of the National Academy of Sciences of the United States of America, http://www.pnas.org/content/110/15/5802 full.pdf. Accessed 29 March 2017マイケル・コシンスキー、デビッド・スティルウェル及びトーレ・グレーペル「人間行動のデジタル記録から予測可能な個人の特性と属性」、米国科学アカデミー財団論文集、http://www.pnas.org/content/110/15/5802 full.pdf
  • 特別な種類のデータに当たる場合、以下をチェック→
    1)取扱いがオリジナルの目的と両立する
    2)管理者が特別な種類のデータの取扱いに関する法的根拠を特定している
    3)管理者が取扱いについてデータ主体に情報を提供する
  • 権利行使の確保:本人は、プロファイルを作成する管理者と同一組織でない場合に、(人的な介在の有無にかかわらず)データ主体について自動化された意思決定を行う管理者に対して、GDPR上の権利行使をすることができる。
    例)データブローカーがプロファイルを作成して、ある会社がDMのためにそのプロファイルを購入している場合、
    データブローカー→第13条及び第14条の義務に沿って、データ・ブローカーは、プロファイルを他の組織と共有する意図があるかどうかの情報を含め、取扱いについての情報を個人に提供すべき。第21条(1)のもとでの取扱いに異議を述べる権利の詳細もまた別途提示すべき。利用されたデータへデータ主体がアクセスし(第15条)、誤った情報を修正し(第16条)、また場合によってはプロファイル又はその作成のために利用された個人データを消去できるようにすべきである(第17条)。さらにデータ主体は自己のプロファイルについての情報、例えば、自己がどの「セグメント」又は「カテゴリー」に配置されているかの情報も与えられるべき。
    ある会社→プロファイルを利用する目的(第14条(1)(c))、及び、どのソースから情報を取得したか(第14条(2)(f))の情報を、個人に提供すべきである。またその会社は、ダイレクトマーケティング目的のための、プロファイリングを含む、取扱いについて異議を述べる権利をデータ主体に伝えなければならない(第21条(2))。利用されたデータへデータ主体がアクセスし(第15条)、誤った情報を修正し(第16条)、また場合によってはプロファイル又はその作成のために利用された個人データを消去できるようにすべきである(第17条)。さらにデータ主体は自己のプロファイルについての情報、例えば、自己がどの「セグメント」又は「カテゴリー」に配置されているかの情報も与えられるべきである。もしその会社が法的な効果又は類似の大きな効果をデータ主体に与えるもっぱら自動化された意思決定プロセスの一部としてプロファイルを利用する場合、その会社は第22条の規定に従う管理者となる(このことは、データブローカーの取扱いが関連する条件を満たす場合にデータ・ブローカーを第22条の対象外としない)。
  • データ主体は、プロファイリングに基づくもっぱら自動化された個人の意思決定が行われているかどうかにかかわらず、「プロファイリング」について管理者から説明を受ける権利を持ち、また状況によっては、プロファイリングに異議を述べる権利を持つ。
  • プロファイリングに使用される個人データの詳細を得る権利第15条:プロファイルを作成するために使用されるデータのカテゴリーも知らせる必要あり。第15条(3)による取扱いについての一般的情報に加え、管理者はプロファイル作成のためのインプットとして使用されたデータを利用できるようにし、また、プロファイルについての情報及びデータ主体が位置づけられているセグメントの詳細に関する情報へアクセスできるようにするという義務を負う。
    前文第63項は、プロファイリングに関連して特に重要であるかもしれない企業秘密又は知的財産の曝露を懸念する管理者に対して、なんらかの保護を提供している。それは、アクセス権が「営業秘密又は知的財産及び特にソフトウェア保護の著作権を含め、他者の権利又は自由に不利な影響を与えてはならない」と述べている。しかし、管理者は、アクセスを拒絶し又はデータ主体への情報提供を拒否するための理由として、この企業秘密の保護に依拠することはできない。
  • 第16条訂正の権利、第17条消去の権利
    第16条の訂正の権利は、例えば、ある個人が自分の実務能力について何かを述べるカテゴリーに置かれ、そのプロファイルが不正確な情報に基づいている場合に、適用される。個人は、利用されるデータの正確性及びそれに適用されているグループ化又はカテゴリーの正確性について、異議申立てを望むことができる。
    訂正と消去の権利は、「インプット個人データ」(プロファイル作成に利用された個人データ)と「アウトプットデータ」(プロファイルそれ自体、又は個人に割り当てられた「スコア」)の両方に適用される。
    第16条は、データ主体がその個人データに追加の情報を補う権利も定めている。例えば、ある地方の医院のコンピュータ・システムがある個人を心臓病にかかりやすいグループに分類する。この「プロファイル」は、その個人がこれまでに心臓病にかかったことがないとしても、必ずしも不正確だというわけではない。プロファイルは、その個人が「よりかかりやすい」ということを述べているにすぎないためである。統計上の問題としてみれば、それは事実として正確かもしれない。しかし、データ主体は、取扱いの目的を考慮して、補完的なステートメントを提供する権利を持つ。
  • 第18条取扱いの制限の権利
    プロファイリング・プロセスのどの段階にも適用される
  • 第21条異議を述べる権利
    本人は自己の特別な状況に関する理由に基づいて取扱いに異議を述べることができる。特に取扱い根拠が6条1項e(公共の利益) or f(正当な利益)の場合、特にそのようにすることが管理者には求められる。6条1項f(正当な利益)のバランステストよりも厳しい。正当な利益の正しさを証明するだけでは足りず、正当な利益が「やむを得ない」こと、異議を上回るほどの基準であることを意味している。
    ダイレクトマーケティングについては、異議を述べる無条件の権利あり。理由を問うことなく、常に個人の希望を尊重する必要有。いつでも無償で拒否する権利を持つ。この権利は、デー タ主体の目にとまるように明示されなければならず、また、明確に他の情報とは別に表示されなければならない(前文70)。
  • 第22条プロファイリングを含む自動化された意思決定の禁止
    法的な効果又は同様の重要な影響をもたらす、プロファイリングを含むもっぱら自動化された取扱いに基づく決定は原則禁止。
    例外1)契約の締結又は履行に必要
    例外2)法律によって認められる場合
    例外3)同意 

 

 

自動化された意思決定の説明

  • 自動化された意思決定:プロファイリングと異なった範囲を持ち、また、部分的にはプロファイリングと重なっているか、又はプロファイリングによって生じているかもしれない。もっぱら自動化された意思決定とは、人的介在なしに技術的方法によって意思決定を行う能力である。
  • 自動化された意思決定の例:スピード・カメラの証拠にだけ基づき制限速度違反の罰金を科すことは、必ずしもプロファイリングに関わらない自動化された意思決定プロセスである。しかし、その個人の運転習慣が経過的にモニターされ、例えば、科された罰金額が、繰り返し速度違反があるかどうか又はそのドライバーが他に最近の交通違反があったかどうかのような他の要素を含めた評価結果であるならば、それはプロファイリングに基づく意思決定となる。
  • プロファイリングの利用には、潜在的に三つの方法がある。
    (i) 一般的なプロファイリング
    (ii) プロファイリングに基づく意思決定、及び
    (iii) データ主体に対して法的効果又は同様の大きな影響を与える、プロファイリングを含む、もっぱら自動化された意思決定(第22条(1))
  • 純粋に自動化された手段によって作成されたプロファイルに基づいて貸し付けに同意するかどうかを人間が決定する場合は(ii)に該当する。
  • 事前の人間による意味のある評価なしに、アルゴリズムが貸付けに同意するかどうかを決定し、その決定が個人に対して自動的に通知される場合は(iii)に該当する。