今年6月、日立製作所はJR東日本からSuica履歴情報の提供を受けて、ビッグデータ解析技術で分析後、レポートとして提供するサービスを開始すると発表した。何も聞かされていなかった利用者からは、「個人情報を勝手に売られた」という非難が殺到。騒ぎを受けたJR東日本は有識者会議を設置し、結論が出るまで一時的にデータ提供を休止している。

個人情報保護法では、個人情報を「特定の個人を識別することができるもの」と定義している。氏名や生年月日など、記述によって特定個人がわかる情報は立派な個人情報だ。氏名などの記述がなくても、他の情報と照合することによって容易に特定個人を識別できる情報は個人情報に含まれる(第2条1項)。

JR東日本の説明によると、同社から日立に対して、乗降駅、利用日時、鉄道利用額、生年月、性別、識別番号(SuicaID番号を他の形式に変換したもの)のデータが提供されていたという。

氏名や連絡先の情報は提供外だったため、今回の提供データの記述によって利用者個人を直接的に識別することはできない。ただ、どの駅でいつ改札を通ったかという履歴情報と性別、生年月など他のデータと照合していけば、どこの誰かを突き止めることは不可能ではない。

照合によって個人を特定できるという意味では、今回の提供データも個人情報に該当するのではないだろうか。個人情報保護に詳しい岡村久道弁護士は、次のように解説する。

「たとえばインターネット上の匿名の写真から、『背景に○○が映っているから住所はここ』『この制服は○○高校』と身元を特定するユーザーもいます。そう考えると、たとえ断片的でも、すべての情報は他の情報と照合することで特定の個人の識別につながる可能性があります。しかし、断片的な情報をすべて個人情報として扱うことになれば、企業は情報活用の手足を縛られて経済活動が窮屈になりすぎる。そこで法律は個人情報に、照合が容易であることという要件をつけています」