第4の要因は、JR東日本が日立製作所に提供した履歴データが必要以上に詳細で、個人を特定しにくくなるようデータを加工する「匿名化」への努力が乏しかった点だ(図3)。

図3●JR東日本によるSuica乗降履歴の利活用スキーム
外部企業(日立製作所)に、匿名化処理を十分に施していない生データをそのまま渡していた
[画像のクリックで拡大表示]

 同社は、当初は過去の履歴を2年半にわたって同一のIDで追跡可能にしていたほか、改札通過時刻は秒単位のデータを渡していた。プライバシー保護の姿勢を示す意味でも、技術的に可能な範囲で匿名化を施すべきだった。

 JR東日本が氏名などを除去しただけで、生データをほぼそのまま無断提供したことは、現行の個人情報保護法では、解釈次第で違法に当たる可能性もある。

 JR東日本は日立製作所にデータを引き渡す際、あるハッシュ関数を用いてSuicaIDを別の仮名IDに変換し、ハッシュ関数のキーは引き渡しのたびに廃棄する考えだった。だが、乗降時刻データを基にJR東日本のデータベースを検索すれば、JR東日本は容易にデータ元の個人を特定できる。つまりJR東日本にとっては、日立製作所に引き渡したデータは個人情報だと解釈できてしまう。

利用者に利益を還元できず

 最後に挙げるのは、手続き上の失策ではないが、消費者の「気持ち悪さ」「不満」といった負の感情を喚起した問題である。

 第5の要因は、Suica履歴の販売について、消費者にとって直接的なメリットを示せていない点だ。例えばポイントカードにおける「ポイントの付与」のような、利用者の利益に結びつくサービスは提供されていない。このため、「利用者は履歴の提供でリスクを負っているのに、販売で利益を得たのはJR東日本だけ」という不平が生まれてしまった。

 第6の要因は、履歴の利用目的が民間企業の事業に関連するもので、公共目的の利用ではなかった点だ。「災害対策のため」「医療の発達のため」など、利用者に「それなら、無条件で利活用に協力しよう」と思わせる目的ではなかった。

 これまでに挙げた第1~第6の問題は、全て一律に改善すべきものではなく、互いに補完し合える。例えば疫学調査など生命に関わる公共目的なら、オプトアウトを必須にしない判断もあり得る。

 あらゆる事例に適用可能な、魔法のルールは存在しない。利用者や専門家と不断の対話を重ね、ときには素早く軌道修正しながら、利用者が納得する事業モデルを作り上げていくほかない。この「対話と素早い修正」という姿勢が欠けていたことこそ、Suica履歴騒動におけるJR東日本の最大の失策だったといえる。

この先は会員の登録が必要です。今なら有料会員(月額プラン)は12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら