情報銀行とは～情報銀行ビジネスの動向と今後の展望

情報銀行とは

情報銀行は、「情報信託銀行」の略称であり、現在、公式には、「情報信託機能」という表現が使われている（本稿では、便宜上、「情報銀行」という呼称を使わせて頂く）。

この情報銀行とは、本人と情報信託機能事業者とのデータ活用に関する契約等に基づき、情報信託機能事業者が、本人のデータを管理するとともに、本人の指示又は予め指定した条件に基づき、本人に代わり、データの性質や利用目的等に照らし、情報提供の妥当性を判断の上、データを第三者に提供するビジネスモデルを指す。

本人は、情報を第三者に提供することによって、金銭対価や、サービス等のインセンティブの還元を受けることができる。

以下では、この情報銀行において登場する主なステークホルダーについて解説を行う。

本人[情報提供者]

個人情報の発生源であり、その情報の流通可否について、情報銀行に対して、同意や指示を行う主体。

情報提供元[情報提供事業者]

個人情報は、発生源は本人であるものの、データを生成・保管している主体は、法人（企業等）である場合が多い。

具体的には、購買データ、検索情報、健康・医療情報等を　はじめとして、データそのものは本人以外の主体が保有していることが一般的である。そこで、情報銀行がデータを流通させるにあたっては、本人の同意のみならず、情報提供元の同意及びデータ提供に係る協力が必要となる。

情報信託機能事業者

情報銀行としてサービスを提供する主体。本人及び情報提供元からの同意取得、データの管理・データセットの作成、データ提供可能先の判断、データの流通、インセンティブの還元等を担う。

提供先第三者[情報利活用事業者]

情報信託機能事業者を通じて個人データを取得し、活用する主体。場合によっては、この提供先第三者から、直接、情報提供者である本人にサービス等のインセンティブの還元を行うことも想定される。

情報銀行に関連するキーワード及びビジネスモデル

情報銀行に関連するキーワード及びビジネスモデルとしては、以下が挙げられる。

Personal Data Store / Storage (PDS)

情報銀行のビジネスモデルを説明する中で、個人情報を集約・保管するサービスとして、Personal Data Store / Storage (PDS)というキーワードが登場する。

上述のように、個人情報は、基本的に、本人が手元で直接保有しているデータは多くなく、そのデータを生成した法人が保管している場合が多い。よって、データ流通・活用の効率化・高度化にあたっては、分散した個人情報を一元化管理することが期待される。その仕組みを提供するものが、PDSとして位置づけられている。

また、PDSは、本人が個人情報を自ら直接管理する仕組みであるため、データの第三者提供にあたっては、情報銀行のような主体に依頼・経由せずにデータ流通を行うことが想定されている。

データ取引市場

データ取引市場とは、本人（PDS）や情報銀行のような主体が、個人情報の活用を希望する第三者にデータを流通させる仕組み（市場）を指す。

情報銀行をとりまく背景・政策動向

政府議論・検討会等の開催状況

① 「日本再興戦略2016-第4次産業革命に向けて-」

政府における情報銀行に関する議論は、2016年6月2日に閣議決定された「日本再興戦略2016-第4次産業革命に向けて-」において、ある事業者（≒情報提供元）が収集し管理している行動履歴や購入履歴等の個人情報を、別の事業者（≒提供先第三者）が活用できる将来像について提言されたことに端を発する。

② 「データ流通環境整備検討会」

2016年9月16日に、内閣官房高度情報通信ネットワーク社会推進戦略本部に立ち上げられた「データ流通環境整備検討会」において、議論のテーマの1つに情報銀行が採択され、PDSやデータ取引市場等のテーマとともに、継続的に議論がなされている。

③ 「情報信託機能の認定スキームの在り方に関する検討会」

2017年11月7日を第一回として、総務省と経済産業省により、「情報銀行」の認定スキームの在り方について検討するべく、官民合同での検討会が開催され、「情報信託機能の認定に係る指針ver1.0」がとりまとめられた。

2018年度は、下部ワーキングとして、「情報信託機能の認定スキームの在り方に関する検討会 健康・医療データWG」及び「情報信託機能の認定スキームの在り方に関する検討会 金融データWG」が開催されており、本体会議と合わせて、指針の改定の在り方について検討が行われている（認定制度の詳細については「（２）政府による認定制度の創設」にて後述）。

④ 「データポータビリティに関する調査・検討会」

2017年11月20日にプレスリリースがなされ、総務省と経済産業省により、諸外国における「データポータビリティ」に関する検討状況等を調査の上、我が国の主要分野（医療、金融、電力等）におけるデータポータビリティの在り方等について調査・検討を行う検討会が全4回で開催された。

政府による認定制度の創設

上述の「情報信託機能の認定スキームの在り方に関する検討会」において、「情報信託機能の認定に係る指針ver1.0」 がとりまとめられ、2018年10月19日に説明会が開催された。

当該認定指針は、情報銀行の事業を営むものに対して、民間団体等により、任意の認定制度を提供するものである。いわゆる「認可」のように、事業を営む上での必須の資格とは位置づけが異なる点については留意されたい。

当該認定は、現在、「一般社団法人 日本IT団体連盟」に設置された情報銀行推進委員会によって行われることが予定されている。

認定指針の中には、認定基準として、事業者の適格性、情報セキュリティ、ガバナンス体制、事業内容等について具体的内容が記載されているほか、情報銀行のモデル約款が示されている。

特に、情報提供者となる個人に対して保証すべき権利としては、情報銀行に委任した個人情報の第三者提供に係る条件の指定及び変更、第三者提供・利用の停止、個人情報の提供履歴の閲覧等といったコントローラビリティが挙げられているほか、情報提供者である個人に対して、情報銀行が負う責任範囲として、提供先第三者の帰責事由により個人に損害が発生した場合でも、情報銀行が個人に対し、まずは損害賠償責任を負うといった内容が定められている。

政府による社会実装に向けた取り組み

① 「平成30年度情報信託機能活用促進事業」

「情報信託機能活用促進事業」は、総務省が実施する、地方公共団体、民間企業、大学、NPO法人等からなるコンソーシアムが、特定の分野において、情報信託機能等を核とする具体的なサービス等を想定した実証を実施するもので、データを保有・利用する個人及び企業が情報信託機能等を利用するメリットを提示するなど情報信託機能等のモデルケースを創出とともに、情報信託機能等を社会実装するために解決すべき課題の整理に資する事業である。平成30年度は、地域、ヘルスケア、観光、IoTをテーマに、計6件採択された（平成30年度予算 情報信託機能活用促進事業に係る委託先候補の決定）。

④ EU諸国における動向

EUにおいては、米プラットフォーム企業（GAFA）へのデータ集中等を背景として、「自身のデータに対する個々人の所有権（right of ownership）」を強化することが議論されてきた。

その議論の結果、EU全域のデータ保護法令を全面的に改定する一般データ保護規則（General Data Protection Regulation／GDPR）が欧州議会で可決され、2018年に施行された。本規則において、特筆すべき内容は、上述の政府検討会『データポータビリティに関する調査・検討会』においてわが国でも議論されている、GDPR第20条における「データポータビリティ権」である。

また、上記のEUにおける議論において、個々人のデータに対する“right of ownership”を強化する方針が出されたことにより、結果的に、「本人の判断（同意）によって、データを流通させ、活用することができるのではないか」というPDSやデータ取引市場、情報銀行の考え方にも発展することになる。

情報銀行のビジネスモデルにおける留意点

情報提供者と情報銀行の要調整事項・ルール

① 同意取得にあたっての留意点と同意規約のあり方

情報銀行におけるサービスは、「自身のデータに対する個々人の所有権（right of ownership）」の尊重という考え方に端を発していることから、最も重要なことは、情報提供者からの同意取得である。その際、留意すべきことは、この同意が、「本質的同意」でなければならないことである。この「本質的同意」とは、具体的には同意取得時に情報提供者が情報銀行サービスに関する規約を読むことが可能な環境を確保すると共に、「本人が内容を理解して同意している」という状態を確保することが必要である。

「本人が内容を理解して同意している」という状態を確保するための形式的な面では、（消費者の利便性の観点からは、スマートフォンによる規約の同意が簡便であるが）単にチェックボックスをクリックしたのみの同意より、署名や捺印による同意の方が正式なものとなる。

また、実質的な同意の面では、規約内容については、窓口担当者から対面で口頭による説明を行う、規約内容に関する分かりやすい説明資料を提供するといった、情報銀行側の工夫が必要である。

② 各種権利・消費者保護体制

情報銀行が情報提供者に保証すべき権利や、消費者保護体制としては、前述の「政府による認定制度の創設」においても言及されている、個人のコントローラビリティと、損害賠償が挙げられる。

個人のコントローラビリティとしては、「情報信託機能の認定に係る指針ver1.0」においても示されているように、具体的には、情報銀行に委任した個人情報の第三者提供・利用の停止、第三者提供に係る条件の指定及び変更、個人情報の提供履歴の閲覧、提供した個人情報の開示等が挙げられる。ここでは、特に情報銀行に委任した個人情報の第三者提供・利用の停止、第三者提供に係る条件の指定及び変更について解説する。

情報銀行に委任した個人情報の第三者提供・利用の停止については、基本的に、本人の同意を取得した上で提供先第三者に渡した情報は、情報銀行及び提供先第三者の双方について、遡って撤回する（消去させる）義務は発生しない。但し、情報提供者の個人情報提供に対する心理的な障壁を緩和するために、情報銀行となる企業が、競争領域として、遡って撤回させる（消去させる）ことをサービスとして規約上に盛り込むことは可能である。

情報銀行に委任した個人情報の第三者提供に係る条件の指定及び変更については、同意と撤回は原則として表裏である点について、留意が必要である。具体的には、「金融関連企業」に情報提供を行うことを同意したものを撤回する場合は、「金融関連企業」全体について撤回されることとなり、情報提供者が、「金融関連企業」のうち、個別の銀行や保険会社等を指定して、その対象のみ提供先から除外するというオペレーションにはならない。ただし、これについても、各情報銀行が、競争領域として、サービスでそれを可能にする場合にはその限りでない。

また、消費者保護体制については、情報銀行または提供先第三者のうち、漏洩にあたって帰責事由がある主体が、その責任の重さに応じて損害賠償を負担することが原則である。

但し、上述のように、『情報信託機能の認定に係る指針ver1.0』において、認定を取得する情報銀行については、その帰責事由の有無に関わらず、情報銀行が損害賠償主体になることが求められている（これにより、情報提供者は確実に損害賠償を受け取ることができ、情報銀行から提供先第三者に対して肩代わりした損害賠償分を請求するという構図になる）。

③ 情報提供者に対するインセンティブ

情報提供者に対するインセンティブには、現金や兌換可能ポイントといった金銭的インセンティブのほか、情報提供やクーポン、優待、イベント等への招待等、サービスによるインセンティブの提供が考えられる。特に、サービスインセンティブについては、情報銀行を経由せず、第三者提供先から、直接、情報提供者に対してインセンティブの提供が行われる場合も想定される。

特に情報銀行のサービスの黎明期においては、金銭的インセンティブについて、個人情報の活用により提供先第三者にもたらされる便益と、情報提供者が個人情報を提供してもよいというインセンティブに繋がる金額がミスマッチであることが多いため、サービスインセンティブとの併用や、情報銀行サービスを提供する企業の現業におけるサービスを活用したインセンティブ提供をメインとするビジネスモデルが多くなっている。

情報提供元情報提供事業者と情報銀行間の要調整事項・ルール

① 現業へのレピュテーションリスク等に配する配慮と同意取得

情報銀行のサービスの黎明期においては、情報提供者の個人情報の提供に対する不安感が大きいため、情報銀行サービスの設計、同意取得や規約の在り方等については、情報提供元の現業へのレピュテーションリスク等に対する十分な配慮が必要となる。

具体的には、情報銀行が、情報提供者からの同意取得の際に、情報提供者本人の判断・同意を前提として情報提供元がデータを情報銀行に預けるものであることを明示する、また情報管理の責任は一義的に情報銀行に帰することを明示するといった工夫が考えられる。

② 損害賠償のあり方

情報漏洩時の損害賠償のあり方については、基本的には情報提供者に対する情報銀行の責任と同じとなる。

但し、情報提供元（企業）に対する損害賠償は、現業への影響等を踏まえると、情報提供者（個人）に対するものより、一般的に高額になることが予想されるため、情報銀行は、サイバーセキュリティ保険等をはじめとした、損害賠償の発生時に備えるための対応が必要となると考えられる。

提供先第三者（情報利活用事業者）と情報信託事業者間の要調整事項・ルール

提供先第三者は、ガバナンス体制とセキュリティ環境を備えた大手企業から、ベンチャー企業、地域密着型の小売店等まで、様々な主体が想定される。以下では、その中で、情報銀行が求められているデータ提供のあり方及び情報管理のあり方について解説を行う。

① データ提供のあり方

データ提供にあたっては、データのコンプライアンスチェック、真偽の精査、データクリーニングといった「質」の確保や、その先の活用を見越したデータセットの加工・作成、分析業務の代行等がサービスとして想定される。

また、データの提供方法としては、データを自社内で一定のセキュリティ環境下で管理することが困難な第三者提供先からは、データそのものを受け取るのではなく、情報銀行から、セキュリティ環境下で閲覧・活用できるシステムを提供してほしいといったニーズも見受けられる。

② 情報管理のあり方

情報銀行が提供先第三者に情報を流通させるにあたっては、提供先第三者のデータ利用目的や、ガバナンス及びセキュリティ体制等の観点から、情報提供者の意に照らして、安全にデータ提供を行うことができる対象かどうか、審査する必要と責任がある。

上述のように、特に認定を取得する場合には、情報銀行が負うべき損害賠償責任は相対的に重くなるため、審査基準については、データ活用ビジネスの裾野の広がりと、ビジネスリスクの双方から検討を行う必要がある。

また、情報提供時の審査のみならず、情報提供後に、提供先第三者に対してどのような報告義務や監査対応義務を課すかについても、あらかじめ定めておく必要がある。

おわりに

情報銀行のサービスは、現在、政府による実証も含めて黎明期にあるため、情報提供者の不安感の緩和や、情報提供事業者にとってのメリット感の醸成等にあたり、これから、情報銀行サービスの正しい知識の周知の他、情報漏洩時のリカバリー策と補償体制の確立、データ流通・活用の促進に資する各種の標準化やガイドラインの策定等、より一層の理解形成を促進する努力が期待されるところである。