私は、エストニアのe-residentであり、ユニークなIDであるパーソナルコードとそれに関連付けられた公開暗号系のキーを内蔵したICカードを持っている。エストニアのパーソナルコードのような体型を全世界に通用するIDに育てることで、個人情報保護はシンプル化が可能となり、安心安全な未来が構築できる可能性があると思う。
もし、エストニアと同様のパーソナルコードとX-Roadのような照会サービス(API)が全世界で提供されていると仮定したら、以下の原則が適用されたら良いのではないかと思う。
- 法人または個人が 個人情報を取り扱う場合は、必ずパーソナルコードと結びつけなければならない
- パーソナルコードと結び付けられなかった個人に関する情報は90日以内に消去しなければいけない
- 任意の法人および個人は本人から電子署名付きで本人の個人情報を求められた場合は、すべての情報を本人宛に暗号化したデータとして開示しなければならない
- 本人が希望する場合、個別の個人情報を含むレコードを本人が指定する第三者に保管させ、利用主体である法人または個人がその参照情報を除いてデータを消去することを求める事ができる
例えば機微な情報を扱う臨床試験の場合でも、パーソナルコードと投薬IDを主キーとする医療データ(投薬後バイタルデータ等)を個人情報データとして扱った場合、治験施設も製薬会社等治験主体もデータを長期に持つことのないシステムは構築できる。データを保管する第三者は内容を見られないようにする事もできる。結果を統計分析する法人は、パーソナルコードを除いた別IDと投薬IDをキーとした統計データ分析を行うことができるように設計できる。本人は、治験終了後等に自分の医療データにアクセスできるようにでき、希望すれば、それを特定の医師等のみと共有することは可能となる。
特定の第三者は、X-Roadのようなソフトウェアで適切なAPIを提供すれば良い。事業者(政府や政党を含む)は必要以上の情報を収集する必要がなくなり、訴訟のリスクを抑えることができる。標準は厳格に定めた上で、「特定の第三者」は一定のシェア以上の契約を行うことができないようにすれば、独占、寡占による支配も予防できるように思う。
徴税の公平性についても、全世界的に確保できるようになるのではないだろうか?
超、荒削りではあるが、コンセプトとして世に問いたい。