主題は日本的「個人情報」じゃなくて「個人のデータ」。dataportability.orgの記述では「個人が自身のデータに関して、誰がどのように使うかを決定することを通じて制御することができる」とは書かれているが、データそのものの定義はない、というか、それを定義するのも一緒にやっていこうぜ、というところだろう。 米国は個人情報保護法のような公・民横串の包括的保護法がなかったから、こういう流れはある程度理解できる。ただ、最近はデータ不正アクセスや紛失時に本人へ通知するというData Breach Notification Lawsが26州で採用されていると聞いたので、それはどう反映するのかな? さらに、この判決文から騒ぎになったguardian.co.ukの例のニュースももしかして関係するか、とか。
で、前述の気になってること。
- データの定義:
Aさんのエンティティに登録されている友達Bさんの名前とかメールアドレスなどはAさんのものか?IDはそうでも、メールアドレスとかは違う気がするな。FaceBookなどはGmailなど他のサービスのアドレス帳取り込みで勝手に友人のアドレスも取り込んでしまうのが当たり前みたいになってるけど、これはいいんだろうか? - 格納と所有権:
ソーシャルサイトXに格納されている個人のデータは誰のものか?これは登録した個人のものだという認識が主流と思うが、運用面ではどこまで許すのか? mixiで似たような騒ぎがあったような???(mixiは使ってないのでよくわからん) - 取り扱い面:
データを公開した場合にそれが追跡できて、必要ならいつでもLinkを切断できる、とか、トレーサビリティみたいな話は既に出てるけど、意図しない状態(e.g.古い情報のまま)にならないためのルールとか。トランザクション処理ではないけど、acid (atomic(原子性),consistent(一貫性),isolated(分離性),Durable(持続性)みたいなことって考えられる? あと、有効期限のような公開時の付帯条件とか。