世界的に関心が高まる個人情報とプライバシーの取り扱い
世界的に個人情報とプライバシーの取り扱いへの関心が高まっている。各国が進める行政サービスの電子化やGAFAなど巨大IT企業のビジネスにより、膨大な個人データの集中・集積が進む一方で、数々のデータ漏洩事故や、データ取得を狙った犯罪が多発している。個人も、自己の情報の安全性に敏感にならざるを得ない状況だ。
2022年夏に放送されたApple社iPhoneのCMは、若い女性のメールの履歴やドラッグストアでの購入履歴などの個人情報が次々競売にかけられる物語を映し出した。その光景を見た本人がiPhoneで「アプリにトラッキングしないよう請求」すると、競売者たちが競売場から消滅し、競売自体が終了するという結末になっている。Apple社は個人のプライバシーを尊重し、iPhoneなら個人情報を守れるということをアピールするCMだった。アップルのサイトでは「プライバシー。これがApple。」というキャッチコピーでプライバシー重視の姿勢を訴えている。
一方、Facebook改めMetaは「プライバシーファーストの時代におけるパフォーマンスマーケティング」というサイトを立ち上げ、個人のプライバシーを尊重しながら効果的なマーケティングを行う方法を解説する多数の動画を公開している。今や顧客の行動履歴など、ネット情報をマーケティングに活用するのは常識だ。Cookieの廃止が決定している状況で、ネット上での情報の収集をどうしていくかを課題としている企業は多い。Metaは同社の広告主であるそうした企業と共存していくことをアピールしているわけだ。
消費者目線で見ればAppleは正義の味方で、Metaはちょっと胡散臭く感じられるかもしれない。しかし、話はそう簡単ではない。自分の情報を完全に秘匿していれば情報の安全性は保たれるが、情報提供によって受けられるインターネット時代の便益は無くなってしまう。
行政が個人情報を持たず、国民を特定する方法を持たなければ、行政サービスの電子化は不可能だ。企業は消費者行動などの情報を多く持っていることで、良質のマーケティング活動を行える。長い目で見れば、そこで企業が上げた利益も消費者に還元されるはずだ。つまり、電子化された個人情報がネットを通じて流通することで社会がより便利になり、経済的な発展も促される。個人情報とプライバシーの問題での「個人の権利」とは、個人のデータが身体や財産などと同様に、個人に属するものであり、企業からのサービスなどを受けるのと引き換えにその一部の使用を認めるということで、あくまでもそのコントロールをするのは個人なのだ。
もちろん前提として、個人情報が安全に利用され、本人が不利益を受けないことが必要だ。個人情報とプライバシーの安全性を高めるためには、そうしたデータを集め利用する企業などの取り扱いに何らかのルールを定めていかなくてはならない。
グローバルでも進む個人情報保護の動き
しかし、インターネットを一元的に管理する組織が存在しないのだから、世界的に共通した規制を作成するのは困難だ。個人情報、プライバシーについての規制を法制化できるのはそれぞれの行政単位ということになる。
個人情報の取り扱い規制としては、2018年に施行されたEUのGDPR(General Data Protection Regulation:一般データ保護規則)が有名だ。GDPRはEU加盟国にアイスランド、ノルウェー、リヒテンシュタインを加えた枠組みで、EU内組織にEU内での個人情報の取り扱い方を規定し、同時にEU域外への不適正な持ち出しなどに高額の制裁金(最大2,000万ユーロまたは全世界年間売上高の4%)を課している。インターネットによるグローバルなデータ流通などに制限を設けることで、個人情報の安全性を高める狙いだ。例えば、フランスのデータ保護機関CNILは、2020年に、アメリカのGoogleに対してGDPR違反で60億円以上の制裁金を要求している。
一方、アメリカは、NIST(米国標準技術研究所)などが個人情報を定義し情報の安全性を共有しようという提言をしてきたが、州単位の独立性が強く、個人情報保護についても例えばカリフォルニア州では進んでいるのに隣の州では様子が違うという状態が長く続いてきた。しかし、2022年6月に米国データプライバシー保護法(ADPPA)の第二草案が上下院のメンバーによって発表された。ADPPAの特徴としては、企業が収集可能な個人情報を最小単位に制限していることだが、ADPPAによって、アメリカという国を単位とした情報保護の青写真がようやく見えてきた。このように、世界的に個人情報の取り扱いの規制がそれぞれで進んでいっている。
3年ごとに見直しを図る必要のある法律
さて、日本には個人情報保護法がある。個人情報保護法(正式には「個人情報の保護に関する法律」)が公布されたのは2003年、施行は2005年で、すでに20年近い歴史がある。この法律は、デジタル社会の進展によって広く利用されるようになった個人情報を、収集・蓄積したり、提供・売買したりする企業が適正に取り扱うように定め、個人情報が社会や経済のために効果的に活用されながら、個人の権利利益はきちんと保護されることを目指している。ちなみに、EUは日本の個人情報保護法を検討し、2019年に日本をGDPRの例外と認定している。
しかし、海外から評価されるような法律でも、デジタル社会の進展スピードは早いため、個人情報保護法は施行後何度も改定されている。2019年からは3年ごとに見直しを図ることが発表されているが、ここ3年の技術的な進歩を振り返ってみると、見直し期間は3年でも長すぎるくらいに感じる。しかし、法律の運用を考えると、このくらいの期間は必要なのだろう。直近では2020年に公布された改正法が、2022年4月より施行された。多数の項目の新設や修正が盛り込まれている。
なお、個人情報保護法の施行とともに個人情報保護委員会が設置され、同法の運営にあたっている。同委員会のサイトには、個人情報保護法関連の詳しい情報が掲載されており、今回の改正についても、同サイト内の「改正個人情報保護法特集」の「令和2年改正個人情報保護法 主な改正ポイント」で詳しく解説されている。
個人情報を取り扱う企業などへの規制は改正ごとに強化されてきたが、今回の改正では、情報所有の主体である個人をより重視する姿勢が目立つ。例えば漏洩等が発生した場合、これまでは個人情報保護委員会への報告とともに個人への報告は努力目標だったが、今回は「漏洩等本人通知の義務化」に改正された。さらに、漏洩等の「恐れ」がある場合も対象となっている。個人情報の危険が発生している状況の把握を「個人の権利」として可能にした。
「利用停止・消去等の請求権」では、これまで企業保有やネット掲載などの情報について、個人情報保護違反がないと利用停止や消去を請求できなかったものを、本人の権利や正当な利益が害される「恐れ」がある場合に請求できるようになった。企業側から見れば、運用をより慎重にする必要が出てきたわけだが、個人からすると明確な利用違反がなくとも、不安を軽減することが可能になったと言えるだろう。
一方、個人情報の定義の部分でも改正は行われている。新設された「個人関連情報の第三者提供規制」では、その情報だけでは個人を特定できない場合でも、他の情報と照らし合わせれば個人の情報として特定可能なものを個人関連情報とし、提供規制の対象とした。提供に、より厳密性を持たせたと言えるだろう。
IDなどで区別されていても氏名が入っていないため個人情報ではないデータを、IDと氏名を併せ持つデータとマッチングすれば、個人情報になってしまうものなどだ。一方、より特定の難しい、氏名等を特定不能にした「仮名加工情報」については、提供時の規制を緩やかにし、情報活用の活性化も適う枠組みを提供している。
今回の改正法は、情報の個人の側に寄り添い、不正利用などの不安を軽減する方向に整備が進んでいる。企業はデータの取り扱いにより慎重になる必要があり、情報保護方針の変更などを迫られるケースもある。最近、企業から個人情報保護方針の変更についてのメールを受け取った方も少なくないだろう。
個人が主体的に自分の情報を使用できる将来に向けて
しかし、安全に個人の権利を使用できていても、便利に使用できているとは言えないかも知れない。個人が利益を得るために、自身の情報を積極的に、簡単に使用できるような環境整備はまだ不十分だ。
例えば、ネット上のサービスを利用したいとき、氏名などの個人情報の登録が必要になる。その場合、その企業の「個人情報取り扱い方針」を読んで同意することが求められる。非常に長い文書だ。それは一つのサービスだけのことではない。新しいサービスを利用するたびに、似たような文書を何度も読まなくてはならない。
もちろん、個人の情報を守るため、不正利用などを避ける安全性を高めるためではあるのだが、スクロールだけして読み飛ばしたという経験のある人は決して少なくないだろう。もっと簡単な手続きで「個人の権利」を行使するために、同様の安全が確保できればいいのだが、現状はまだ過渡期だ。いずれ、安全を保ちながら権利をもっと容易に使用できる形もできてくるだろう。
企業の個人情報保護方針の各項目と、個人があらかじめ選択しておいた許可する項目が自動でマッチングされ、一致しないものだけ表示されて判断するといった形も将来的には可能になるかも知れない。日本ではまだ用途が限定的なマイナンバーカードが、そういった用途に利用されるようになる可能性もないわけではないだろう。前述の個人情報保護委員会は、マイナンバー法関係の監視・監督にもあたっている。