2020年06月21日

はじめに

私達の日常生活と切っても切り離せない、インターネット。

ブラウザ、Webサイトそしてアプリケーションを使う時に決まって表示されるのが、「プライバシーポリシー」や「個人情報保護方針」である。

これらの文書は、ユーザーの「個人情報」およびユーザーの行動に関するデータである「パーソナルデータ」を、「事業者がどのように取扱うのか」という点を明示したものである。(同時に、ユーザーからの同意を取ったりする場合が多い)

Webサービスの事業者や個人情報の利用主体は、ユーザーから個人情報等を取得したり、利用したりする際に「個人情報保護法」の規定に沿って公表義務等を果たさなければならない。

この個人情報保護という領域は、近年アップデートが進んでいる分野であると同時に、アップデートを”進める必要がある”分野の一つである。

2020年6月5日には、改正個人情報保護法が参議院の本会議で可決・成立した。この記事では、改正個人情報保護法のポイントおよびパーソナルデータを巡るルールの世界のトレンドをご紹介しようと思う。

そもそも、個人情報保護法って?

そもそも個人情報保護法とはなんだろうか?

個人情報保護法とは、「利用者や消費者が安心できるように、企業や団体に個人情報をきちんと大切に扱ってもらった上で、有効に活用出来るよう共通のルールを定めた法律」である。

(引用：個人情報保護法ハンドブック｜個人情報保護委員会)

この個人情報保護法、主に民間の事業者に適用される法律であり、公的な機関に関しては別の法律や個々の条例が適用される(但し、個人情報保護法の第1章から第3章までの部分に関しては、公的機関にも適用される)。

この個人情報保護法では、第2条にて「個人情報」を定義している。簡潔にまとめると、個人情報とは、

①生存する個人に関する情報であって、その人を特定できるもの (ex... 氏名・生年月日等)
②生存する個人に関する個人識別符号 (ex… 指紋データ・運転免許証番号等)

の二点であるとされている。加えて、事業者がこれらの情報を取扱う場合、①利用目的の特定 ②利用目的の通知 ③適正な取得、が求められている。

「個人情報とはなにか」そして「民間の事業者は個人情報をどのように取扱う必要があるのか」という点を定めているのが、この個人情報保護法なのである。

改正個人情報保護法のポイント

①個人情報に対する意識の高まり ②技術革新を踏まえた保護と活用のバランス ③新たなリスクへの対応といった観点から、以下のような事項が新たに設けられることになった。

1. 「Cookie」等、個人情報に該当しないデータに関するルールが追加された

Cookieとは、Webサイトを訪問した際に記録されるサイトを訪れた日時・訪問回数・ID等の情報を指すものである。2019年、就職情報サイトが内定辞退率を分析し、企業に販売していた問題が発覚した。この問題を契機として、Cookieを使う場合に、ユーザーに対して説明を行うことや、利用者が拒否する権利が議論されるようになった。

今回の改正により、ウェブの閲覧履歴を記録したCookie等、直接的には個人情報に当たらないようなデータであっても、事業者が個人と照合して利用する場合は本人の同意が必要となる。

2. ユーザーが自分のデータに関して、利用停止や消去を請求できる権利が拡充された

事業者の個人情報の取扱いにより、ユーザーの権利や正当な利益が害されるおそれがある場合には、その個人情報の利用停止等を事業者に請求することが可能になった。

3. 事業者のデータ活用を後押しする制度が設けられた

イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」が創設された。事業者の内部に於ける分析等に用途が限定されるが、ユーザーからの開示・利用停止請求といった義務が緩和されることになるようだ。

世界のトレンド

改正個人情報保護法では、Cookieの活用に関するルールが盛り込まれたことを前のセクションにてご紹介した。EU域内では2018年5月に施行されたGDPR(EU一般データ保護規則)というルールにて、Cookieの活用に関する規制が設けられた。

EUに拠点を置く事業者のWebサイトを閲覧しようとすると、Cookieについての同意を求めるメッセージが表示された経験をお持ちの方も少なくないだろう。これは、GDPRに於いて「Cookie条項」というものが存在しており、事前同意が義務付けられていることによる。この他、GDPRには、①個人データ保護に主眼を置いた厳格なルール ②違反した者に対する巨額の制裁金が定められており、世界中の事業者が無視できない(アジャストする必要がある)ルールとなっている。

2020年1月にはカリフォルニア州のプライバシー規制法、CCPA(California Consumer Privacy Act)が施行された。CCPAでは、事業者は、ユーザーから個人情報の開示や削除の請求があった場合に対応しなくてはならない。また、個人情報の取扱いに関して、第三者からみて十分な対応・対策であったことを証明できるようにサービスを実装することが求められている。

GDPRとCCPAは、ユーザーに対し個人情報収集の目的および収集した個人情報を何に利用するのかを開示することを求めたルールである。これらのルールの背景には、近年巨大化しているプラットフォーマーがデータを独占的に利用することに対する懸念が存在している。同時に、データの利活用を「自己の権利としてユーザーが主張していくこと」がトレンドとして、ルールのスコープに入っている点は興味深いといえよう。

おわりに

前述した通り、インターネットと日常生活は切っても切り離せないレベルで結び付いている。事業者は、氏名・住所・メールアドレスといった情報のみならず、位置情報やWebサイトの訪問履歴までを取得することが可能である。これはユーザーの「性格、人柄、嗜好」といった要素を判別することができるレベルに達している。

こういった、個人情報やパーソナルデータを”出来れば渡したくない”と考えるのがエンドユーザーの共通の思いなのではないだろうか。

しかし、これらの個人情報およびパーソナルデータの適切な活用が実現すれば、サービスの品質向上のみならず、人々のQOLを向上させることが出来る画期的なサービスの創出に繋がる可能性もある。

よって、①人々=ユーザーの不安も和らげつつ、②人々の生活の質を向上させることにも繋がるような、”バランスのとれた個人情報およびパーソナルデータの活用方法”を思考していく必要があると考えられる。

加えて、企業の利益拡大の為のデータ活用と、消費者保護の為のデータ規制を、”相反する要素”として捉えるのではなく、”共存”していく道を探る必要もある。

キャッシュレス先進国であるフィンランドで、「e-bankingの父」と呼ばれているボー・ハラルド氏は、データ活用とユーザーの権利の関係性について以下のように述べている。

「プラットフォーマーと呼ばれる企業などが取得しているようなデータ......そこには多岐にわたる有用なデータが眠っていますが、それが必ずしも役立つかたちで整理されていないのが実情です。GDPRの重要な意義のひとつは、個人がそれらのデータを自分のために有用化することを個人の権利として認めたことだと思います。」

(次世代ガバメント小さくて大きい政府の作り方｜若林恵, 2019年12月, 黒鳥社, pp174-175)

個人情報保護法に関わる切り口は多様化している。人々(ユーザー)の生活に直結するトピックでもある為、今後は、事業者および専門家だけではなく市井のユーザーを巻き込み、マルチステークホルダーで議論していく必要があるだろう。