はじめに

2022年も世界的なデータプライバシー意識の高まりを反映するようなニュースが数多くあった。

今年最後の記事となる本稿では、編集部が選んだ2022年のプライバシーテック5大ニュースを紹介する。

年末年始のリラックスのお共として、見出しだけでもぜひ目を通していただければと思う。

①米国版GDPR。ADPPAが委員会を通過

②中国アントグループ、プライバシー保護計算フレームワークをオープンソース化

③Acompany、EAGLYS、LayerX、『プライバシーテック協会』を設立

④改正個人情報保護法の施行

⑤Appleの個人情報オークションCM

①米国版GDPR。ADPPAが委員会を通過

米国版GDPR策定へ　個人情報の扱いに忠実義務求める

米国版GDPR「ADPPA」の特徴と重要概念の解説｜A&A法律事務所｜note

今年7月、米国版GDPRともいえる、米国データプライバシー保護法案（American Data Privacy and Protection Act=ADPPA）が、下院のエネルギー・商業委員会を通過した。

これまで米国では、CCPAのような州レベルのプライバシー法は存在したが、連邦レベルのものは今回が初。自国産業発展の妨げになるとして規制に消極的であった米国でも、ついに強力なプライバシー保護法が策定されそうだ。

ADPPAの特徴のうち、GDPRとは大きく違う点を2つ紹介する。

一つは、対象事業者は個人データの利用を最小限にしなければならない点だ。

ADPPAは、消費者の同意の有無と関係なく、「必要以上のデータの収集をしないこと」と「データが必要になる17の理由のリスト」を明示している。この17の理由の中にターゲティング広告が含まれている点には注意が必要だが、データ最小化のアプローチを採用している点は評価できるだろう。

もう一つは、CCPAと同様にワンクリックで全てのターゲティング広告を拒否できることだ。

GDPR下におけるWebサイトでは、「すべてのCookieを受け入れる」を促すかのようなデザインが用いられ、仮に「すべてのCookieを拒否する」を選択しても別のページに遷移させられて面倒な手続きをしなければならなかった。しかしADPPAが施行されれば、米国民はワンクリックでターゲティング広告を拒否できるようになる。

ADPPAは日本企業にとって他人事ではない。例えば、ADPPAが適用される米国企業を子会社に持つ日本企業もその対象になる可能性がある。

日本企業が海外の法令に影響を受けた事例として、ヤフーの欧州サービス停止は記憶に新しい。同社は明言はしていないものの、GDPRの制裁金リスクや対応コストを鑑みて、採算が取れないと判断した。

弊ブログでも解説記事を書いているので、参照されたい。

米国版「GDPR」と言われるADPPAとは？米国全土で適応されるプライバシー法の現状をまとめてみた - プライバシーテック研究所

②中国アントグループ、プライバシー保護計算フレームワークをオープンソース化

アント・グループ、プライバシー保護コンピューティング・フレームワーク「隠語」をオープンソース化 | 36Kr Japan | 最大級の中国テック・スタートアップ専門メディア

Ant Group's Privacy-Preserving Computation Framework Becomes Open Source

今年7月、中国EC大手アリババグループ傘下の金融会社アントグループは、同社が6年かけて独自開発したプライバシー保護計算フレームワーク「隠語」をオープンソース化した。世界中の開発者がこの技術にアクセスしやすくして、このフレームワークが様々な場面で利用されることを狙う。

「プライバシー保護計算のプロセスには多くの基盤技術があるため、開発者がゼロから始めるのはコストがかかります。Antのオープンソースフレームワークにより、開発者は、我々の基本技術を構成要素として、ソリューションやプロジェクトを構築することができ、よりシンプルなプロセスと低いコストで研究を進めることができます」とAnt Groupのプライバシーコンピューティング部門のゼネラルマネージャーであるLei Wangは述べている。

「隠語」はアント・グループが安全・開放を主な設計理念として6年かけて独自開発した。MPC、FHE、TEE、FLなど、現在のほぼ全てのプライバシー保護技術に対応しており、さまざまなシーンに豊富なソリューションを提供し、開発者の利用の利便性をさらに高める。「隠語」はすでにアント・グループ内部の大規模業務だけでなく、外部の金融や医療などの分野でも幅広く応用されている。

さらにアントグループは、中国コンピュータ連盟と共に「CCF-アントグループプライバシーコンピューティング特別基金」を発足させた。この基金は、ポスト量子マルチパーティ計算やオープンソースのプライバシーコンピューティングプラットフォームのセキュリティなど、プライバシーコンピューティングの分野における最先端の研究を支援するために、60万ドル以上を投資する予定だ。この基金は世界中の研究者に開かれている。

③Acompany、EAGLYS、LayerX、『プライバシーテック協会』を設立

Acompany、EAGLYS、LayerXの3社、『プライバシーテック協会』を設立

プライバシーテック協会が発足、法制度の整理や提言を目指す

8月、国内プライバシーテックスタートアップの株式会社Acompany、EAGLYS株式会社、株式会社LayerXが、プライバシーテックの社会実装促進を目的とする『プライバシーテック協会』の設立を発表した。

個人のネット上の行動、企業の生産活動や物流などから生み出されるパーソナルデータを含む膨大なデータ資源を活用したビジネスが世界的に急速に進んでいる一方、これらデータ活用に対するプライバシー上の懸念の高まりによって規制も強化されている。欧州連合（EU）では2018年に一般データ保護規則（GDPR）が、国内でも2022年4月に改正個人情報保護法が施行され、ついに米国でも米国データプライバシー保護法案の実現まであと一歩という状況だ。

こうした環境の中、期待が高まっているのがプライバシーテックだ。プライバシーテックとは、個人のプライバシーを保護するためのテクノロジーである。例えば、データを暗号化しつつ企業・組織間でデータ分析ができる次世代暗号技術「秘密計算」や、仮想のデータを生成する「合成データ」、個人識別性を排除する「匿名加工」などが例に挙げられる。プライバシーテックに関しては、欧米ではその研究開発や議論が盛んに行われている一方、国内では技術に関する知識の共有や、技術と現行法との関係整理が進んでいない。

そうした状況を踏まえ同協会はプライバシーテックに関して、

現行法の関係整理や新たなルールメイキングの推進
安心・安全な技術として社会への周知・啓発
実証実験及び事業化の推進のための環境構築

を目的として活動していく。

④改正個人情報保護法の施行

改正個人情報保護法が4月1日施行、漏洩発生時に企業は「5日」で本人通知できるのか

改正個人情報保護法　特集

2022年4月。日本の改正個人情報保護法が施行された。

個人情報保護法は前回の2015年改正法(2017年施行)にて、3年ごと見直し規定を盛り込んでいた。今回の2020年改正法(2022年施行)はその最初の見直しだ。

今回の改正法では、不適切利用の禁止・第三者提供の規制強化など、個人の権利保護に関する様々な項目が追加・強化され、企業に課される義務もより重くなった。これは、GDPRやCCPAなど、海外での個人情報・プライバシー保護に関する法律の影響を大きく受けていると言われている。

そして、今回新たに、仮名化した個人情報である、仮名加工情報という概念が新たに導入された。仮名化とは、データ内の特定の個人を識別できる情報を、削除または他の情報に置き換えることで、加工後のデータのみから、特定の個人を識別できないようにするデータ処理の方法だ。

仮名加工情報は委託先以外への第三者提供が禁止されているが、事業内部での目的外利用は許容されている。また、保有個人データについての本人の権利行使と、個人データの漏えいなどの報告の対象外であるため、企業が個人情報を仮名加工情報として取り扱う場合、大きなメリットとなる。主要なプライバシー保護法については弊ブログでも解説記事を書いているので、参照されたい。

GDPR・CCPA・日本の改正個人情報保護法をまとめて解説！ - プライバシーテック研究所

⑤Appleの個人情報オークションCM

https://youtu.be/NOXK4EVFmJY?si=9lgoJN9oMF1ocQDt

今年5月、Appleが一つのキャッチーな広告を公開した。

「エリーの個人情報オークションです！まずはメール！彼女が開封して読んだ、とっても個人的なもの！次はドラッグストアでの購入履歴！そして次は位置情報！」

CMの内容は、エリーという名前の女性のあらゆる個人情報がオークションにかけられるというもの。現実離れしたこのオークションは、インターネット上で私達の目に届かない場所で、知らないうちに、実際に行われていることだ。

このCMのモチーフは、サービス利用者の個人情報が第三者の広告業者の手に渡るデジタルマーケティング広告市場である。Appleのプライバシーに対する姿勢をアピールするCMではあるが、その背景にあるプライバシーに関する問題はすべての人に関連していて、その状況をわかりやすく世間に訴えるものとなっている。

Appleは、プライバシー保護への取り組みを強みとしており、プライバシーテックの先駆者ともいえる。

この表示を見たことのある人は多いだろう。これもAppleの取り組みの一つ、IDFA（Identifier for Advertiser）制限に伴って用意されたATT(AppTrackingTransparency)によるものだ。

詳細は解説記事に譲るが、Appleは昨年春にIDFA取得のオプトイン化を実行し、アプリの広告収入に頼る企業の売り上げに大きな影響を与えた。IDFAとはiOS端末ごとに付与しているIDだ。広告仲介会社や広告配信会社はIDFAを取得し、それに紐づいた利用履歴などの個人データをターゲティング広告に活用していた。

それのオプトイン化したので、ユーザーがデータ提供許可をしなければ、アプリ事業者は従来のようにIDFAを自由に取得できなくなった。事業者がユーザーをトラッキングしたり、ユーザーのデバイスの広告識別子にアクセスする際には、ユーザーの端末画面に上記画像のような同意取得ポップが出るようになった。このIDFA規制によりビッグテックの広告収入が100億ドルも吹き飛ぶと予想されることから、追跡広告がいかに大きなビジネスとなっていたのかうかがえる。

蛇足だが、Appleがプライバシー保護を前面に出すのとは対照的に、ビッグテックの一角であるMetaは2022年にEUのプライバシー法による非常に大きな制裁金に直面した。Metaは9月と11月にそれぞれ、4億ユーロと2億6500万ユーロという、GDPR史上2,3位となる巨額の制裁金を科されている。

Appleの今回のCMは、世界的なプライバシー保護トレンドやその背景について、私たちが自分ごととして考えるいい機会になるだろう。

弊ブログでも解説記事を書いているので、参照されたい。

Appleの個人情報オークション（CM）から読み解く、プライバシーテックの重要性とは - プライバシーテック研究所

デジタルマーケティングで影響大の「IDFA変更」とは何か？今後の影響は - プライバシーテック研究所

おわりに

以上、プライバシーテック研究所編集部が選んだ2022年の注目ニュース5選であった。この5つ以外にも、2022年は世界的なデータプライバシー意識の高まりを表すようなニュースが数多くあったので、その他注目ニュースを例として以下に並べた。

Google FLoCの開発中止とTopicsへの移行
Chromeブラウザ、3rdパーティクッキー廃止を2024年まで延期
インド個人情報保護法成立
Yahoo! JAPANがEUでサービス提供終了

プライバシーテック研究所は来年2023年も、皆様の役に立つ情報の発信に努めてまいります。今後ともよろしくお願いいたします。

編集部