はじめに

Web3を中心に反GAFAMと分散型インターネット確立の声が強まる中、プライバシー保護に注目が集まるようになっている。プライバシーというと「個人データをどれだけ守れるか」というイメージが先行することだろう。

そんなプライバシー権の一つに、データ・ポータビリティ権というものが存在していることをご存じだろうか。そしてどうやら、データ・ポータビリティ権は、自らの個人データを守るために存在しているわけではなさそうなのだ。

では一体どのような権利なのだろうか。本記事では、データ・ポータビリティ権について深掘りしていこうと思う。

※本記事では、GDPRが規定している「個人データ」を元に解説していきます。日本の個人情報保護法が定める「個人情報」及び「個人データ」とは少し異なるので、注意してください。

データ・ポータビリティ権とは?

データ・ポータビリティ権を一言で説明するのであれば「個人データを持ち運べる権利」ということになるだろう。これはもちろん、ユーザー目線での話だ。事業者が個人データを持ち運べる権利、というわけではない。

現在はGDPR(一般データ保護規則)の第20条で規定されているデータ・ポータビリティ権が有名だ。

第1項
データ主体は、以下の場合においては、自己が管理者に対して提供した自己と関係する個人データを、構造化され、一般に利用され機械可読性のある形式で受け取る権利を持ち、また、その個人データの影響を受けた管理者から妨げられることなく、別の管理者に対し、それらの個人データを移行する権利を有する。
(a)
その取扱いが第6条第1項(a)若しくは第9条第2項(a)による同意、又は、第6条第1項(b)による契約に基づくものであり、かつ、
(b)
その取り扱いが自動化された手段によって行われる場合。
第2項
データ主体は、第1項により自己のデータポータビリティの権利を行使する際、技術的に実行可能な場合、ある管理者から別の管理者へと直接に個人データを移行させる権利を有する。
第3項
本条の第1項に規定する権利の行使は、第17条を妨げない。この権利は、公共の利益において、又は、管理者に与えられた公的な権限の行使において行われる職務の遂行のために必要となる取り扱いには適用されない。
第4項
第1項に規定する権利は、他の者の権利及び自由に不利な影響を及ぼしてはならない。

この条文の中で登場する第6条は「取扱いの適法性」、第9条は「特殊な種類の個人データの取扱い」、第17条は「消去の権利」のことである。

データ・ポータビリティ権の例を紹介しよう。例えば、私たち日本人の多くはLINEを利用している。そして、氏名や電話番号、生年月日といった個人データをLINEに登録しているはずだ。その一方で、Twitterを利用している人も多いだろう。そしてTwitterのアカウントを設立する際にも、電話番号や生年月日を入力していたはずだ。このようにして従来では、サービスの登録の際に、毎度のように個人データを入力する必要があった。

しかし、データ・ポータビリティ権が保障されていれば、LINEに登録していた個人データをTwitterに移すことが可能になる。つまり、個人データを移動させるだけで、サービスに登録することができるわけだ。アカウント登録の度に個人データを入力する必要はなくなる。

これは大したことのない変化のように見えるが、そんなことはない。新規参入するサービス事業者にとっては、サービスに登録してもらうことが最大の壁だからだ。

これは筆者個人の見解だが、InstagramがあるにもかかわらずTiktokが成功した理由は、この部分が大きいのではないかと思う。というのも、Tiktokはアカウントを登録しなくても、コンテンツを自由に視聴することができるからだ。

データ・ポータビリティ権の影響とは

では、データ・ポータビリティ権は、どのような影響をもたらすのだろうか。ここでは、ユーザー目線と事業者目線で、それぞれのメリット・デメリットを解説していこうと思う。

ユーザー目線

ユーザー目線でのメリットとしては、サービス選択の自由度が高まることが最大のメリットだといえる。先ほど述べた通り、サービスを登録する際に個人情報を入力する手間が省けるため、サービス選択の自由度はかなり高まってくるだろう。

特に金融とヘルスケア領域における利便性が向上すると考えられている。

例えば金融領域であれば、銀行口座やクレジットカードの情報をそのまま移動させることが可能になる。銀行口座やクレジットカードの登録は手間がかかるので、効果は大きいと考えられる。

また、ヘルスケア領域に関しては効果絶大だ。従来では、各医院での検査結果を持ち運ぶことは非常に難しかった。例えば歯医者のレントゲン写真は、医院間で共有されることはほとんどない。セカンドオピニオンを検討する度に検査代が発生し、手間もかかる。しかしデータ・ポータビリティ権が保障されれば、検査結果を持ち運ぶことができるようになる(各国の個人データの範囲にもよる)。セカンドオピニオンを検討しやすい環境となるのだ。

そして個人データを移動しやすくなると、**サービスの乗り換えを検討しやすくなる。**それに合わせて、事業者が「乗り換え割」を実施する可能性もあるため、直接的な利益を享受できるメリットも考えられる。

一方、デメリットについては、ほとんどなさそうだ。強いていうのであれば、セキュリティが脆弱なサービスや、個人データを抜き取ることを目的とした違法サービスの見極めは、これまで以上に必要かもしれない。自らが個人データをコントロールしなければならないという自覚を持つことが重要だ。

事業者目線

事業者目線のメリットは新規事業の機会創出が挙げられる。特にスタートアップ系の事業者にとって、データ・ポータビリティ権の普及が有利に働くことになるだろう。なぜなら、データ収集のコストをかける必要がなくなるからだ。資本力の強いビッグテックが寡占していた業界にも、参入しやすくなるだろう。

特に効果が大きそうなのはSNSだ。FacebookやTwitterに登録されている個人データを移動させるだけでアカウント登録できるようになるので、Tiktokのような新しいSNSを生み出せる可能性が十分に出てくる。

さらにSNSは、若者がムーブメントの中心にいることもあり、「新しさ」が注目されやすい業界でもある。今まではそれらの「新しいSNS」を全てFacebookが買収していたが、独占禁止法によって買収は実質不可能になった。その上、DMA(デジタル市場法)が施行されれば、より一層「新しいSNS」の開発が進むことになるだろう。

また、個人データを管理するための事業が生まれる可能性がある。その名も「情報銀行」だ。情報銀行は「個人データを管理及び利活用する事業」のことを指す。

データ・ポータビリティ権が創設されれば、ユーザーは個人データをコントロールすることが可能になる。しかし、数多のサービスが点在しデータ量が急増している現代において、個人データを自分でコントロールするのは困難になると考えられる。

そこで情報銀行の登場だ。情報銀行はユーザーから個人データを受託し、個人データをコントロールする存在となる。日本でも2015年の個人情報保護法改正で、すでに実現可能な仕組みとなっている。データ・ポータビリティ権が日本でも創設されれば、情報銀行は一気に注目されるようになるだろう。そして当然その時には、プライバシーテックが重要な位置付けになるのも間違いない。

一方、事業者目線でのデメリットとしては、データ・ポータビリティ権を踏まえたサービス設計をしなければならない点が挙げられる。既に事業を展開している事業者は、サービス設計の変更を余儀なくされるだろう。

GDPRが規定しているデータ・ポータビリティは基本的に、事業者がコストを負担することになっている点にも注目だ。つまり、データ移動の際に、ユーザーにコストを負担させることはできない。これも事業者にとってはデメリットになると思われる。

また、新規事業者が参入しやすくなる分、顧客の囲い込みがやりづらくなるのもデメリットだろう。

データ・ポータビリティ権の事例

ここでは世界各国のデータ・ポータビリティ権の事例について取り上げてみようと思う。

EU

まず外せないのはGDPRだ。先ほども紹介した通り、GDPRの第20条でデータ・ポータビリティ権が規定されている。

背景としては主に2つある。

1つめは、「個人データはデータ主権がコントロールできるようにするべき」というものだ。GDPRは「個人データを守るため」に存在しているのではない。個人データのコントロール権、つまり「個人データの保護という基本的人権を守るため」に存在している。日本の個人情報保護法とは、背景が微妙に異なることが分かるだろう。このニュアンスの違いは、しっかり抑えておく必要がある。

そして2つめは、米国のビッグテックに対する牽制だ。現在、欧州で普及しているサービスの大半が米国発のサービスとなっている。そのため、カネの流れでいえば、欧州から米国に垂れ流しされている状態だ。これを考慮したEUは、ビッグテックに対する規制を強めることで、欧州発のサービスが生まれやすい環境を構築しようとしている。

今までのインターネット世界は欧米と中国でハッキリと分かれていた。だが今後は、欧米が米国と欧州に分断され、米国、中国、欧州の3つのインターネット世界になることが考えられる。

米カリフォルニア州

米カリフォルニア州で施行されているCCPA(カリフォルニア州消費者プライバシー法)では、第1798.130条においてデータ・ポータビリティ権が設けられている。

検証可能な消費者要求を消費者から受領して45日以内に、無償で、求められている情報を消費者に対して開示し送付する。事業者はその要求が検証可能な消費者要求かどうかを速やかに判定する措置をとるものとするが、それは消費者の要求の受領から45日以内に情報を開示し送付する事業者の義務を延長させるものではない。求められた情報を提供する期間は、消費者に対し最初の45日以内に延長の通知を行うならば、合理的に必要な場合、追加の45日を一回延長できる。開示は、検証可能な消費者要求を事業者が受領した日の過去12か月間以内のものを対象とし、開示は書面で行うものとし、また消費者が事業者にアカウントを有する場合には、事業者とその消費者のアカウントを通じて、又は消費者が事業者にアカウントを持たない場合には消費者の選択により郵便又は電子的な方法を通じて、消費者がその情報をある主体から別の主体に障害なしにその情報を移行できるよう容易に利用可能なフォーマットで送付されるものとする。事業者は、要求された個人情報の性質に照らして合理的な消費者の認証を要求することができるが、消費者に対して検証可能な消費者要求を行うためにその事業者のアカウントを作成するように求めてはならない。消費者が事業者にアカウントを有している場合、当該事業者は消費者に当該アカウントを通じて要求を提出するよう求めることができる。

タイ

タイの個人情報保護法(PDPA)でも、第31条でデータ・ポータビリティ権が保障されている。

タイの個人情報保護法は、GDPRにかなり近い法律であることが印象的だ。これは、世界各国でGDPRを模した個人情報保護法が施行される可能性があることを示唆しているように思える。つまり、世界各国でデータ・ポータビリティ権が保障されるようになる可能性があるということだ。

まとめ

  • データ・ポータビリティ権とは「ユーザーが個人データを持ち運べる権利」のこと
  • データ・ポータビリティ権の創設によって、スタートアップ事業者が有利になる
  • 世界各国でデータ・ポータビリティ権が創設される可能性が高い