はじめに
「パーソナルデータ」をご存知だろうか。
プライバシーといえば個人情報だと思うが、実はそれよりも大きな枠組みとして、パーソナルデータという概念が存在している。そこで今回は、パーソナルデータとは一体どのようなものなのか。そしてパーソナルデータはどこに向かっていくのだろうかについて少し考えてみたいと思う。
パーソナルデータとは
パーソナルデータは、実際の法令で定義されているわけではないが、総務省が発行している『平成29年度版 情報通信白書』では以下のように定義されている。
「パーソナルデータ」は、個人の属性情報、移動・行動・購買履歴、ウェアラブル機器から収集された個人情報を含む。また、(…中略…)『改正個人情報保護法』においてビッグデータの適正な利活用に資する環境整備のために「匿名加工情報」の制度が設けられたことを踏まえ、特定の個人を識別できないように加工された人流情報、商品情報等も含まれる。そのため、(…中略…)「パーソナルデータ」とは、個人情報に加え、個人情報との境界が曖昧なものを含む、個人と関係性が見出される広範囲の情報を指すものとする。
上記の通り、パーソナルデータには個人情報も含まれる。また、位置情報や医療健康情報など、個人に関する全てのデータがパーソナルデータだと解釈されることが多い。
パーソナルデータのメリット
パーソナルデータを活用することで得られるメリットとしては、以下が考えられている。
- コンテンツ配信をユーザーごとに最適化できる
- 人口統計データの質向上
- 良質なフィードバックが得られる
例えば、私たちが頻繁に利用しているYouTubeやAmazonといったサービスでは、一人一人のユーザーのパーソナルデータを元に、コンテンツや商品がリコメンドされる。動物動画を日頃から視聴している人には動物動画がリコメンドされる、といった感じだ。これは事業者にとってもユーザーにとっても便利なことだろう。
また、パーソナルデータを大量に集めてビッグデータを形成することで、交通渋滞の緩和などの効果も期待できる。
パーソナルデータのデメリット
パーソナルデータの活用によるデメリットは以下が考えられている。
- 個人情報漏洩リスク・管理コストを抱えることになる
- 監視されているような感覚
パーソナルデータの活用は、事業者にとってメリットばかりではない。パーソナルデータを所有する場合は、個人情報漏洩リスクや管理コストを抱えることになる。日本国内の現行の個人情報保護法では、最高でも1億円の罰金刑で済む。だが近年はGDPRによく似たプライバシー法が施行されていることもあり、経営危機に直結するような金額の罰金刑が課される可能性もある。
また、ユーザーにとっては監視されているような感覚に陥ることもある。筆者の経験談だが、Googleで「ネットカフェ」と検索すると、位置情報サービスを利用していたわけではないのに、なぜか自分のいる場所の近くのネットカフェが検索結果に表示される。いつの間にか自分の居場所がGoogleにバレてしまっていたのだ。これを不快に思うユーザーは一定数いるだろう。
総務省による研究会
総務省では2012年11月から2013年6月まで「パーソナルデータの利用・流通に関する研究会」を全9回に渡って開催していた。その報告書によれば、パーソナルデータの法律面における課題としてはこのように分析されている。
日本の個人情報保護法を含むプライバシー保護・個人情報保護のルールは、パーソナルデータの利活用を禁止することを目的とするものではなく、パーソナルデータを適正に利活用するため、プライバシー保護等とパーソナルデータの利活用の調和を図ることを目的とするものである。 パーソナルデータの利活用に関する議題の多くは、パーソナルデータの利活用のルールが明確でないため、企業にとっては、どのような利活用であれば適正といえるかを判断することが困難であること、消費者にとっては、自己のパーソナルデータが適正に取り扱われ、プライバシー等が適切に保護されているかが不明確になっており、懸念が生じていることにある。 パーソナルデータの利活用において、プライバシー等の観点から問題となり得るのは、特定の個人と結びつきが強い場合である。 そして、パーソナルデータの利活用のうち、プライバシー等に係るルールの適用関係が必ずしも明確でなく、取扱い上その判断に困難な問題が生じる可能性が大きいのは、パーソナルデータの利用・流通の過程において、個人識別性などの特定の個人との結びつきの強弱を容易に判断することが困難な場合である。
例えば、パソコンやスマートフォンなどの識別IDは、本来であれば端末を識別するための情報だ。しかし実質的に、端末の識別IDは個人と結びついている。そのため報告書では、スマートフォンなどの識別IDはパーソナルデータに含まれるとしている。
また、IPアドレスやCookieの情報については、必ずしも個人と結びついているわけではないため、全ての場合においてパーソナルデータの範囲に含まれるわけではない。だが、他のパーソナルデータと連結するような形で取得される場合は、パーソナルデータの範囲内と解釈するべきだとしている。この辺りが、パーソナルデータの取り扱いとして厄介なところだろう。
そこで報告書では、保護されるパーソナルデータは、プライバシーの高低により次の3つに分類するべきだとした。
- 一般パーソナルデータ(プライバシー性が高くない)
- 慎重な取り扱いが求められるパーソナルデータ(プライバシー性が高い)
- センシティブデータ(プライバシー性が極めて高い)
一般パーソナルデータの範囲は以下のものが考えられている。
- 氏名など本人を識別する目的などで一般に公にされている情報
- 本人の明確な意図で一般に公開された情報
- 名刺に記載されている情報で企業取引に関連して提供される情報
次に、慎重な取り扱いが求められるパーソナルデータの範囲は以下のものが考えられている。
- 電話帳情報
- 位置情報
- 通信履歴
- アプリケーション利用履歴
- 端末固有ID
そしてセンシティブデータの範囲は以下のものが考えられている。
- 宗教に関する情報
- 社会的差別の原因になる情報(民族、犯罪歴など)
- 政治的権利の行使に関する情報
- 健康又は性生活に関する情報
この3つの分類の中で、法的に扱いが難しいのが「慎重な取り扱いが求められるパーソナルデータ」だ。なぜならプライバシーの高低の程度に相違があるためである。
パーソナルデータの現状
では、パーソナルデータの現状はどのようになっているのだろうか。「令和2年版 情報通信白書」の調査から読み解いていきたい。
まず、パーソナルデータの提供状況については、日本・米国・ドイツ・中国の各国において、パーソナルデータを提供したことがあると回答した者の割合が7割を超えていた。また、各国に比べ日本は「よく分からない、覚えていない」と回答した者の割合がやや大きかった。
加えて、デジタルプラットフォーマーに対してパーソナルデータを提供しているかの認識について調査したところ、各国とも半数以上が「認識している」と回答している。そして各国とも6割以上が、パーソナルデータの提供に不安を感じていると回答している。
これらのデータを見る限り、先進国の半分以上の国民がパーソナルデータの提供を認識しており、不安に感じているということが分かる。
事業者目線では、従業員に対してパーソナルデータの活用状況を訪ねた調査が公表された。それによると、米国では68%、ドイツでは61%の者が「パーソナルデータを活用している」と回答しているのに対し、日本は25%のみの回答。そして63%の人が「わからない」と回答している。つまり現状として、日本は米国やドイツと比べると、パーソナルデータの活用が進んでいない状況にあるといえる。
情報通信白書では明言されていなかったが、63%の人が「わからない」と回答したのは、かなり衝撃的な結果のように思える。「わからない」ということは、企業がパーソナルデータを活用しているかしていないかを、従業員が把握していないということだからだ。この場合、企業がパーソナルデータを活用していないのであれば問題ない。だが、企業がパーソナルデータを活用していながら、それを従業員が把握していないのであれば、「その企業ではデータの取り扱いが非常に不透明な状況にある」と解釈していいのではないだろうか。
海外におけるパーソナルデータ
ここでは、海外におけるパーソナルデータの活用事例を紹介していきたい。『令和2年版 情報通信白書』では、フィンランドのMy Data施策や、イタリア版情報銀行のWeopleが取り上げられている。
まずは、フィンランドのMy Data施策だ。この施策は「個人は自らのパーソナルデータを管理すべき」という信念に基づき、2015年から提唱されている。医療・エネルギー・金融機関などのパーソナルデータの管理手段を提供することで、消費者エンパワーメントを実現させることを目標としている。現在は世界各国で拠点が設置されており、2019年には「MyData Japan」が設立された。
また、イタリア版情報銀行のWeopleは、2019年10月時点で約4万人の登録者を集めている。当サービスでは、管理者とデータ主体の仲介者としてWeopleがデータポータビリティの権利を行使する仕組みとなっている。データポータビリティについては以下の記事を参照してみてほしい。
パーソナルデータの行く末とは
まず、抑えておくべきことは、日本の個人情報保護法の方向性が、世界各国のプライバシー法と異なる点だ。例えば世界で最も厳しいプライバシー法と言われるGDPR(一般データ保護規則)は、データ主権を取り戻すことが背景にある。そのため、データを自由に扱えるという観点から、データポータビリティといった権利が認められていると考えられる。また、中国の個人情報保護法は、対米国の安全保障的な意味合いが強い。
どちらにせよ、海外の個人情報保護法は「取り締まり」の印象が強い。実際、罰則もかなり厳しい。しかし日本の個人情報保護法は、適正かつ効果的な活用の促進が背景にある。つまり「個人情報を効果的に使っていくため」の法律なのだ。
この場合、一般的な考えであれば、規制の緩い日本の方が、パーソナルデータの利活用が進むはずである。しかし、先ほども述べた通り、米国・ドイツに比べて日本では利活用が進んでいない。ここが実に奇妙なところだ。
ではなぜ日本で利活用が進まないのか。それは、危機感が相対的に薄いからだと考えられる。それは、プライバシー保護という観点でもそうだし、国際競争力の観点からも言える話だ。「日本国民は国際競争力への危機感が欠けている」とよく言われる。これはメディアの報道のやり方や、終身雇用と解雇規制といった企業文化が背景にあるのだろう。
どちらにせよ、日本の個人情報保護法は、GDPRや中国の個人情報保護法と比べても、米国ビッグテックに対する危機感が薄いことは間違いない。おそらくこのままだと、日本企業よりも米国ビッグテックの方が、日本国民をよく知っている状況になるのではないだろうか。
現在、情報銀行の議論が進んでおり、国内の企業が既にサービスを開始をしている。たしかに、パーソナルデータを一括管理した方が、個人情報漏洩リスクをコントロールしやすく、ビジネスチャンスも生まれるだろう。だが、もしAppleやAmazonが情報銀行に近いサービスを提供し始めてしまえば、ビッグテックの情報銀行が国内市場の覇権を握るような気がしてならない。
「適正かつ効果的な活用の促進」を実現するためにも、まずは国外へのデータ流出を防ぐべきなように思える。
まとめ
- パーソナルデータは、個人に関する全てのデータと解釈されることが多い
- 個人情報もパーソナルデータの一部
- 海外の先進国に比べると、日本はパーソナルデータを活用しきれていない
