プライバシーテック研究所

はじめに

人は生まれながらにして「プライバシー」権を持っています。

これは誰にも侵害されない、パーソナルスペースのようなものです。しかし今、この権利が脅かされつつあります。

背景には、インターネットを介して一人一人が「世界」と繋がったという、いまさら終わらせることのできない現実があります。 インターネットは世界を豊かにしました。インターネットを介して、普通に過ごしていたら会えない人とも会えるだけではなく、友達づくりや結婚など、なんでもできるようになりました。できないことはないくらいです。

しかし、私たちのプライバシーは脅かされました。

名前や生年月日、住所、仕事、婚姻歴など、インターネットで「検索」すればなんでもわかるようになりました。それも、無料で。

犯罪歴や婚姻歴など、人に見られたくない「わたしの経歴」は一生消せなくなりました。ここから「忘れられる権利」が登場しました。発端は2011年のフランス。女性がGoogleに対して、「過去の写真の完全消去」を求めて裁判を起こし、勝訴しました。

EUはこの危機に敏感でした。

2012年には「EUデータ保護規則案」が提案され、2016年にはGDPR(一般データ保護規則)が制定、2018年に施行されました。

しかしなぜここで、プライバシーテックが必要と言われるのでしょうか。その答えは、人が生まれながらにしてもつプライバシー権を守るためです。今回はこのプライバシーテックとは何かについて少し考えていきたいと思います。

プライバシーとは何か

そもそもプライバシーとはなんでしょうか。

辞書的な解答をすると、「他人の干渉を許さない、各個人の私生活上の自由」となります。他人に脅かされない領域と捉えることもできます。

例えば温泉では男湯と女湯が分かれています。これも個人個人のプライバシーを守るための仕組みの一つだと考えられます。トイレでもです。個室中心の設計になったのはプライバシーを守るため、そう考えることができます。

そう、現代人はプライバシーに守られて生きているのです。なので、全く知らない第三者が「わたし」の個人情報を知っていると不快な気分になるし、不安にもなります。ネット社会でこれが顕著になったからこそ、このプライバシーが脅かされることに敏感になってしまいました。

プライバシーテックとは何か

プライバシーという権利を保護する技術が「プライバシーテック」です。企業が持つ個人データの適切な活用と、個人情報を保護するため、不可欠な技術としてEU圏を中心に注目を集めています。

このプライバシーテックには、データを暗号化して分析する「秘密計算」やデータを集約せずに分散した状態で機械学習を行う「連合学習」、人工的に生成された本物のデータに類似する「合成データ」、個人データが識別されないようにしながら大規模なデータセットから学習できるようにするアプローチである「差分プライバシー」など、さまざまな技術が存在します。ここで挙げた技術以外にもプライバシーテックに該当する技術はありますし、本来プライバシーテックとは見なさない技術でも、技術と技術の組み合わせによっては該当する場合もあります。

プライバシーテックは国内外問わず黎明期

現にプライバシーテックは日本も含めた各国で実証実験の展開や、サービスの誕生が徐々に進んでいます。例えば国内では、NTTやNECなど大手SIerが研究開発から実証に着手。スタートアップも出てきています。

中国では、プライバシーテック企業が90億円の資金調達に成功。金融を中心にプライバシーテックの技術開発が進んでいます。

そのほかにもアメリカではVanta、ヨーロッパではイギリスのPRIVITARが活躍。資金調達も成功させている企業が多く、最近では2022年5月にシードスタートアップBitfountが約6億円の調達に成功しています。

他にもTechCrunchを見れば、最近では多くのプライバシーテックに関する数多くの記事を読むことができます。そう、海外ではプライバシーテックが盛り上がりを見せていると言えるのです。

プライバシーテックに類似する用語はたくさんある

また少し話は変わりますが、これらの会社を見ていると、PETs(Privacy Enhancing Technologies)やプライバシー強化コンピュテーション(PEC)などさまざまな呼び方が出てきます。 GartnerはPECを既に定義しており、『ガートナー2021年の戦略的テクノロジのトップ・トレンド』によれば、PECは「データの使用中にデータを保護する3種類のテクノロジで構成されています。1つ目は、機密データの処理や分析を行うために信頼できる環境を提供するテクノロジ。2つ目は、処理とアナリティクスを分散した形で実行するテクノロジ。3つ目は、処理やアナリティクスに先立ち、データやアルゴリズムを暗号化するテクノロジです」といいます。

プライバシーテック研究所では便宜上、総合的な言葉の意味である「プライバシーテック」を使用しており、PETsやPECを含んだ意味になります。

※今後、用語解説を投稿予定です。

私たちのプライバシーはどれだけ「守られていない」のか

GAF(M)Aは意図してこのような状況にしたのかどうかは分かりません。しかし彼らは、わたしたちのプライバシーを脅かしてしまいました。

今、GAFAやBATHを中心に、個人情報や個人データを活用したサービスが世界中で展開され、そして彼らは老舗企業が今まで到達できなかった地点まで到達したことを見れば明白です。Googleは個人データを含めた世界中の情報を最も簡単に検索できる「プラットフォーム」を生み出しました。Metaは、個人の情報を一挙に閲覧できるプラットフォームとして『Facebook』を世の中に投じました。

これらプラットフォームは、ユーザー側にとって無料で体験できるサービスとなっています。しかし裏では、ユーザーの閲覧履歴を紐付け、ターゲティング広告を打つことで広告主から収入を得ています。”無料“と言えるサービスではありません。

その結果、ユーザーはビッグテックのサービスに不信感や不快感を抱くようになりました。

ターゲティング広告は「不快」

ターゲティング広告はその典型例で、コンテキスト広告のGumGumがイギリス人を対象に行った調査によれば、66%がパーソナライズされた広告が表示されることに対して不快感を抱いていると解答しました。

国内でも、ネオマーケティングが行なった調査によれば、広告のトラッキングに対する質問に対して54%が「不快」と回答しました。

NEO MARKETING『全国の20歳~79歳の男女1000人に聞いた「広告におけるトラッキングをどう思うか」』より引用(https://neo-m.jp/investigation/3261/

これを受け、世界的にCookie規制の動きが盛り上がり、脱Cookieサービスが注目されるようになりました

ここからもわかる様に、データの流通を支えるビッグテックの収入源であるターゲティング広告は、国内外問わずユーザーから嫌われているのです。

年間で個人情報は574万人分も流出している

東京商工リサーチによれば、2021年の上場企業の個人情報漏えい・紛失事故を発表した会社数は120社、人数は574万人分だったといいます。この数字は、過去同社が統計をとり始めた2012年以降、過去最高と言います。

加えて2022年4月施工の改正個人情報保護法から、個人情報が漏洩した場合は報告義務が課せられるようになりました。この影響もあり今後、より開示件数は多くなると予想されます。

一方で、個人情報委員会が勧告や命令を出した出来事はほとんどありません。

個人情報保護委員会が動いた事件

日本で個人情報保護はまだ始まったばかりとも言えます。現に、個人情報保護委員会が命令を出したのは3回(2022年5月時点)しかなく、しかもそれは全て類似する破産者マップの事件のみです。

その他、個人情報保護に関して世間を賑わせた出来事として、JR東日本のSuica統計データ外部販売と、リクナビによる就活生の内定辞退率の外部販売があります。

しかし、GAFAのように罰金になることはなく、世間からの批判程度にとどまっているのもまた事実です。

プライバシーテックを取り巻く法律

また、プライバシーテックを語る上で忘れてはいけないのが「法律」です。

日本では個人情報保護法により、個人情報や個人データなどプライバシー権が保護されています。対して海外を見ると、EUのGDPRやアメリカ・カリフォルニア州のCCPA(カリフォルニア州消費者プライバシー法)があります。中国やタイなどアジア圏でも個人情報保護法が施行、議題の場に挙がっているニュースをよく見るようになりました。

日本では漏洩時の本人通知を義務化などを盛り込んだ、改正個人情報保護法が2022年4月施行

2022年4月、日本で改正個人情報保護法が施行されました。今回の改正では、万が一個人情報が流通した場合の本人通知の義務化やペナルティの強化、越境データ規制の強化、仮名加工情報によるデータ利活用の促進などが盛り込まれました。

そのほか、2022年5月には昨今のEU圏の動向に準じ、ビッグテックに対するデジタル広告規制を秋頃に開始すると発表しました。

罰金が高く、厳しいGDPR

個人情報保護の話で欠かせないのが、GDPRです。もしかしたらニュースなどで一度は耳にしたことがあるワードかもしれません。

このGDPRは罰金があるという点で強制力があり、過去2021年7月Amazonは7億4600万ユーロの罰金、2019年にはGoogleは5000万ユーロの罰金を制裁金として支払っている。その他最近では顔認証サービスのClearview AI(アメリカ)がEU各国で制裁対象となるなど、注目を集めています。

このようにGDPRの規制が厳しいことから、ビックテックもまた該当するターゲティング広告からの脱却を図っています。これはAppleのルール変更は大きく、ターゲティング広告などのために同社が提供していたIDFAの規制は記憶に新しいと思います。

この結果、FTはビッグテックを代表するSnap、Meta(Facebook)、Twitter、YouTubeは、Appleのプライバシー変更により100億ドル失うと報じました。現にMetaは顕著で昨今の決算発表からもその動向は明らかです。

プライバシーテックが必要とされている業界

となると、どのような業界がプライバシーテックを必要としているのでしょうか。

ここからはすでにプライバシーテックの導入事例のある4つの業界を紹介していきます。

デジタルマーケティング

今までユーザーの趣味嗜好に合わせたターゲティング広告を打つためには、ウェブサイトに訪問した際に発行されるID(Cookie)が必要でした。

しかしこのCookieとユーザー情報を結びつけること自体が個人情報の第三者提供に該当し、GDPR(一般データ保護規則)をはじめ日本でも規制されました。現に国内では、2022年4月からの改正個人情報保護法施行から、第三者提供の同意のないCookieなどの識別情報の共有は違法となりました。 そのほか、プラットフォーマーたちもこの傾向に準じて取り組みを始めており、Appleではアプリでの追跡を規制するIDFAを規制(取得時のオプトイン必須)。Googleでも2023年に規制を開始すると報告しています。

このようなどうしよもない規制の動きを受けデジタルマーケティングでは、「脱Cookie」を掲げてさまざまな技術の実証実験を繰り広げています。

ヘルスケア

患者の病歴など「要配慮個人情報」を取り扱う医療分野では、早くからデータをどう安全に取り扱うべきなのか議論が重ねられてきました。中でもNECやNTTは医療関連のデータを保護したり、保護しつつ連携したりなどの実証実験を何度か行っています。

ここから、ヘルスケアの分野でも早くからデータの暗号化や、どう安全にデータを連携するかといった方法が模索されてきました。

金融

国内ではほとんど事例が見られない金融ですが、中国がかなり進んでいます。ここでは中国のプライバシーテック企業が取り組む、金融業者との事例について紹介します。

中国ではアリババを筆頭に、プライバシーテックに関する特許の出願、資金調達を進めています。2021年10月12日、華控清交がシリーズBで約90億円の資金調達に成功。そのほかにも、アリババ系の藍象智聯はシリーズAで約2億元(約36億円)を資金調達しています。

モビリティ

MaaSという単語が出てきてから、ICT端末としても機能を持つ車「コネクティッドカー」の開発が進んでいます。車はスマートフォン同様のモバイル端末で、位置情報や運転に関するデータなど、さまざまなデータを取得できるようになりました。

ほかにも国内では、総務省がコネクティッドカーのプライバシー保護に関して資料を出しています。端末から取得できるデータが多いからこそ、プライバシーテックが活躍する場面は多いようです。

こうして、プライバシーテックは重要視されはじめた

とはいえ、ビッグテックはわたしたちの生活を良くしてくれたことは確かです。簡単い世界中のいろいろな情報を知ることができるようになり、有名大学の教授の授業を簡単に聞けたり、今までは会話することすらできなかった人とSNSを通じてつながることができるようになりました。

これらデータの開放は、確実に世の中を良くしていると断言できます。このデータが大量に流通するようになった世界を今さら止めることはできません。そこで登場するのが、プライバシーテックです。

プライバシー保護とデータ活用の両立によりデータを保護し、プライバシー権を尊重する世界を築く必要性が出てきました。今後、確実にプライバシーテックは必要不可欠な技術となります。

ほら、すでにホームページにCookieの同意管理システムを導入しようと躍起になっている人もいるでしょ?ほら、これもプライバシーテックの一種ですよ。

まとめ

  • プライバシーとは「他人の干渉を許さない、各個人の私生活上の自由」のこと。
  • プライバシーテックとは「個人のプライバシーを保護するための技術(テクノロジー)」のこと。秘密計算や連合学習などの技術が含まれる。
  • ターゲティング広告の台頭によりプライバシー保護の声が強まり、GDPRや個人情報保護法により規制が進んでいる。