はじめに
あらゆる業界で個人データを活用したサービスが広がり、私たちの生活は以前とは比べ物にならないほど便利になりました。企業にとっても、IoTやAI、ウェアラブルデバイス等のIT技術の進歩により個人データの取得・分析が容易になり、複数ユーザーのデータを組み合わせることでユーザーの傾向が把握でき、商品/サービスの販促やターゲティングに生かすことができます。
しかし、ユーザーと企業双方にとって有益な個人データは、プライバシーデータ(それ単体もしくは他の情報と組み合わせることで特定の個人の識別が可能な情報)を含んでいるため、安全かつ適切に取り扱われる必要があります。
世界中で個人データの保護規制が強化される中、日本でも徐々に個人データの活用に関する規制強化の機運が高まってきており、個人データの活用とプライバシー保護の両立が求められる時代に突入しております。
今回は、個人データ活用の裏側に潜むプライバシーリスクと、そのリスクに対するアプローチについてご紹介します。
個人データ活用が活発化
スマートフォンやウェアラブルデバイスの普及、インターネット利用頻度の増加に伴い、人々の日常生活のデータ化が進行しています。企業はそれらのデータ(≒ビッグデータ)を活用することで、顧客満足度を高めるサービスの提供や新商品の開発を促進でき、また個人はパーソナライズ/最適化されたサービスを享受できるため、スマートプロダクトがもたらすデータ量と解析結果に期待します。
その背景に、膨大なデータを蓄積して高度な分析・活用を可能にする技術基盤の進展が挙げられます。
| 技術基盤 | 個人データ活用におけるユースケース例 |
|---|---|
| IoT | 様々なモノ(家電製品、センサー機器、建物、車など)をネットワークを通じてリアルタイムにサーバーやクラウドに接続・相互に情報交換させる |
| クラウド | 構造化データ(Excel/CSV)・非構造化データ(画像、動画など)の蓄積・保管・活用を柔軟に素早く実施する |
| ビッグデータ | クラウドに蓄積された膨大な量かつ様々な種類・形式のデータ群を活用し、顧客に合わせた顧客体験サービスを提供する |
| AI(人工知能) | 各種データ(購買、移動、画像、音声、文章、健康などに関するデータ)を学習し、消費者行動を認識/予測し、最適なサービスを提供する |
また、都市課題解決に向けたICT/テクノロジー活用の文脈で、国家レベルで地域のデジタル化・規制改革も進行しています。
| 関連ワード | 概要 |
|---|---|
| Society5.0 | 日本の目指す姿/目標として設置された国家戦略。サイバー空間とフィジカル空間を高度に融合させ、経済発展と社会課題解決を両立する人間中心の社会を目指す |
| スマートシティ・スーパーシティ | ・情報技術を通じて都市課題に対する持続可能な開発/展開/促進を図る ・データ連携基盤(都市OS)を基に多彩なデータを分野横断的に収集・整理してサービスを提供する |
| デジタル田園都市国家構想 | 地方のデジタル化によりビジネスや教育、医療といった様々な課題を解決し、地方と都市の差を縮める |
| DX | デジタル/テクノロジーを活用し、ビジネスや組織活動・仕組み等を戦略的、構造的に再構築する |
中でも特に、個人の満足度を高めるため、顧客/地域住民の関心・状況に合わせた1to1/パーソナライズドサービスが有力視されています。
| カテゴリー | 個人データを活用したサービス/施策例 |
|---|---|
| スマートシティ | ・教育におけるICTを活⽤したe-Learning(パーソナライズドコンテンツ) ・健康におけるケアプラン/健康指導/医療サービス |
| マーケティング | ・購買データを活用し、消費者行動の特徴とデモグラフィックデータを分析してターゲットを設定して広告を配信 ・スマートメーター(電力使用量、時間帯)を活用し、世帯構成を推計&スマホ経由でマンションやショッピングモール等の広告を配信 ・車載センサーやGPS、コンピュータ(ログ等)から得られるデータを解析し、不具合防止やディスプレイを通した広告/ガソリン割引クーポン配付、保険会社等へ共有 |
| 教育/虐待防止 | 住民記録、保健福祉、教育関連データを解析し、子どもに関するリスク(経済的困窮、虐待)を推定し、要支援の子どもを特定・支援 |
上述のとおり、1to1マーケティングやパーソナライズサービスの提供に向けては、ビッグデータ(個人情報:属性データ、購買データ、決済データ、移動データ、健康データ、教育データ、行政データなど)の活用が肝となっています。
個人データ活用の課題
一方、個人データの活用に向けてはプライバシー保護に関する課題が存在しています。個人データはプライバシーデータ(それ単体もしくは他の情報と組み合わせることで特定の個人の識別が可能な情報)を含んでいるため、ユーザーが意図しない用途や事象(悪用や漏洩)を防ぐ対策が求められます。
例えば、Web広告の閲覧履歴や商品の購買履歴等から本人の属性情報や好み、趣味嗜好、思想・信条を類推することも可能ですし、IoT機器で収集したデータ(健康情報等)は、何等かの形で個人に関する識別子と紐づけられる可能性があり、個人が特定されるリスクを潜めています。
また、IoT機器等からデータが取得される場合、本人の認識が無いままデータが取得される(自らの意思を反映させる術が無い)ため、本人の同意無くして行動トラッキングがされるリスクもあります。
そんな中、いま世界でプライバシー保護規制の強化が進行しています。
| 地域 | プライバシー保護規制の動き |
|---|---|
| EU | ・2018年5月よりGDPR(一般データ保護規則)がEU域内において適用開始 ・当規則の目的は、企業やその他組織による個人データ使用を制限するための安全、保護、および権利を個人に提供すること • 「個人のプライバシー保護の権利」を広く認めており、たとえば、企業が取得した個人情報がどのように使われているかの開示や、保有しているデータの削除を求める権利が保障されている |
| アメリカ | ・2020年1月よりCCPA(カリフォルニア州消費者プライバシー法)が施行 ・自身の個人情報に関する開示請求、削除、販売停止などの権利があることが定められており、カリフォルニア州市民が共有データをより詳細に管理できる ・CCPAの義務違反を行った場合、カリフォルニア州司法長官提訴による民事制裁金と住民による民事訴訟による賠償金請求の可能性がある |
| 中国 | ・2021年11月より中国個人情報保護法が施行 |
| 企業名 | 3rd Party Cookieの規制に関する取組 |
|---|---|
| Apple | ・2017年にユーザーのプライバシーを保護するITP(Intelligent Tracking Prevention)1.0を発表 ・Safariブラウザで3rd Party Cookieの利用が制限 ・2019年9月以降は3rd Party Cookieは即時削除 |
| ・2020年1月、「2年以内にChromeブラウザで3rd Party Cookieの利用を制限する」ことを発表 ・2021年6月、「2023年後半で3rd Party Cookieのサポートを廃止する見込み」であることを発表 |
遅ればせながら国外だけでなく日本でもプライバシー保護の動きが進行しており、2020年6月には改正個人情報保護法が国会で可決成立しました。GDPRやCCPAを念頭に置いた、より個人の権利が強化される方向への改正です。
主な改正事項は以下の通りです。
- 個人の権利保護強化(短期保存データの個人情報化、データの利用停止/削除/第三者提供記録の開示請求)
- 企業の責務追加(漏洩報告義務等)
- 特定分野の認定団体制度の新設
- データ活用促進(仮名加工情報の取扱義務緩和)
- 法令違反時のペナルティ強化
- 外国企業の報告徴収/立入検査対象化
国内でも大手企業によるプライバシー侵害が問題視されており、一層プライバシー保護規制を意識した個人データ活用が求められています。
| 企業名 | プライバシー侵害事案 |
|---|---|
| 東日本旅客鉄道(2013年) | ・JR東日本がSuicaデータの活用を目的として、当Suicaデータを匿名加工したうえで日立製作所に提供・事前に十分な説明を受けていなかった利用者からの批判や不安視する声が発生・匿名加工された個人情報の利用に関するルールが未整備である問題も顕在化・2015の改正個人情報保護法にてルール整備される契機に |
| ベネッセコーポレーション(2014年) | ・ベネッセコーポレーションのシステム開発・運用を受託していた会社の元社員が、同社の顧客データ(個人情報)を不正に取得し、名簿業者へ売却・本件以外でも、当元社員が複数の名簿業者に個人情報を売却し、名簿業者がオプトアウト方式を採用している建前でさらに別の名簿業者に個人情報を転売していた事実も・2015年の改正個人情報保護法にて、個人情報取得時のトレーサビリティ確保が義務化 |
| リクルートキャリア(2019年) | ・リクルートキャリアが就活生の内定辞退率を本人の同意無しに予測し、有償で38社に提供していたことが判明・個人情報保護委員会による勧告・指導、東京労働局による行政指導を実施・同社のサービスが就活生にとって必要不可欠なサービスである性質上、仮に本人同意を得ていた場合でもその同意の有効性に疑義有りと判断 |
ただ、プライバシーデータの活用と保護はトレードオフの二項対立であることも事実です。消費者を例にとると、高度にパーソナライズされたサービス/体験に対する願望を持っている一方で、プライバシーデータ漏洩リスクに対する保守的なスタンスを保っており、データ活用とプライバシー保護の両立は困難です。プライバシーの侵害リスクは、様々なデータの収集・資産化の興隆に伴い比例して上昇するものであることを理解したうえで、個人データの活用とプライバシー保護の両立に向けた対応を検討する必要があります。
プライバシーテックの可能性
そこで登場するソリューションの1つがプライバシーテックです。プライバシーテックとは、端的に申し上げると個人のプライバシーを保護するためのテクノロジーであり、「企業による個人データの適切な活用」と「個人情報の保護」を両立するために必要不可欠な技術です。
個人データを企業等が大量に保有し活用する中、いかに個人に対して安心・安全なデータ保全・利活用を実現できるのかが課題となっており、この課題を解決する技術がプライバシーテックです。
ご参考までに、プライバシーテックの要素技術としては、データを暗号化して分析する「秘密計算」、データを集約せずに分散した状態で機械学習を行う「連合学習」、データ分析用に元データに基づき人工的に生成された疑似データである「合成データ」、データを出力する際にデータにノイズを付加することで識別不可能性を担保する「差分プライバシー」、機微な情報そのものは明かさずに特定の事項を証明する暗号技術である「ゼロ知識証明」などが挙げられます。
昨今では日本においてもユーザーのなかで「プライバシー保護意識」が高まっており、ユーザー自身が個人情報のあり方を決められると認識したうえで、各法律を遵守した個人データ活用施策が求められています。
今後はGDPRやCCPAが日本企業にも適用される可能性があることも考慮すべきで、それらの法律が適用された際に問題となるのが、巨額の罰金です。GDPRでは「2,000万ユーロ以下(約24億円:1ユーロ120円換算)」もしくは「前年度の年間売上高(全世界)の4%以下」の高い方が制裁金として科され、CCPAでは「違反件数×最大2,500ドル(故意は7,500ドル)」が制裁金として科されるため、数十億円にまで膨れ上がりかねません。したがって、どちらの法律が適用された場合、何の対策も行わなければ事業の存続に大きな影響を与える可能性があります。
ここでプライバシーテックが必要とされるであろう領域の一例を示していますが、あらゆる業界/領域でプライバシーテックの適用可能性があることが推察できます。
| 領域 | プライバシーテックの適用可能性 |
|---|---|
| デジタルマーケティング | 顧客データ(会員情報、ID-POSデータ、購買データ、販促実績など)を活用した1to1マーケティングにおいて、プライバシーを保護する |
| ヘルスケア | 患者の病歴など「要配慮個人情報」を複数の事業者間で共同で取扱う際に、プライバシーを保護する |
| 金融 | 詐欺やマネーロンダリング防止、複数の金融機関が連携した横断的なデータマイニングとリスク評価において、プライバシーを保護する |
| スマートシティ | 個人データを活用した各施策推進における地域住民の合意形成、意識改革、プライバシー保護を講じる |
| モビリティ | 自動車に関するデータ(顧客のアプリ使用履歴、走行ログ、移動履歴など)を取得する際に、ユーザーの同意を明確に取得する/ユーザーの同意不要な仕組みを構築する |
| 教育/福祉 | 個人情報保護法を遵守したデータ連携基盤を通じ、役所/部署間でのデータ連携をスムーズに進め、子どもの個人データ保護規制強化に対応する |
プライバシーテックの動向/市場規模
海外ではGDPRを中心にプライバシー保護に対する意識が高まっており、プライバシーテックへの注目が強まっています。特にEUやアメリカ、中国でプライバシーテックの社会実装が加速しています。
| 国 | プライバシー保護に関する動向 |
|---|---|
| エストニア(EU) | ・GDPRの存在もあり、2014年に政府主導で秘密計算の実証実験を実施 ・国税庁の保有する1,000万の納税データと文部科学省の保有する60万と、個人データである「国民ID」を活用 |
| アメリカ | ・GAFAM各社がプライバシーに関するCMを公開 ・2021年、民主党議員がFacebook/YouTube/TikTok等のBig Tech企業に対する子ども/若者のプライバシー保護を目的とした政策変更の遵守や関連法案の成立を要請 |
| 中国 | ・プライバシー保護コンピューティング(PEC≒データが外部に流出しないよう保護することを前提に、データ分析コンピューティングの技術集合を実現することを指す)を事業主体とする「華控清交」が約90億円の資金調達に成功 ・Anto Groupをはじめ、金融業界においては詐欺やマネーロンダリング防止などリスク管理の観点からPECが求められ、複数の金融機関が連携してPECによる横断的なデータマイニングとリスク評価に取組中 |
そのほか各国で資金調達を成功させているプライバシーテック企業が多く、Acumen Research and Consulting(インド)によると、今後数年で安全性とプライバシー保護が不十分なクラウドベースのソリューションやWebサイトが増える影響もあり、世界のプライバシーテック市場は2030年までに350億8,800万米ドルの規模(CAGR 40.2%)に達すると推定されています。
日本においても、徐々に個人データの活用に関する規制強化やプライバシー保護に向けた取組が各社で進み始めています。規制強化については、2022年4月に改正個人情報保護法が施行され、ビッグデータ活用や越境データの増大を背景に個人の権利利益の尊重が一層求められています。また民間では、コンサルティング会社が各種法律やPIA(プライバシー影響評価)に基づくデータ活用サービス/業務/システム/体制構築支援を開始し、システム開発会社ではパーソナルデータの活用基盤を有する会社も増えています。
また2022年に「プライバシーテック協会」が設立され、秘密計算や差分プライバシーといった安全性が担保された技術「プライバシーテック」を活用し、データプライバシーを安全に保ちつつ積極的に活用するフレームワークの構築を推進する体制の整備も進んでいます。
さらに野村総合研究所の「ITナビゲーター 2022年度」によると、国内のプライバシーテック市場規模は2027年に1,073億円に上る(2022年比で3倍以上)と予測され、今後注目が高まると推察されます。
まとめ
膨大なデータを蓄積して高度な分析・活用を可能にする技術基盤の進展により、我々の生活は日々利便性を高めています。また国の後押しもあり、行政や民間における個人データ活用も今後実装が進み、これまで以上に安全で快適な暮らしを享受する日も近づくことでしょう。
しかし一方で、その安全・快適さの裏側では我々の生活データが途切れなく国や事業者に蓄積・解析されており、プライバシーリスク(個人の特定や個人情報の漏洩リスク)も安全・快適さに比例して高まり続けています。現に、大手企業によるプライバシー侵害事案が問題視されています。
そういった状況に警鐘を鳴らすべく、世界ではプライバシー保護規制の強化が進行しており、日本でもGDPRやCCPAを念頭に置いた個人情報保護法改正や、プライバシー保護規制を意識した個人データ活用策の検討が行政・民間で始まっています。
個人データの活用を、攻め(利便性や価値の追求)と守り(プライバシー保護)を両立する取組にすることができれば、プライバシーデータの活用と保護のトレードオフ状態を解消させることができ、それはあらゆる業界/領域で可能性を秘めています。
そのアプローチとして最有力な技術がプライバシーテックであり、今後日本でも要素技術の開発や活用事例が進むと思われます。プライバシーデータの活用と保護を両立させるディープテック(社会課題を解決する技術≒プライバシーテック)に、今後さらに注目が高まることでしょう。