パーソナルデータの問題について

パーソナルデータとは

1月13日、NPO法人ジャパン・リーガル・パートナーズにて講演をさせていただきました(講演のレポートはhttp://npojlp.org/archives/2881)。この講演では、テーマの1つとしてパーソナルデータを取り上げており、その点について簡単に解説させていただきます。

パーソナルデータとは、文字通り個人に関する情報のことを意味します。個人情報と置き換えてもいいのですが、個人情報というと個人情報保護法の対象となる「個人情報」と混同されやすく、ここでは「個人情報」よりも範囲を広く、「およそ個人に関連する情報」の意味で用いることにします。

パーソナルデータは21世紀の石油と呼ばれることもあり、現代高度情報社会において企業活動において不可欠な存在となっています。GoogleやAmazon、Facebookといった巨大プラットフォーマーもパーソナルデータを大量に収集し活用することで現在の地位を築いたといえます。

ただ、パーソナルデータは企業にとって非常に価値の高い資源である反面、個人に由来する情報ですので、その取り扱い次第では重大な権利侵害が引き起こされるリスクがあります。

2014年に発生したベネッセの顧客情報の大量漏えい事件は記憶に新しいです。

パーソナルデータをめぐる問題

パーソナルデータはプライバシー侵害に繋がりやすく、プライバシーはいったん侵害されると事後的な救済が困難です(損害賠償という形での責任追及は可能ですが、いったん公開・漏えい等されたプライバシー情報を取り戻すことは不可能ないし著しく困難です)。

また、現在では、漏えいだけでなく、プロファイリングのリスクも増大しています。プロファイリングとは簡単にいうと、パーソナルデータを分析しその人物像、趣味、嗜好等を予測することです。企業が膨大なパーソナルデータの収集・分析が可能になったことで、精度の高い予測が可能となりました。現に、アメリカでは、ある事業者が利用顧客(女性)の購入履歴の分析によりその女性の妊娠の事実を的中させた実例があります。

プロファイリングによって、企業は個別化したマーケティングや広告が可能となり、顧客にとっても自身の趣味や嗜好に沿った商品が案内されるという点でメリットが大きいです。

しかし、プロファイリングはメリットばかりではなく、プロファイリングによるスコア化が進行すると与信や就職といった人生における重要な場面で本人が分からない部分で障害となりかねない問題が生じ得ます。

今年5月25日に全面施行されるEUのデータ保護法制であるGDPR(一般データ保護規則)では、自動化された処理のみに基づく重要な決定に対する異議権を設ける等、プロファイリングによる権利侵害について配慮をしております。プロファイリングの問題は世界共通であり、GDPRの規律については我が国でも大いに参考になるでしょう。

ユーザー主体の動き

また、従前は利用規約等での「同意」を根拠に、企業は簡単に個人のパーソナルデータを収集しそれを活用することができましたが、パーソナルデータをその主体であるユーザー自身に取り戻そうという動きも出ています。GDPRでは、「データポータビリティ権」として、企業が保有する自身のパーソナルデータについてユーザーの求めに応じて機械での読み取り可能な方式でユーザーに渡すことを定めています。これにより、特定の企業がパーソナルデータを事実上独占することを防止し、ユーザーは自身のパーソナルデータを信頼できる企業を選んで移行させるという選択が可能となります。また、日本では、「情報銀行」という、ユーザーのパーソナルデータを特定の企業に信託しその管理を委ねるという構想が進められています。

これらのトレンドからは、パーソナルデータに配慮し真摯な取り組みをしている企業だけがユーザーから信頼され選ばれるということも予想されます。

パーソナルデータは企業にとって極めて価値が高いまさに「石油」である一方、個人のプライバシー侵害等のリスクと隣り合わせであるため、その取り扱いは慎重でなければなりません。不適切な取り扱いをしているとして批判を受けると、事業自体がたちゆかなるおそれもあります。

今後もパーソナルデータを取り巻く状況については引き続き注視していく必要があります。

上村裕是