「GDPR以降」の日本のデータ保護はどうあるべきか?
ビジネス・インパクト

THE NEW CONTEXT CONFERENCE 2018 TOKYO Event Report #04 「GDPR以降」の日本のデータ保護はどうあるべきか?

国や地域が歩んだ歴史によって「プライバシー」の考え方は異なる。データの利活用が進み、個人に紐付くデータが国境を越えるいま、データ管理とレギュレーションはどうあるべきなのだろうか。 by Yasuhiro Hatabe2018.07.24

「テクノロジーの進化がもたらすレギュレーション維新」をテーマに、6月19日に開催された「THE NEW CONTEXT CONFERENCE 2018 TOKYO」(デジタルガレージなどが主催)。「データとプライバシー」と題したセッションでは、データ活用によって得られる便益とプライバシー保護の軋轢を解消する方法について、識者らが議論した。

モデレーターは、デジタルガレージ共同創業者でMITメディアラボの伊藤穰一所長。パネラーとして、情報法制研究所の鈴木正朝理事長、MITメディアラボのプラティック・シャー主任研究員、ジョージタウン大学の松尾真一郎研究教授、セーフキャストのピーター・フランケン共同創業者が登壇した。

日本の個人情報の捉え方は「静的」で形式的

「僕が思うのは、いつもレギュレーションは技術より遅れてくるということ。たとえば、欧州発のGDPR(一般データ保護規則)なんかは汎用機を前提にしていて、誰もが自分のデータを消す権利があるなどというが、現実には難しい」。伊藤所長はディスカッションの最初にこう問題提起した。

「最近ではフェイスブックのデータ流出の件が盛んに報じられています。報道をよく読むと、データは持ち出してはいけないが、訓練された人工知能(AI)のモデルは渡しても問題ないという。AI、暗号通貨、ブロックチェーンの時代においては、データや守られるべきプライバシーの意味がずいぶん変わってくるのではないでしょうか」。

MITメディアラボの伊藤穰一所長

これに対して鈴木理事長は、日本と欧米のプライバシーの捉え方について違いを説明する。

「日本の個人情報概念の捉え方は『静的』。あるデータに特定個人の識別性があるかどうかを問題にして、識別性があればリスクから守るために規制を課すというシンプルな構造になっています。対して、欧州または米国の考え方は、『どういうシステムで、何の目的で、どういうビジネスモデルでデータを扱うのか』というように動的に捉えている」(鈴木理事長)。

情報法制研究所の鈴木正朝理事長

たとえば単なるGPSによる位置情報であっても、個人の追跡を目的とするシステム上で捉えていれば個人情報だとする考え方だ。個人情報が使われることが、本人にどのような影響を与えるかを評価しながら、規制すべきかどうかを考えるのが欧州や米国のやり方であり、「最も合理的だと思う」と鈴木理事長は話す。

「日本は『静的』に捉えているため、規制を適用するかどうかの判断は容易ですが、過剰規制になりがち。合理性が伴わず、規制のための規制になり、結果として産業の足を引っ張っています」と鈴木理事長は指摘した。

東日本大震災で福島原発事故の放射線量をマッピングするプロジェクトに携わったフランケン創業者は、個人情報データの取り扱いの経験談を披露した。

当時、数多くのボランティアがガイガーカウンターを携えて、さまざまな場所の放射線量を測って回ったが、その中に一人、郵便局の配達員がいた。郵便配達員は毎日多くの個人宅を回り敷地内へも入るので、その際に測定しようということになった。郵便局も非常に意欲的で、郵便法では郵便局員の業務範囲が明確に定められているが、特例としてこの活動が認められたという。

「ただ、測定したデータをどう示すかということで議論がありました。位置と放射線量だけのデータであっても、個人宅敷地の情報を地図に載せて公開した場合、それは個人情報に当たるともいえます。われわれは、公共的な善とプライバシー保護を両立するために、データに手を加え、位置を厳密でなくした。つまり、“ぼかし”を入れたわけです」(フランケン創業者)。

セーフキャストのピーター・フランケン共同創業者

MITメディアラボのシャー研究員は、自身が専門とする医療分野におけるデータの有益性とプライバシー保護のトレードオフについて言及した。

「医療におけるプライバシー保護は非常に厳格。米国ではHIPPA(Health Insurance Portability and Accountability Act:医療保険の携行と責任に関する法律)によって、個人識別可能なデータの共有が禁じられています。ただし、識別情報をすべて取り除くと、データの有益性がなくなってしまうこともある。取り除くのに時間がかかることも問題となっています」(シャー研究員)。

MITメディアラボのプラティック・シャー主任研究員

GDPRのベースには人権保障がある

データとプライバシーをめぐってもっとも関心を呼んでいるのが、今年5月に施行されたEUのGDPRだ。伊藤所長は、「米国ではGDPRは実効性に乏しいという人もいる。一方、欧州の人は『GDPRは基本法なので、これからさらにいろいろな規制が出てくる』といっています」と述べ、GDPRについての見解を問うた。

これに対し鈴木理事長は、「日本の行政規制は非常に形式的で、その根本となる哲学を回避してきました。でも欧州には明確に『人権保障』の考えがあり、それがGDPR成立の背景になっています。だから、経済・産業にインパクトを与えることに頓着しないところがあるのです」と回答。さらに、GDPRが特徴的なのは「プロファイリング等自動処理による人間疎外に対して真っ先に規制をかけようとしていること」だと指摘した。

「AI、あるいはデータ分析に基づく自動処理によるプロファイリングに対して、『合理的で望ましい』と捉えるか、機械に評価されることに嫌悪感を抱くかは人それぞれですが、そこに人間疎外が起こることを想定していることは重要」。

欧州で人権意識とデータ保護が密着しているのは、歴史的経緯によるところが大きいという。「やはり忘れてはいけないのは、欧州ではナチスとホロコーストがあったこと」(伊藤所長)。当時のドイツ占領国ではユダヤ人のリストの扱いをめぐる対応が大量虐殺につながったことから、人権意識とデータ保護意識とが密着している1つの要因となっているという。

だが、コンピューターの時代を迎え、インターネットが普及した現在、データの多くはグーグルやフェイスブックといった外国の巨大テック企業が握るようになってしまった。

「だからこそ欧州大市場を背景に『欧州でビジネスをするなら、われわれの高い保護水準を保ってくれ』と主張するGDPRにつながったのです」(鈴木理事長)。

日本は欧州とはやや事情が異なるものの、テック企業に「データを持ち出されている国」という点では共通している。

鈴木理事長は、「日本は法政策として自国民の個人情報をどう守るかという基本思想が問われています。日本の置かれたポジションでは欧州・米国どちらの政策も参考にできない中で、国防同様の目線でこの状況をしのいでいかなければなりません」と訴えた。