GDPRで見えてきた、パーソナルデータのIT活用とセキュリティの密接な関係

GDPR image

ITやビジネス関連のニュースを見ていると、GDPRという単語を目にする機会が増えてきました。GDPRとは、EUが人々のプライバシーや個人に関わるさまざまなデータを保護するため、この5月から実施し始めたばかりの新しい法律で、日本語では「一般データ保護規則(General Data Protection Regulation)」と呼ばれます。日本の「個人情報保護法」に相当する法律だと考えればイメージが湧きやすいでしょう。

GDPR - 個人情報保護委員会

しかし、法律の中身を見ていくと、対象となるデータやその取り扱いについて、日本の個人情報保護法より厳しく定められており、徹底した「個人のプライバシーの保護」という思想のもとに作られています。また、制限に該当する企業や団体は誠実な対応が求められ、違反した企業に対しては最大で数十億円にもなる多額の罰金が科されることも、注目を集めている理由のひとつです。

GDPRの対象となる企業や団体には、EU内の企業やEU内に支社がある企業だけでなく、EUの外からEU市民や企業と取引を行っている企業も含まれます。つまり、日本からEU諸国へ出荷実績のあるECサイトや、EU市民が利用可能なホテルもGDPRの対象となり得るのです。

実際に2018年7月には、日本のホテルを取り扱っていたフランス企業が運営するホテル予約サイトで、不正アクセスによる個人情報漏えいが発生。このサイトと契約していた日本のホテルは、GDPRに従って当局への連絡などを行っています。

ファストブッキングサーバーへの不正アクセスによる 個人情報および暗号化されたクレジットカード情報の流出について - FASTBOOKING

GDPRはまだ施行されたばかりなので、 どのケースがGDPR違反に該当するのか、また罰金が科されるかどうかは、EU当局の判断や裁判によって事例が蓄積しないことには判断が難しいでしょう。しかし、サイバー犯罪の増加に伴って高度なセキュリティ対策が求められるようになっている企業では、日本の法律だけでなく、EUなど海外の事情も意識したセキュリティ対策が必要な時代になっています。

データ活用とデータ保護についてITエンジニアが認識しておくべきことを、GDPRを巡る現状から考えてみましょう。

先進的にプライバシーを人権として認めてきた欧州

GDPRは、なぜそんなにも厳しい内容になっているのでしょうか。そこには、いくつかの明確な理由があります。

最も大きな背景として、欧州では歴史的に「プライバシー」を人権のひとつとして認めていることがあります。日本にいると日常生活のなかで人権というものを意識することは少ないかもしれませんが、欧州では過去のさまざまな悲劇に鑑みて人権がとても重視され、「人権侵害」という言葉は非常に重いものとなっています。

過去の戦争などへの反省から、ヨーロッパ各国は1950年に「欧州人権条約」を定めました。ここでは、「プライバシー」が明確に人権の一部として位置付けられています。この条約に基づいた欧州人権裁判所の判決は加盟各国に強制力を伴う強力なもので、企業に対しても顧客やユーザーのプライバシーについて厳しい対応が求められます。

インターネットの時代においては、このようなプライバシー保護の考え方のひとつとして忘れられる権利(Right to be Forgotten)が、GDPRに先立って議論されてきました。

先行事例では、過去に事件を起こした個人が、解決して十分な時間が経過しているにもかかわらず検索エンジンでその記事が表示されることについて、検索エンジン事業者(Google)を相手取った裁判を起こしたものがあります。2014年、欧州司法裁判所はこの個人の訴えを認め、検索結果からの削除をGoogleに要請。検索エンジンは情報へのリンクを示しているだけだというGoogleの主張は退けられたのです。

GDPRにおいても、忘れられる権利は「削除権(Right to erasure)」という形で、明確に定められています。現在、GoogleはEU圏内におけるプライバシー保護を理由とする検索結果の削除リクエストを、一定のルールに基づいて個人から受け付けています。

欧州のプライバシーに基づく検索結果の削除リクエストに関するよくある質問 - Transparency Report ヘルプ

とはいえ、検索エンジンは現在の情報社会における重要な知的インフラのひとつです。ある情報への到達する道筋が消されるということは、表現の自由や知る権利を侵害する恐れもあります。Googleもすべての申請を無条件に受け付けるのではなく、プライバシーと公共性のバランスに基づいて対処しているとしています。

なお、日本ではまだ明確に忘れられる権利は定められていませんが、検索結果の削除を巡って裁判で争われた事例はあります。判例では、プライバシーに基づいて削除を認めたケースもあれば、公共性に基づいて認められなかったこともあります。

企業によるパーソナルデータの活用を巡って起きていること

GDPRが、プライバシーに基づく情報を厳しく保護するのには、もうひとつ大きな理由があります。それは、パーソナルデータ(個人に関わるデータ)が大きな価値を持つようになったことです。

インターネットの普及以前は、さまざまな名簿を元にしたダイレクトメールが、企業にとって重要なマーケティング手段のひとつでした。

それがインターネットの時代になり、ネットにおける利用者の行動をもとに、より多くのデータが得られるようになりました。そういったデータを分析したり、機械学習を用いたりすることで、企業はより高度な方法で消費者にアプローチすることが可能になったのです。ECサイトにおけるレコメンデーション(おすすめ機能)は、分かりやすい例でしょう。

さらにビッグデータがブームになったことで、データをビジネスに活用することと、それによるメリットが広く知られるようになってきました。特に、広告やマーケティング分野において、パーソナルデータは非常に大きな役割を果たします。

こうしたパーソナルデータの収集と活用は、ECサイトにおける商品の販売だけではなく、インターネットを利用するさまざまな場所で行われています。

SNSでの投稿や登録した個人情報、ニュースサイトで読んだ記事、検索エンジンでの検索履歴などが、それぞれを運営する企業によってサービスの改善やマーケティング活動、広告ビジネスなどに利用されています。そして、収集したパーソナルデータを適切に利用しているかどうかが、新たな問題と見なされるようになっています。

そんな中、ケンブリッジ・アナリティカ事件と呼ばれる象徴的な事件が起きました。アメリカ大統領選挙においてトランプ陣営が利用したケンブリッジ・アナリティカというデータ分析会社が、有権者に関する情報をFacebookと連携できるアプリから不正に取得し、選挙戦を有利に進めたと言われています。

ケンブリッジ・アナリティカ廃業へ フェイスブックデータ不正収集疑惑で - BBCニュース

この事件から分かることは、私たちの個人に関わるパーソナルデータは、使い方次第で思いも寄らない結果をもたらすということです。つまり、単なる「個人のプライバシーの保護」という側面を越え、社会的な影響まで含めて使い方を考える必要があります。

石油に代わる「新しい資源」として、データを保有する企業

現在、私たちの生活や社会・ビジネスにまで、デジタルトランスフォーメーション(Digital transformation)が進行しています。デジタルとアナログを区分けするのではなく、さまざまな環境や仕組みを、デジタル技術を前提にして作り変えることです。つまり、すべての産業がデジタルの上に立脚し、多かれ少なかれITビジネス的な側面を持つことを意味します。

例えば、ライドシェアアプリの「Uber」は、タクシーという既存産業の置き換えですが、スマートフォンのアプリというデジタル技術によって、人の移動と働き方に変化をもたらしています。さらに将来、完全自動運転が実現したなら、私たちは日常のスケジュールを自動運転車による移動を前提に組み立てることでしょう。日程調整やアポ取りの考え方も変わり、自動運転車が出席者をピックアップして、次の予定地に移動しながら打ち合わせすることも考えられます。

日常生活からビジネス・社会基盤までさまざまな場面でデジタル化が進む中で、個人だけでなく、デジタルデバイスや自動運転車といったハードウェア、ビルなどのインフラ、さらには企業、地方自治体や国家といった存在からも、膨大なデータが生み出されています。

こういったデジタルトランスフォーメーションの時代において「Data is the new oil」、すなわちデータは石油に代わる資源だと表現されることがあります。

電力インフラにおける発電燃料から、製造業における素材の原料まで、ほぼすべての産業を支える石油と同じように、データは絶対的で全面的な資源という存在になりつつあるということです。そして、石油産業が大きなビジネスとなってきたように、デジタル時代にはデータを握る企業がいっそう大きな力を持つと言われています。

既にGoogle、Amazon、Facebook、Appleという4社の大手IT企業はGAFA(ガーファー)と呼ばれ、その規模と影響力、そして保有するデータの量において、国家を超えるほどの存在となりつつあります。GAFAが生み出す製品やサービス・インフラは、私たちの社会には欠かせないものになっている一方、あまりに巨大な存在に対して警戒する声も大きくなっています。

プライバシーをひとつの武器として米国企業に対抗するEU

先に挙げたGAFAは、すべて米国の企業です。そしてGAFAに限らず、アメリカではシリコンバレーを中心にIT関連の起業が活発で、これらの企業が手掛けたサービスや製品は世界中へ広まっています。

これに対し、欧州では「デジタル単一市場戦略(Digital Single Market)」を定めて、ITやデジタルビジネスをEU圏内で均一的に展開できるようにしています。

EUは、共通通貨であるユーロや、EU加盟国民が国境を越えて自由に移動できるシェンゲン協定などによって統一が進んでいるイメージもありますが、2014年の調査では、EU市民のEC化率(ネットで買い物する人の割合)は6割超であるのに対し、自国外のEU加盟国のECサイトを利用したことがある人は、わずか15%でした。

そこで、国ごとに異なる点も多い著作権や通信法・電波法といった法律、租税制度などを統一することで、法律の壁をできるだけなくし、欧州内でのITビジネス展開を容易にしようと、EU一丸となって取り組んでいるのです。

その上で、GDPRによってパーソナルデータの扱いを規制し、GoogleやFacebookのように個人データの資源を大量に保有する米国企業に対して制限を課そうともしています。

欧州からFacebookへの風辺りは、ケンブリッジ・アナリティカ事件の前から厳しく、個人や公的機関からプライバシーや個人情報の取り扱いを巡った裁判を過去にいくつも起こされてきました。Googleもまた、GDPRだけでなく「忘れられる権利」への対応に多くのコストを割いてきています。このように、GDPRは、欧州が米国企業に対抗する武器という一面もあるのです。

世界を見渡すと、GDPRを参考にした法律を制定しようとする国が増えています。その理由もまた、プライバシー意識の高まりだけではありません。

例えば、中国でもデータ保護やサイバーセキュリティに関する法律の整備が進んでいます。それはもちろん市民保護の目的もありますが、海外企業の国内参入への障壁という一面もあるのです。中国はこれまでにも、海外企業に対しさまざまな規制をかけることで、国内のIT企業を保護しています。

個人情報を活用するためにプライバシーやセキュリティを重視する

さて、日本はどうでしょうか? 日本には、既に「個人情報保護法」という法律があり、企業や団体による個人情報の利用には制限が課されています。その一方で、政府はデータの活用によるビジネス創出と経済成長を推進しようともしています。

2003年に個人情報保護法が制定されたときには、さまざまな場面で過剰反応が起き、個人情報の取り扱いを必要以上に避ける傾向がありました。企業からは、何が個人情報であり、どうすると法律違反になるのか分かりづらいといった声も聞かれ、データを活用したビジネスを萎縮させることにもなったとも言われています。

実際のところ、日本では、データの活用が十分に進んでいるとは言えません。デジタルトランスフォーメーションどころか、いまだにITすら活用されておらず、手書きの用紙を提出しなければならない場面が多々あります。日本においてIT化・デジタル化が遅れている理由としては、「今までのやり方を変えたくない」という保守的な考え方だけでなく、「サイバー犯罪に起因する情報漏えいが怖い」といった警戒心も要因のひとつだと考えられます。

そこで、2017年に個人情報保護法が改正された際には、データの保護だけでなく、ビッグデータ活用も視野に修正が行われました。このように日本では、先に制限されていたとも言える個人データ活用ビジネスについて、近年改めて推進する環境の整備が進んでいます。それに伴い、AIやIoTといった分野が急成長を遂げており、そのための開発に取り組んでいるエンジニアも多いことでしょう。

これからデジタルトランスフォーメーションが進むにつれ、日本国内でも、データを取得し、活用する場面が増えていきます。そこでは、さまざまな分野でデータを資源とした新しいビジネスを成長させると同時に、利用者のプライバシーや個人情報の保護に配慮したシステム開発を進め、守るべきものをきちんと守る必要があります。

近年、世界中がデータの活用とプライバシーの保護の両立へと向かっており、その流れのなかに日本も入っています。データを資源とするサービスを開発する際に、ビッグデータや機械学習といった活用技術だけでなく、そこで扱われるデータの保護に対する意識を高めること、そしてそれを踏まえ、情報セキュリティを学ぶことが、より多くのITエンジニアに求められることになるでしょう。

青山 祐輔(あおやま・ゆうすけ)

青山祐輔さんプロフィール写真

ITジャーナリスト。インプレスにて「Impress Watch」「月刊iNTERNET magazine」などの編集記者、リクルート「R25」のウェブディレクターなどを経て独立。現在は主に、AIによる社会のデジタルトランスフォーメーションと、メイカームーブメントによる企業のイノベーションの現場を追いかけている。
B.M.Factory – Nothing but a text.