企業が目を向けるべき、プライバシーのデザイン
企業が目を向けるべき、プライバシーのデザイン

企業が目を向けるべき、プライバシーのデザイン

まだまだ課題山積みな、プライバシーデータの取り扱い

2020年、トロントのスマートシティプロジェクト Sidewalk Labs は私たちにプライバシーについて様々な学びをくれました。

このプロジェクトは、グーグルの親会社アルファベット傘下のSidewalk Labsが5,000万ドルを投じ、トロントのウォーターフロント地区の一部を再開発するというものでした。しかし、Sidewalk Labs CEOであるDan Doctoroffが、2020年5月7日に同社が開発への参画をとりやめることを発表したのです。

Google を始めとする有名企業が参加した大きなプロジェクトですが、ある側面から見ると大失敗だと言われます。それはプライバシーの配慮に関して住民と合意形成できなかったことです。

https://www.sidewalklabs.com/insights/an-update-from-the-sidewalk-labs-real-estate-development-team

Sidewalk Labs に参加した企業は、持続可能で公平でイノベーティブなまちを目指してデータを収集しようとしました。一方で、住民はそうした意図を十分に理解できなかったと言われます。住民の不安にプロジェクトは向き合えていたのでしょうか。プライバシーアドバイザーとして参画していたプライバシー専門家が辞任したのはなぜだったのでしょう。データが循環する街を実現するために、なにを大切にすべきかと問いかけてくる事例です。

プライバシーを持つことが個人の権利と言われるようになった起源は、アメリカで私生活を暴露するようなジャーナリズムが流行したことと言われます。日本で初めてプライバシー権が争われた『宴のあと』事件判決も実在する個人の私生活の暴露がポイントでした。

この流れを汲みながらも、今、新たに私たちが向き合おうとしているのはインターネット空間でのプライバシーの侵害です。働くと暮らしがデジタル化し、私生活がインターネット空間に広がり続けています。インターネットは生活に欠かせないほど身近になりましたが、実はそこは無法地帯とも言える空間で、秩序をもたらす動きがようやく押し寄せています。

image

ビジネス倫理に欠かせないプライバシーバイデザイン

1990年代に生まれ、今や国際基準や法のコンセプトに用いられる概念が”プライバシーバイデザイン”です。これは、データビジネスがステークホルダーのプライバシーを侵害するのを未然に防ぐことを目的に考案されました。発案者である Ann Cavoukian 博士は、Sidewalk Labs のプライバシーコミッショナーを務め、辞任したうちの一人です。

提唱されたのは「プライバシーバイデザイン7原則」です。データプライバシーという実感しづらい問題に取り組むための示唆を与えてくれます。「バイデザイン」とは、目的を持って、事前に、意図的に、計画的にデザインするという意味を持ちます。全てのサービスが企画・設計・開発・運用・停止というライフサイクルを辿りますが、運用開始後にプライバシーを対策するのでなく、企画・設計から対策することでプライバシー事故を防ごうとする姿勢・考え方です。これからのビジネス倫理の一つと言っても過言ではありません。

個人情報保護の法の動き

プライバシーに配慮することと、個人情報保護は分けて考えましょう。ここでは、個人情報保護の法の動きから説明します。

グローバルで最も先鋭的な動きと言われるのが欧州の GDPR(一般データ保護規則)です。2018年に施行し、すでに500件以上の企業制裁を下してきました。GDPR の法のもと、欧州域内のみならず、欧州域外を行き来するデータにも整備の手が及ぶでしょう。米国では、先行していた CCPA(カリフォルニア州消費者プライバシー法)に加えて、他の州でも法整備の動きがあります。業界別の法律も見受けられます。

国内では、改正・個人情報保護法が2022年6月に施行します。また、経済産業省・総務省は2020年8月に「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を、2021年7月にver1.1を公開しました。法の整備と並行してガイドブックを公開するのは日本国内に限らない動きです。技術革新のスピードに法整備が追いつかないため、企業による「自主規制」は大歓迎されます。以下の図を通して、法律遵守を最低限とし、生活者のプライバシーを保護することは企業の社会的責任だと伝えています。

近年高まりを見せるプライバシー意識

プライバシーを保護する動きは、今に始まったことではありません。下図は情報技術(赤線)とプライバシー意識(青線)の変遷を示します。歴史を辿ってみましょう。

1970年、ドイツの法律にプライバシー保護が盛り込まれました。これは彼らの歴史にあるプライバシー侵害による悲しい出来事、ユダヤ人の大量虐殺に由来するようです。当時、パンチカードと呼ばれる機器「ホレリス」を用いてデータベースを作り、腕に囚人番号を刻印されたユダヤ人は独裁者により管理・虐殺されたと言われます。

サービスに個人情報を登録することは、現代の私たちには当たり前のことです。虐殺は極端な例ですが、尊厳を踏みにじられるようなサービスは今なお身近な問題です。

もう一つ、この図で興味深いのは 2001年9月11日に起きた米国の同時多発テロ以降のプライバシー意識の高まりです。9.11 ののち、テロ対策を名目に米国政府の監視活動が大幅に強化されました。これに対抗する形で進んだのが欧州での GDPR の制定と言えるでしょう。ここ数年、技術革新と人権配慮も相まり、プライバシーを保護する意識が世界全体で高まっています。日本のデータビジネスもそうしたスタンダードに合わせることが試されることと思います。

これからのデータビジネス「権利はデータ提供者にある」

2021年春、京都大学・音無知展先生がプライバシー権の新たな定義を発表しました。「自己情報コントロール権から適正な自己情報の取り扱いを受ける権利へ」という副題で論文が出版され、注目されています。この機会に、個人の権利について考えをアップデートしましょう。

今村作成, 2021
今村作成, 2021

これまでのデータビジネスは「データの権利は企業にある」という社会的価値観のもと行われてきたと言えます。たとえば、自己情報コントロール権。データの開示・非開示を自己決定する権利のことで、個人情報保護法にも盛り込まれています。けれども、クッキーの同意確認をしている企業の割合が7%(PrivTech調べ, 2021)にあるように、多くの企業が利用者の同意を得ずにデータを取得しています。

こうした現状にさらに「適正な自己情報の取り扱いを受ける権利」を加味すると、企業に渡したデータのライフサイクル全体にわたり、人々はそのデータをコントロール(削除、修正、参照)する権利があるのではないでしょうか。気づいたら企業にデータが渡っていて、そのデータの行方もブラックボックスで見えないサービスでなく、データライフサイクルが透明で、投資したデータが何にどう使われて廃棄されたかが見えるサービスが好まれるでしょう。

ユーザーも企業も望まないことが起きてきた

データのライフサイクルに透明性を与えるのは、企業にとって大変かもしれません。社内にあるデータを活用しようにも、データの管理者が不明で、そのデータの利用目的も辿れず、削除して良いかさえ分からないという声も聞きます。データ資産を管理することは、ユーザーのためだけでなく企業にとっても事故を防ぐために効果的です。

最後に、海外・国内で有名なプライバシー事故を2つ紹介します。

読む際には、プラットフォームのデータ提供者とプラットフォーマーの顧客が誰なのかを考えてみてください。

  • 海外事例 ケンブリッジ・アナリティカ事件
  • 国内事例 リクナビ事件

普段つかっているサービスもしくは提供しているサービスで、どんなプライバシーの課題がありそうか、プライバシーを気にせず利用できるようになるには、どんな仕組みが必要か、考えてみてはいかがでしょうか。

Photo by Jason Dent on Unsplash
Photo by Jason Dent on Unsplash

image

ミテモからのお知らせ

ミテモからのお知らせ

執筆者

Deeper ライターズ

人気記事

すべての記事

新着記事

すべての記事

関連記事

すべての記事