個人情報がどうの、プライバシーがどうの――。いま、多くの企業がこのテーマにセンシティブになっているのがわかる。一方で、多くの人はなかなかこうした話題に意識が向かない。
もちろん、「クレジットカードの不正利用が……」とか「SNSの乗っ取りが……」みたいな、直接的な被害がイメージできるセキュリティの話題はこの限りではない。しかし、自分のプライバシーを守る、というテーマについて何時間も議論する人はそうそう見かけない。筆者の周囲の人間も、こうした話題に関して、漠然と「なんか怖いね」で終わってしまっていることが多いように思う。
今回伝えたいのは、「これではいけない」と言える時代に既に入っているということだ。企業がどんな背景でプライバシーを重要視しだしたのか。そして、各個人も数あるサービスをどういった認識で使っていくのか。そんなことについて改めて考えてみたい。
そもそも「プライバシー」の問題とは何か
そもそも「個人情報」と「プライバシー」という言葉は、同じ意味ではない。ほぼ同義で使われている場合が多いと思うが、厳密には差異がある。例えば、筆者が利用している携帯電話番号や、自宅の住所など、これは「個人情報」に当たる。個人に紐づいた、個人を特定できる情報のことだ。
一方で「プライバシー」は、他人に干渉されずに生活する自由を意味する言葉である。例えば、「筆者がどこどこのカフェが好きで、このコーヒーをよく注文する」といった行動は、筆者本人が公開したり、第三者の公開に同意しないかぎり、他人が興味本位で覗き見できてはならない。「プライバシーの保護」という概念で、こうした私生活は守られるべきだ。
この「プライバシーの保護」という概念は、かつては主にメディアに対して使われるものであり、新聞や文章作品において、個人の生活を世間に筒抜けにすることを防ぐために用いられた。日本では、三島由紀夫の文学作品「宴のあと」が個人をモチーフにしていると裁判が起き、「プライバシーの侵害」という言い回しが広まっている。これが嘗ての「プライバシーの保護」を考える上で最もわかりやすい例だろう。
しかし、デジタル化によって、「プライバシーの保護」のカタチが変わった。例えば、あなたがスマートフォンで地図のアプリを使ったとしよう。その際の移動経路についてアプリ開発者側が全て把握できるとする。このとき、そのデータがマーケティングに利用されることがあるとしたらどうだろう。「この人は、お昼にはどこにいて、夕方にはどこにいます。この経路を通ることが多いです」という情報が、知らぬ間に第三者を経由することになる。これは困る。
もちろん、これは例え話なので、実際にはこんなことは起こりえない。利用状況を吸い上げるサービスだとしても、現実には「この人」の部分は伏せられる。「30代利用者の何%が――」こうした覆面をかぶった統計的な情報に実害はない。むしろ、個人の行動履歴を差し出すことで、無料でサービスを利用できるため恩恵をうけられる側面の方が大きい。しかしながら、プライバシーの保護という観点で考えると非常に繊細な話になってくるわけだ。
そして、ときにデジタルな行動履歴のビッグデータは、たとえ個人単位の実害がなくても、利用方法によって大きな波紋を呼ぶ。例えば、プラットフォームにアップした個人のデータがサードパーティに利用された騒動として、フェイスブックを利用したケンブリッジ・アナリティカの騒動は記憶に新しい。同社は性格診断クイズアプリを通じて、不正にユーザーの情報を分析し、政治利用したと言われている(「いいね!」した投稿の履歴から、政治的な思想やパーソナルな傾向が分かるらしい)。なお、この一件は、2016年の米国大統領選挙や、英国のEU脱退に関する国民投票にも影響していたとも言われる。
デジタル時代の法制度作りは1980年には始まっていた
ネットワーク上で個人情報やプライバシーを保護するためには、企業の良心に頼るわけにはいかず、法制度が必要になる。そして、こうした仕組み作りはグローバル規模で影響しあう。
プライバシーに関するルール作りの源流は、1980年に経済協力開発機構(OECD)の理事会が採択した「プライバシー保護と個人データの国際流通についての勧告」——いわゆる「OECDプライバシーガイドライン」——まで遡る。これはプライバシーや個人情報を保護するための法律をつくる指針であり、日本ではこれに従う形で、1988年に「行政機関個人情報保護法」が制定された。2003年制定の「個人情報保護法」も然りだ。
1995年にEU(欧州連合)が定めた「EUデータ保護指令」も重要だ。その概要は、「個人情報保護の水準が低い国や企業には、EU域内の個人情報を渡さないぞ」というものだったので、多くの企業が遵守を迫られた。日本ではひとまず経済産業省(旧通商産業省)が1997年に個人情報保護に関するガイドラインを策定する形で対応。2017年に国内で施行された「改正個人情報保護法」でも、このEUデータ保護指令の要件を満たすルールを整えている。
そのほか、APEC域内の個人情報取り扱いルールを定めた「CBPR(APEC越境プライバシールールシステム)」や、2017年に中国で施行された「サイバーセキュリティ法」、シンガポールをはじめとするASEAN諸国での法整備など気を配る対象は多い。こうしたグローバル規模なルールが、IT事業の裏で絡み合う。