個人情報がどうの、プライバシーがどうの――。いま、多くの企業がこのテーマにセンシティブになっているのがわかる。一方で、多くの人はなかなかこうした話題に意識が向かない。
もちろん、「クレジットカードの不正利用が……」とか「SNSの乗っ取りが……」みたいな、直接的な被害がイメージできるセキュリティの話題はこの限りではない。しかし、自分のプライバシーを守る、というテーマについて何時間も議論する人はそうそう見かけない。筆者の周囲の人間も、こうした話題に関して、漠然と「なんか怖いね」で終わってしまっていることが多いように思う。
今回伝えたいのは、「これではいけない」と言える時代に既に入っているということだ。企業がどんな背景でプライバシーを重要視しだしたのか。そして、各個人も数あるサービスをどういった認識で使っていくのか。そんなことについて改めて考えてみたい。
そもそも「プライバシー」の問題とは何か
そもそも「個人情報」と「プライバシー」という言葉は、同じ意味ではない。ほぼ同義で使われている場合が多いと思うが、厳密には差異がある。例えば、筆者が利用している携帯電話番号や、自宅の住所など、これは「個人情報」に当たる。個人に紐づいた、個人を特定できる情報のことだ。
一方で「プライバシー」は、他人に干渉されずに生活する自由を意味する言葉である。例えば、「筆者がどこどこのカフェが好きで、このコーヒーをよく注文する」といった行動は、筆者本人が公開したり、第三者の公開に同意しないかぎり、他人が興味本位で覗き見できてはならない。「プライバシーの保護」という概念で、こうした私生活は守られるべきだ。
この「プライバシーの保護」という概念は、かつては主にメディアに対して使われるものであり、新聞や文章作品において、個人の生活を世間に筒抜けにすることを防ぐために用いられた。日本では、三島由紀夫の文学作品「宴のあと」が個人をモチーフにしていると裁判が起き、「プライバシーの侵害」という言い回しが広まっている。これが嘗ての「プライバシーの保護」を考える上で最もわかりやすい例だろう。
しかし、デジタル化によって、「プライバシーの保護」のカタチが変わった。例えば、あなたがスマートフォンで地図のアプリを使ったとしよう。その際の移動経路についてアプリ開発者側が全て把握できるとする。このとき、そのデータがマーケティングに利用されることがあるとしたらどうだろう。「この人は、お昼にはどこにいて、夕方にはどこにいます。この経路を通ることが多いです」という情報が、知らぬ間に第三者を経由することになる。これは困る。
もちろん、これは例え話なので、実際にはこんなことは起こりえない。利用状況を吸い上げるサービスだとしても、現実には「この人」の部分は伏せられる。「30代利用者の何%が――」こうした覆面をかぶった統計的な情報に実害はない。むしろ、個人の行動履歴を差し出すことで、無料でサービスを利用できるため恩恵をうけられる側面の方が大きい。しかしながら、プライバシーの保護という観点で考えると非常に繊細な話になってくるわけだ。
そして、ときにデジタルな行動履歴のビッグデータは、たとえ個人単位の実害がなくても、利用方法によって大きな波紋を呼ぶ。例えば、プラットフォームにアップした個人のデータがサードパーティに利用された騒動として、フェイスブックを利用したケンブリッジ・アナリティカの騒動は記憶に新しい。同社は性格診断クイズアプリを通じて、不正にユーザーの情報を分析し、政治利用したと言われている(「いいね!」した投稿の履歴から、政治的な思想やパーソナルな傾向が分かるらしい)。なお、この一件は、2016年の米国大統領選挙や、英国のEU脱退に関する国民投票にも影響していたとも言われる。
デジタル時代の法制度作りは1980年には始まっていた
ネットワーク上で個人情報やプライバシーを保護するためには、企業の良心に頼るわけにはいかず、法制度が必要になる。そして、こうした仕組み作りはグローバル規模で影響しあう。
プライバシーに関するルール作りの源流は、1980年に経済協力開発機構(OECD)の理事会が採択した「プライバシー保護と個人データの国際流通についての勧告」——いわゆる「OECDプライバシーガイドライン」——まで遡る。これはプライバシーや個人情報を保護するための法律をつくる指針であり、日本ではこれに従う形で、1988年に「行政機関個人情報保護法」が制定された。2003年制定の「個人情報保護法」も然りだ。
1995年にEU(欧州連合)が定めた「EUデータ保護指令」も重要だ。その概要は、「個人情報保護の水準が低い国や企業には、EU域内の個人情報を渡さないぞ」というものだったので、多くの企業が遵守を迫られた。日本ではひとまず経済産業省(旧通商産業省)が1997年に個人情報保護に関するガイドラインを策定する形で対応。2017年に国内で施行された「改正個人情報保護法」でも、このEUデータ保護指令の要件を満たすルールを整えている。
そのほか、APEC域内の個人情報取り扱いルールを定めた「CBPR(APEC越境プライバシールールシステム)」や、2017年に中国で施行された「サイバーセキュリティ法」、シンガポールをはじめとするASEAN諸国での法整備など気を配る対象は多い。こうしたグローバル規模なルールが、IT事業の裏で絡み合う。
昨年EUで施行された「GDPR」の存在は大きい
昨今、改めてプライバシー保護が話題になっているのは、上記に挙げた「EUデータ保護指令」がアップデートされた影響が大きいと言える。2018年5月より施行された「EU一般データ保護規則(GDPR)」のことだ。
この規則では、IPアドレスなどのオンライン識別子なども、個人情報として取り扱われるようになった(GDPRを補完する「eプライバシー法」が制定されると、さらにクッキーの同意についても規制が設けられるかもしれない)。また、GDPRにはルール違反時の超高額な罰則も設けられており、実際にGoogleはフランスから罰金を課せられている。
視点を変えると、米国で個人情報・プライバシー保護の法制度があまり整っていない現状も浮かび上がってくる。同国では、性善説的に企業の判断に委ねられてきた部分が多いらしい。もちろん、ルールが緩ければイノベーションが起こりやすいという側面があるのは理解できるが、実際にケンブリッジ・アナリティカのような看過できない事例が出てきたことで、EUとしても腰を上げたタイミングなのだろう。
私たちがスマホを使う上でどんな配慮がされているのか
さて、私たちは毎日のようにスマートフォンやパソコンなどのデバイスを運用しているわけだが、こんな時代にメーカーとしてはどんな配慮を施しているのだろうか。
米国IT企業の大手でありながら、ユーザーのプライバシーを大切にしている存在として、Appleのケースを考えてみたい。そもそも同社はスティーブ・ジョブズ時代から「プライバシーは極めて重要である」と述べ続けており、法整備についても推進する側の立場にある。
iPhoneを始めとするApple製品において、プライバシー保護への配慮は大きく4つの項目にわけられる。(1)ユーザーから集める情報を最小限にする、(2)端末の内部でデータを処理する、(3)個人情報の使用が求められる場面でのユーザーへの明示、(4)セキュリティを確かなものにする——といった内容だ。
ユーザーから集める情報を最小限にするというのは、要するに、「そもそも不要な情報は集めない」また「集めたときに個人に関する情報を見えなくする」ということに尽きる。例えば、「マップ」アプリで自宅までの経路を検索したときには、経路情報は「出発地点付近」「途中」「到着地点付近」に3分割され、それぞれに異なる識別子が付与される。その状態でAppleに送信されるため、だれがどういった経路を通ったのかはプロファイリングできない。
スマートフォンの外に出さずに、内部でデータ処理を完結することも重要だ。例えば、iPhoneの使用状況を自動でまとめてくれる「スクリーンタイム」機能では、端末の中で処理を行いデータをまとめている。「写真」アプリ内のキーワード検索を行う際も、一連の処理は端末内で実行される。
個人情報やプライバシー保護に関する取り組みについて、使い手側に啓蒙することも必要になる。iPhoneの場合、初期設定の段階で「データとプライバシー」という画面が表示され、ここに挙げたようなポリシーが明示される。
また、端末のセキュリティに関しては、生体認証を用いることで安全かつ簡単に情報を保護できるようになっており、万が一の紛失時にも遠隔で初期化を行えるなどの手段が用意されている。サービスのサインインに関しては、2段階認証の仕組みも整っているし、安全にパスワードを管理する仕組みも備える。
改めて考えてみると、当たり前のことではあるが、非常に誠実な姿勢でシステムが整えられているのが分かる。もちろんここに挙げたのは同社の取り組みのごくごく一部であり、さらに膨大な事柄に関して配慮が施されている。少なくともApple関連のデバイスを使うことに関して、ユーザーが過度に心配することはないだろう。
では、私たちはどんなことに気をつけておけば良いのか?
スマートフォンやウェブサービスを利用する上で、個人が気をつけるべきは「自身の個人情報やプライバシーに関わる情報がどんな使われ方をするのか」という認識を持つことだ。もちろん、すべてのサービスの裏側を知ることは現実的には不可能だが、アプリやサービスに明示されている条件はなるべく読むように心がけたい。
例えば、サードパーティが作成したキーボードアプリを使うとしよう。注意書きに「入力した内容はシステムを改良するためにすべて開発者へと送られます」と書いてあったとしたら、そのアプリケーションをつかってクレジットカードの情報や、サイトログイン画面でのパスワード入力を行なってはいけない。
結局、個人の振る舞いとしてはその程度で良いと思う。一周して冒頭の話に戻ってしまうのだが、直接的な自身の被害を防げる振る舞いをしていればなにも問題はない。
ただし、サービスを提供する企業のプライバシーに対する姿勢が変わってきたという認識は、誰もが持っておいて欲しい。そうすれば、どの企業が、どんなポリシーを持って、どんな取り組みを公表しているのか、という文脈が理解できる。
信頼できるサービスや製品を選びたいと思った際に、プライバシー保護の姿勢は一つの指標になるはずだ。どんなポリシーで、個人情報やプライバシーに関する情報が使われているのか、納得して選択することが大事だと思う。