法務パーソンはプライバシーアーキテクトの夢を見るか? プライバシーアーキテクトのためのアルゴリズム【法務系 Advent Calendar 2019】(2020/1/2更新)

HIBI

hibiと申します! 「法務系 Advent Calendar 2019」の12月5日(木)分の記事として、新サービスの立ち上げ時における法務の関わり方、特に「個人情報取得プロセスの設計」の注意点について書いていきます!

 :::::::::::::::::::::::::::::

「健康状態を主とする個人の信用に関わる様々な情報を、パブリックに晒すことがモラルとされる生命社会で、「プライベート」という単語はもはや、秘密めいた匂い立つ領域を指す言葉に変わり果てている。」
                      伊藤計劃 『ハーモニー』

はじめに

2019年11月29日に個人情報保護委員会による「個人情報保護法 いわゆる3年ごと見直し 制度改正大綱(骨子)」 の公表、12月4日に個人情報保護委員会による「個人情報の保護に関する法律に基づく行政上の対応について」の公表が行われた。

また、香港での混乱は今なお続いていて、2日前のThe New York Timesでは"China tries to build facial images from DNA"という記事が出ていた。

これを機に、プライバシーについて学びたいと考え、今回、テーマとして選んだ。特に、個人情報に関する利用の同意場面の設計(「選択アーキテクチャ」)と設計のための処理手順・ステップ(「アルゴリズム」)を検討していく。

前提

今回の記事は、①GDPRでいうコントローラーであって、②個人向けの新規ウェブサービス(BtoC新規ウェブサービス)の立ち上げを行うことを検討している立場を前提に記載する。もちろん、他の前提に立った場合のことも視野には入れているが、イメージをしやすくするために、前提を記載しておく。

スコープ

中でも、個人のお客様より、新サービスへの申し込みをしてもらい、個人情報を取得する際のウェブサイト上における同意取得に焦点を絞る。逆に、プライバシーポリシーの作り方には踏み込まない。

スタンス

プライバシー保護は、事業戦略の実行との間でトレードオフの関係にはなく、むしろ事業戦略の実行を後押しするものだ、という価値観に基づいて記載する。つまり、プライバシー保護は、長期的利益を失わせるものではなく、長期的利益に資するものだという価値観だ。

各種規制を見つめるのではなく、個人のお客様そのものを見つめる。規制を守ることは当然であるが、一丁目一番地は個人のお客様を守ることだ。

個人のお客様のことを第一に想い、個人のお客様を守ることで、十分に安全な状態を作ることができるはずだ。もちろん、各種規制に対して、気配りをし、実装することは重要であり、必須である。

個人に焦点を絞ることで、各種規制の改正に右往左往しなくて済むのではないか。つまり、事業戦略の遂行に集中できる。例えば、個人情報保護法が改正されても、海外におけるプライバシー法を検討する必要が出てきても、慌てることが減る。規制の要件効果に張り付かない、惑わされない、一喜一憂しない。法規制は、「倫理的最小限度」(『法学の基礎〔第2版〕』21頁)であると捉えることが大事だ。

前の車と、十分な車間距離を取ることで、万一、前の車が方向転換したり、急ブレーキをかけても、自分の車はもちろん、前の車にも衝突せず、周囲の歩行者も傷つけない状態を目指したい。

個人情報取得時の選択アーキテクチャ決定のための4ステップ

ステップ1 取得する個人情報、利用目的など、やりたいことのヒアリング
ステップ2 行為類型の判定
ステップ3 危害類型の判定
ステップ4 個人情報取得時の選択アーキテクチャの決定

ステップ1 取得する個人情報、利用目的など、やりたいことのヒアリング

取得する個人情報、利用目的など、やりたいことを、新サービスの起案者にヒアリング。個人情報のライフサイクル全体を見る。①取得、②利用等(2-1利用、2-2加工・連携・集約等、2-3保管・保存)、③第三者提供、④廃棄までを見通す。

- 取得する個人情報の具体的な項目
- 誰の個人情報か?
- 個人情報を取得する手段
- 「利用目的」(個人情報保護法15条)
- 生データのまま使うのか、加工するのか、統計情報にするのか
- 個人情報の処理方法(改正大綱(骨子))
- 第三者提供の有無、提供方法、具体的な提供先名、提供先での利用目的、情報閲覧手段、処理方法
- 廃棄の条件、方法

具体的には、エクセルで整理をする。縦軸は、個人情報の具体的な項目として、横軸に上記の各項目を並べて、記載をしていく。

複雑な場合は、図解をしたい。商流図からの発想で、情流図と名付ける。私は、A4の紙に手書きで書くことが多い。新サービスの起案者にヒアリングしながら、起案者に描いている図を見せながら、描いていく。

▼情流図の描き方のコツ

まず、生データ、加工データ、統計情報を閲覧、取得等できるプレイヤーを書き出す(エレメントとして、企業は四角、個人はヒトマークを使っている。絵心は要らない)。生データは□の中に直線横三本線(「三」)、加工データは□の中に波線横三本線、統計情報は□の中に◯、△、□を記載し、それぞれをエレメントとして使う。なお、利用目的等を整理する際は、生データ、加工データ、統計情報それぞれについて、ヒアリングすると、漏れ減るように思う。統計情報の利用目的も聴いておくことが大事だ。

GDPRにおけるコントローラー、プロセッサーとなるプレイヤーのエレメントの近くに、それぞれ「C」、「P」と記載する。そして、コントローラーに該当するプレイヤーに接続する形で、プラポリを示すエレメント(四角の吹き出し)を記載しておく。つまり、コントローラーとなるプレイヤーに「C」というエレメントを図解したら、すぐに利用目的を書き込めるような四角い吹き出しをつけておく。そうすることで、コントローラーによる利用目的の明示の抜け漏れをなくすことができる。

「サービス提供事業者などの会社」の中にいる具体的な人、例えば、従業員個人もヒトマークを使って、書き出しておく。データベース(データベースのアイコン等を使う)と閲覧デバイス・アプリ(PCで見るならモニターのアイコン)とは別に扱う。さらに、各プレイヤーがどんな利用目的でどんな処理をして、結果としてどんなデータになるのかを、図の中に追記する。

また、そのデータが誰から誰に渡るのかを可視化する(コネクタとして矢印を使う)。

筆が止まる、描けないことは、分かっていないことだ。ヒアリングをして、決まっていないのであれば、決めてもらう。

ステップ2 行為類型の判定

利用目的などを洗い出せたら、次は洗い出した利用目的等がどのような行為類型に当たるのかを整理する。つまり、リスクの有無や発生頻度を確認していくステップだ。

大前提として、①個人情報保護法、②プライバシー侵害の不法行為、③プライバシーマーク、④社内規程、⑤社内ルール、⑥業法、⑦情報法等を参照して検討する。法務機能の本丸は、適用される法令と判例を用いたリスク分析だ。個人情報保護法に気を取られ、プライバシー侵害の不法行為の検討を忘れがちになるので、注意が必要だ。

個人情報保護法などの法令を守ることは、最低限のことである。このステップを通じて、サービス提供者のサービス内容や行為が、個人情報保護法などの法令に違反していないことを前提に、さらに個人のお客様に対して、危害を与えそうな行為があるかどうかを検討していく。

ソローヴは、「有害な諸活動を基本的な4グループに分類」している。それが、情報収集、情報処理、情報拡散、侵襲だ。これらは、プライバシーを侵害しうる場面とも捉えられる。さらにこれを細分化し、12の行為類型にしている。

ステップ1で洗い出した各利用目的、各「データの処理の方法」(「大綱」)を見て、12の行為類型に該当しそうなものがないかを確認するのがこのステップだ。

ソローヴは、「新しいテクノロジーによって、新しい種類のプライバシー問題が賑々しく蔓延し、その多くはプロッサーの4つのカテゴリーに容易には収まらない」と言う(『プライバシーの新理論』142頁)。また、プライバシーや個人情報に関わる法令は多岐にわたり、重層的なので、全容を掴みにくい。

以上のような背景から、新サービスの立上げの現場で使えるツールとして、単線的なチェックリストとして機能するものが欲しいと考え、ソローヴの類型論を用いようと考えた。どの類型に当てはまるかを厳密に見ていくというよりも、抜け漏れなく、リスクがありそうな行為を洗い出すことが重要だ。

▼1. information collection(情報収集) 

- 1-1 surveillance(監視) 監視は、「個人の活動の観察・聴取・記録である」。

- 1-2 interrogation(尋問) 尋問は、「情報を求めて行うさまざまな形態の質問や調査である」。

「監視も尋問に似ており、これはどちらも非自発的な情報集めを伴うからである。しかしながら、尋問は、対象の意識的な知覚を伴うのに対して、監視対象には秘密でありえる」(『プライバシーの新理論』157頁)。

▼2. information processing(情報処理) 

- 2-1 aggregation(集約) 集約は、「ある個人についての情報を集めることだ。あちこちに散らばった情報の断片一つずつからはたいしたことがわからないものの、結びつけると、データのかけらがある個人の肖像を描きだすようになる」(『プライバシーの新理論』162頁)。

2-1 aggregationがプロファイリングに当たるかと思ったが、そうではないようだ。プロファイリングの問題は、一応、2-4 secondary use(二次利用)に分類しているようだ。

- 2-2 identification(同定) 同定は、「情報を特定の個人に連結することである」(『プライバシーの新理論』146頁)。当初、私は、2-2 identification(同定)と2-1 aggregation(集約)の違いが分からなかったが、それらに関する記述があり、理解が進んだ。「同定は集約と類似している。しかしながら、身体を有する個人へのリンクを伴う点で、同定は集約とは異なっている」(『プライバシーの新理論』168頁)。つまり、身体を有する個人へのリンクをするのは、同定である。

切り口1として、高集約、低集約、切り口2として、高同定、低同定のマトリックス(田)を考えよう。例えば、低集約かつ高同定の典型例は、新規にスポーツジムに登録する際の個人情報の提供である。つまり、スポーツジムは、ある特定の個人のお客様の身分証の情報と申込書記載の情報を取得することで、「同定」することになるものの、当該個人の情報を他に持っていないとしたら、「集約」度は低くなる。

なお、2-2 identification(同定)は、プロファイリングのことを指している訳ではない。

- 2-3 insecurity(非セキュリティ状態) 非セキュリティ状態とは、「個人情報の異常やセキュリティ喪失、濫用、違法利用」(『プライバシーの新理論』172頁)を指す。いわゆるCIAが不十分な状態を指しているように思う。

- 2-4 secondary use(二次利用) 二次利用とは、「データ主体の合意なしに当初のデータ収集の目的とは関係ない目的で、データを使用することである」(『プライバシーの新理論』177頁)。ソロブの類型によると、secondary useにプロファイリングを入れている。日本でも、プロファイリングに注目が集まってきているので、2-6として「プロファイリング」を設けてもいいだろう。

- 2-5 exclusion(排除) 排除は、「他者が保有する自分自身に関するデータについて、データ主体が情報を得られないという事態や、そのデータの取り扱いや利用にデータ主体が参加できないという事態にかかわる」(『プライバシーの新理論』146頁)。排除の典型例としては、個人情報保護法でも定められている開示、訂正等、利用停止等(個人情報保護法28条から30条)の本人による請求に応じないことだろう。

▼3. information dissemination(情報拡散) 

「すべての情報拡散活動は、個人データの伝播や移転、もしくは伝播や移転するぞという脅しにかかわっている」(『プライバシーの新理論』146頁)。

- 3-1 Breach of confidentiality(守秘義務関係破壊) 守秘義務関係破壊とは、「個人情報を守秘するという約束を破ることである」(『プライバシーの新理論』146頁)。 

- 3-2 Disclosure(情報開示) 情報開示は、「他者が個人の評判について判断する仕方に影響を与えるその人物に関する真実の情報を明かすことである」(『プライバシーの新理論』146頁)。

- 3-3 Exposure(暴露) 暴露は、「裸体や悲嘆など、他者の身体機能を明かすことにかかわる」(『プライバシーの新理論』146頁)。暴露は、3-2 情報開示と似ているが、特に、情報の内容が身体機能健康の場合を言う。つまり、情報開示が対象とする情報の範囲は、暴露のそれよりも広い。

- 3-4 Increased accessibility(アクセス可能性の増大) アクセス可能性の増大は、「情報のアクセス可能性を増幅することである」(『プライバシーの新理論』146頁)。

- 3-5 Blackmail(脅迫) 脅迫は、「個人情報を開示するぞという脅しである」(『プライバシーの新理論』146頁)。

- 3-6 Appropriation(盗用) 盗用は、「データ主体のアイデンティティをほかの人物の目的や利益のために利用することにかかわる」(『プライバシーの新理論』146頁)。また、ソローヴは、「この危害を記述するより良い語は「搾取」である」とも言う(『プライバシーの新理論』208頁)。典型例としては、新製品を案内するウェブサイトに、個人の同意なしに顔写真を載せる行為である。「盗用からの保護によって守られる利益は、ある人が自分自身を社会に対してどのように提示するかそのやり方のコントロールである」(『プライバシーの新理論』207頁)。

- 3-7 Distortion(歪曲) 歪曲は、「個人についての虚偽の、もしくは誤解を招く情報を拡散することから構成される」(『プライバシーの新理論』146頁)。「歪曲は、暴かれる情報が虚偽であり誤解されるものである点で、情報開示とは異なっている」(『プライバシーの新理論』210頁)。3-2 情報開示は、真実の情報を拡散することだ。

ある個人の評価(抽象的には、個人の生データではなく、何かしらの基準に基づいて加工した情報)を、第三者に提供する場合は、3-7 Distortion(歪曲)にあたらないように注意が必要だ。

また、ある個人の生データを、第三者に提供する場合は、3-2 情報開示を疑うようにする。

▼4. invasion(侵襲)

- 4-1 Intrusion(侵入) 侵入は、「誰かの静穏または隠逸状態を邪魔する侵襲的行動にかかわる」(『プライバシーの新理論』146頁)。

- 4-2 Decisional interference(意思決定への介入) 意思決定への介入は、「データ主体自身にかかわるプライベートな事柄についての意思決定に立ち入ることを意味する」(『プライバシーの新理論』147頁)。

以上、12の行為類型を見てきた。新サービスにおける各利用目的、各「データの処理の方法」(「大綱」)を見て、12の行為類型に該当しそうなものがないかを確認する。次は、その行為からどんな危害が発生するのかを検討していく。

ステップ3 危害類型の判定

危害を洗い出すことは、未来のお客様が叫びうる悲鳴やお客様の涙を感知し、想像することにつながる。そして、ステップ1からステップ3までのアルゴリズムを使えば使うほど、ルールではなく、本来守るべきお客様への意識が高まる。

危害類型の判定においても、ソロブの類型を用いる。法務としては、損害として認められるかを冷徹に見極める必要がある。その上で以下の観点でも検討をする。危害の大きさを見積もる。ここでもチェックリスト的に用いる。

ソローヴさんの「個人および社会への危害」(『プライバシーの新理論』248頁)の8類型を利用して、個人のお客様に降りかかる具体的なインパクト・危害を捉える。

なお、以下の危害は、個人への危害と社会への危害に理論的には区分ができるようだ。

▼A. 物理的損害
「多くの場合、プライバシー問題は物理的損害を引き起こさない」(『プライバシーの新理論』248頁)。

▼B. 金銭的損失および財産上の危害
「非セキュリティ状態は、詐欺やアイデンティティ窃盗につながる可能性がある」(『プライバシーの新理論』248頁)。なお、「法は、一般的に、金銭的損失の補償および財産権の保護には向いている」(『プライバシーの新理論』248頁)という記載もあった。

▼C. 評判上の危害
「多くの例において、プライバシー問題は評判上の損害を引き起こしている」(『プライバシーの新理論』248頁)。「評判上の危害によって、「他者の眼に映る人格的評価」を維持する能力が損なわれ、コミュニティにおける個人のイメージが汚される可能性がある。このような危害が生じると、その結果「社会的掣肘」を受け、ビジネスや職を失う可能性がある」(『プライバシーの新理論』249頁)。

プロファイリングを行うことによる危害の一つが、「C. 評判上の危害」となりそうだ。

▼D. 感情的・心理的危害
「多くの例において、プライバシー問題は物理的もしくは金銭上、評判上の危害を引き起こすことはない。むしろ、感情的苦痛や恥辱、怒りの感情を引き起こす」(『プライバシーの新理論』249頁)。「20世紀には、米国法は心理学的危害に対するその認識を大きく拡張した。感情的苦痛を意図的に加える行為に対する補償の不法行為類型が登場し、今日では、ある人が「極端かつ非道な行為によって意図的または無謀にも深刻な感情的苦痛を引き起こす」ときには、不法行為法によって救済が与えられるようになっている」(『プライバシーの新理論』250頁)。

▼E. 人間関係上の危害
「情報収集も、人々がお互いコミュニケーションしたり、結社を作ったりすることを抑制することで、人間関係に介入する可能性がある」(『プライバシーの新理論』250頁)。

▼F. 脆弱性の危害
「将来個人が危害を加えられるかもしれないというリスクの創出に関係する」、「個人が物理的・金銭的・評判上・心理的危害の被害に遭う機会が増大する」(『プライバシーの新理論』251頁)。つまり、すぐに危害は生じないが、将来の危害が生じるリスクが高まる。環境問題が生む危害と類似しているとソロブは言っている。

▼G. 萎縮効果
「政府が反体制グループのモニタリングを行う場合、人びとは政治集会に参加したり、通俗的見解を批判したりすることが減少するように思われる」(『プライバシーの新理論』252頁)。

▼H. 権力の不均衡
「たとえば、排除の問題は、心理的危害を生じないことが多いものの、人びとは権力を行使できない立場に置かれることになる」(『プライバシーの新理論』253頁)。

さて、ここまでで、リスクの発生可能性、具体的な危害・インパクトが洗い出させたことになる。次のステップは、個人情報取得時の選択アーキテクチャの設計時の注意点だ。

ステップ4 個人情報取得時の選択アーキテクチャの決定
〜お客様のリスクのコントロール〜

以上のステップを通じて、個人のお客様も立場に立ったリスクの有無・発生頻度、危害の大きさを見立てることができる。

前のステップで検討をしているが、危害の大きさに着目したい。①情報の項目、②行為類型、③危害類型によって、危害の大きさを導けるだろう。特に、危害が、⑴可逆的なのか、⑵不可逆なのかを見立てたい。

このステップでは、リスクコントロールを考えたい。本記事においては、個人のお客様を起点に、リスク発生頻度や危害の大きさを減らすべく、個人情報取得時の選択アーキテクチャに焦点を絞って検討をしていく。

当然、ステップ2で洗い出した行為によるリスク発生頻度が高かったり、危害の大きさが大きかったり、危害が不可逆的だったりする場合は、サービス提供者がその行為や取組み自体を行わないことで、そもそも危害を発生させないことができる。それを検討した上で、以下のステップを踏んでいくことが大前提だ。

以下に選択アーキテクトの道具として、いくつか記載していく。個人のお客様にとって、危害が及ばない方向、つまり、安全に使ってもらうというスタンスで記載をしていく。以下に記載したことをやらなかったり、逆の方向のことをした場合は、個人のお客様に危害が及びやすくなる。

もう一つ大事な前提としては、プライバシー侵害を未然に防ぐことを優先し、個人のお客様の選択や同意に関わる時間の消費、注意力の消費は劣後させるというスタンスで記載をする。意図は、どちらかのスタンスで書かないとわかりづらくなってしまうということだけだ。

さらに、情報取得時に、プライバシーポリシー等について、①公表・告知(notice)、②同意・選択(choice)、③正当な利益(GDPR前文47項、GDPR6条1項(f))、④それ以外の手法がゼロベースでは考えられるが、②同意・選択(choice)で進めるという前提で、以下、検討をしていく。

▼選択アーキテクトのための道具箱
選択アーキテクチャを作るためには、道具が必要だ。たくさんの道具は持ち運べないので、道具箱を用意した。道具だけを用意しようとも思ったし、他の道具箱候補も考えたが、GDPRの道具箱が使いやすそうだった。プリコラージュbyレヴィ=ストロース、万歳だ。他の国の法令でも、もし他の使いやすい道具箱があれば、教えて欲しい。

GDPRでは、「データ主体の「同意」とは、声明または明確な積極的行為により、自己が自らに関する個人データの処理について合意を示すこととなる、自由になされ、特定され、通知を受け、かつ明確なデータ主体の意思表示、と定義される(4条11項)」(『EU一般データ保護規則』57頁)。

▼道具箱Ⅰ 「自由になされた」(free/ freely given)
【道具1 力の不均衡】
- 直接的な力の不均衡(独占、個人対企業など) GDPRの前文43項では、a clear imbalance between the data subject and the controllerという表記がされている。例えば、①個人 対 企業、②個人 対 企業において、サービス提供者である企業が独占、寡占状態、③労働者 対 雇用者など。

なお、③労働者対雇用者については、雇用者による従業員情報の利用と保護のポリシーが、エンゲージメントを左右する一つの大きな要素になると私は考えている。人事機能は、労働法はもちろん、個人情報保護法などの情報法、プライバシーの理論的な理解、および従業員一人一人の感情面の配慮が必須になっていると感じる。

- 間接的な力の不均衡(両面市場・二面市場・多面市場) 特に両面市場等においては、企業Aが個人から情報の提供を受け、その生の情報や加工した情報を、企業Aの顧客である企業Bに渡す場合は、利益相反になる可能性があるので、注意が必要だ。さらに、企業Bと個人との間に力の不均衡がある場合は、強い注意が必要だ。つまり、企業Aは、企業Aと個人の力の不均衡だけではなく、企業Bと個人との間の力の不均衡を冷静に分析する必要がある。

【道具2 利用規約への包含禁止】「利用規約の受入と同意をまとめること、または契約やサービスの条項に同意を盛り込むことは極めて望ましくない(7条4項参照)」(『EU一般データ保護規則』59頁)。

▼道具箱Ⅱ 「特定的」(specific)
【道具3 利用目的の特定】利用目的が限定されない包括同意(blanket consent)は、GDPRでは認められない(『EU一般データ保護規則』60頁)。

【道具4 利用目的が特定された上での、個別的同意 対 一括同意】個別的同意の方が、プライバシー保護に傾く。利用目的の選択方式が例だ。つまり、各利用目的毎に選択できるようにする。逆に、複数の利用目的に一括で同意をさせるか、一括で同意をしたくなければサービス利用をお断りするというall or nothingの手法は、 個人のお客様のプライバシーに配慮していないことになる。

▼道具箱Ⅲ 「情報を受けた」(informed)
【道具5 情報提供の内容】例えば、利用目的であれば、可能な限り、利用目的を具体的に書き、細分化する。また、どんな情報項目について、個人のお客様に提供するべきかのフレームワークは、私の中では確立できていない。

個人のお客様にとって、不利益になり得る利用目的であれば、不利益になることを伝えれば、よりプライバシー保護になるだろう。タバコのパッケージに書かれているような注意文言を書くなど。

【道具6 5感を使った情報提供の方法 視覚、聴覚、触覚、味覚、嗅覚】道具として使えるのは、やはり視覚だろう。視覚については、文字で長々と書くのではなく、分かりやすく書くことが大事だ。また、表を使って整理する。さらに、絵や図を用いて、説明することも検討する。視覚以外の4感を使って、プライバシー保護に繋がる手法があれば、是非、知りたい。

▼道具箱Ⅳ 「明確な意思表示」(unambiguous indication of wishes)
【道具7 事前同意 対 事後同意】事前同意の方が、プライバシー保護に傾く。

【道具8 明示的同意 対 暗黙的同意】ペアコンセプトで考えると分かりやすい。明示的同意の方が、プライバシー保護に傾く。

【道具9 5感を使った同意の意思表示の方法 視覚、聴覚、触覚、味覚、嗅覚】道具として使えるのは、視覚と聴覚だろう。

【道具10 デフォルトの設定】「インターネットでのプライバシーという領域では、デフォルト・ルールに左右される部分が大きい」(『選択しないという選択』37頁)。つまり、多くの人は、デフォルトルールのまま変えずに同意をすることが多い。したがって、同意取得の際の、デフォルトの設定を、プライバシー保護の設定にしておけば、プライバシー保護になる。

【道具11 チェックボックス】チェックボックスをオフにしておく。

▼道具箱Ⅴ 「その他」
【道具12 数を制限した同意取得のためのナッジ】サービス提供者から本人に対する同意(オプトイン)を促すナッジの数を制限する。つまり、オプトインへのナッジをしつこく行わない。ナッジを、一定時間以上あけることで、個人のお客様の時間や注意力を浪費させないという方向に傾けることも可能。

【道具13 同意取得後のオプトアウト。同意の撤回】
 - オプトアウトを促すナッジを行う。
- 離脱できること、つまり、オプトアウトの機会を提供する。
- オプトアウトを行う際に費用がかからない。
- オプトアウトを容易にできる。
- オプトアウトするための手続き方法を分かりやすい場所に掲示する。
- オプトアウトの手続き方法を簡易にする。例えば、ワン・クリック。将来的には、ワン・ソート、ワン・ブリンクでできるようにする(『実践 行動経済学』363頁)。
- 各利用目的毎にオプトアウトができる。

【道具14 ITアーキテクチャとの接続】同意のログ、開示・訂正等・利用停止等など、ITシステムに影響することについては、要求をまとめて、ITシステム部門と連携を取る必要がある。忘れずに、対応しておきたい。

なお、上記の道具群の検討を通じて、個人情報取得時のナッジの適用は難しいことを実感した。つまり、サービス提供者側の利益と個人のお客様側の利益がトレードオフの関係になる場合があるからだ。せめて、スラッジにならないように気をつけることが大事だ。

「選択できるということは多くの場合、途方もない利益をもたらす一種の恩恵であるが、同時に多大な負担を強いる一種の災いにもなりうる。時間と注意力は貴重であり、たとえ自分の利益や価値が脅かされるとしても、すべてに注意を向けてはいられない」(『選択しないという選択』1頁)。

つまり、冒頭で記載した通り、今回は時間と注意力よりも、プライバシー保護に重きを置いた記載をしている。本件のような「選択」には難しいかもしれないが、個人のお客様ご本人のプライバシー保護になり、かつ、限られた時間と注意力を浪費させないような選択アーキテクチャが望まれる。時間や注意力は、自由の要素であるため、時間と注意力の浪費は、個人のお客様の自由の制限にも繋がる。

以上の手続きをもって、同意の方法を検討する。法令を守ることは当然であるが、さらにそれを超えて、個人のお客様のプライバシー保護をどこまで行うのかを具体的に検討していくのが、このステップである。

プライバシーディシプリンに基づく対話と定期的なPDCA
〜ルールとディシプリン〜

個人情報保護法などの情報法やプライバシーについては、個人を守る、傷付けない、個人の自由を確保することを第一に考えることが大事だ。

さらにその上で、必要になるのが情報法やプライバシーに関するルールを知ることだ。ルールは手段でしかないが、個人の自由を守るために必須である。

フィールドに立つラグビー選手がルールを知らなかったら、どうなるだろうか?

バスの運転手がルールを知らなかったら、どうなるだろうか? バスの運転手が、都度、必要なタイミングで、教習所の教科書を開きながら運転したら、どうなるだろう? 交通ルールを知らない運転手が運転するバスにあなたは乗りたいだろうか? パスの運転手が、交通ルールに詳しい人を、運転席の隣に座らせて、都度、交通ルールを確認していたら、あなたはどう感じるだろうか?

情報法は、重層的な構造になっていて、とても複雑な体系になっていると私は感じる。それでもなお、個人のお客様の情報を扱う全ての人たちは、情報法やプライバシーについて、習得し、身体に叩き込み、事業を安全に運営する必要がある。車の運転に例えるなら、F1レーサーのようになるまでは必要はないが、周りの人を傷付けないように、安全に運転ができることが必須だ。さらに、車以上に難しいのは、自らが所有する車についてはもちろん、借りたレンタカーそのものが安全に駆動するのかを確認できる点検の技術や点検する習慣が必要だ。

個人のお客様の情報を扱う全ての人は、個人を守ることおよびルールについて、自律的に学ぶ必要がある。次に必要なのは、自社で定めたプライバシーディシプリンに基づいた定期的な対話だと考える。新サービスや新機能の開発の最前線にいる事業責任者、プロダクトマネジャー、ITエンジニアだけではなく、従業員情報を扱う人事との対話が重要だ。

さらに、定期的な対話に基づく、自社で定めたプライバシーディシプリンの定期的な更新。

「ローレンス・レッシグに聞く、データ駆動型社会のプライバシー規制」というレッシグさんのインタビュー記事がある。

記事の中で、レッシグさんは、以下のようなことを言っている。

「私は、同意モデルに技術的な工夫をしていくよりも、もっと別の道に進むべきだと考えます。別の道というのは、許可すべきデータの用途、禁止すべきデータの用途、人々が判断すべきデータの用途とは何かをはっきりさせていくということです。そして個人が判断すべき領域はなるべく狭くしておくべきです。」


上記は、政府による規制の内容について、レッシグさんが意見を述べたものだ。例えば、これを、政府による民間企業への規制ではなく、自社を律する規律(ディシプリン)として利用するのはどうだろうか。フィールドに立つラグビープレイヤーは、ラグビーのルールは当然熟知しているし、その上で、チームには規律が存在しているだけではなく、規律を身に付けていると聞く。

例えば、利用目的や処理方法を以下のような3分類に分け、プライバシーディシプリンに規定する。

①許可すべきデータの利用目的や処理方法
②禁止すべきデータの利用目的や処理方法
③お客様に判断してもらうデータの用途や処理方法

プライバシーディシプリンを規定し、それに基づいて対話し、対話に基づいて見直していく。もちろん公開しても良い。それが事業戦略の1つの優位性になるかもしれない。

なお、レッシグはこうも言っている。

「今日では、些細な嘘をつかずに暮らせません。利用規約を読んだという嘘、そこに書いてあるということに同意したという小さな嘘を日常的につかなければやっていけません。ほんの小さな嘘かもしれませんが、ともすれば平気で嘘をつける世代を育ててしまっています。それは40年前、ソビエト連邦の人々が生き延びるために日常的に嘘をついていたのとよく似ています。文化が個人の誠実さを浸食してしまうというのは大問題です。このことだけを取っても、サービス規約やアクセスの規制手段として同意という基盤を続けるのを断念する十分な理由になると思います。」


まとめ

今回、ソロブさんのプライバシーの類型を利用したが、ソロブさんは、この類型は確定的なものではなく、揺れ動くものだと言っている。とはいえ、上記のような処理手順で察知できたアクションや危害を洗い出しておけば、新サービスや新プロダクトが適用される法令の抜け漏れを減らすことができると考えている。

お客様向けのサービスだけではなく、自社で使うデータ分析基盤の整備やHR Techの利用時においても、上記のアルゴリズムを適用することができると思う。特に、従業員情報の利用については、十分に注意を払う必要がある。GDPRのフレームワークも活用して検討しておきたい。

プライバシーのアーキテクチャを考える上でも、まずは「人」を見つめ、「人」が傷つく場面を想像し、「人」の自由を守るはずの基本原理に立ち返り、法令の要件効果に振り回されないことが大事だ。そして、法令の検討をするにしても、その法令の目的にも立ち返って考える。つまり、それぞれの法令に定められたそれぞれの手続きが、何のためにあるのかを考えることが大事だ。新サービスを作るチームメンバーと、誰のどんな自由を守るのかという基本原理と適用法令の目的を知ってもらう、それが大切なことだ。

終わりに

法務は、法を対象にしていると思われるが、人を見なくてはいけない。もちろん、法は武器であり、ツールであり、それも強力な武器・ツールだ。

レッシグとサンスティーンは、二人とも個人の自由のことを話している。そこが共通点だ。

ルールメイキングという言葉が流行っているが、その言葉は、新たなサービス・プロダクトと法令が衝突してしまうため、法令というルールを作ろう、創ろう、変えようという文脈で使われることが多いように感じる。そのような文脈で、ルールメイキングをしたり、ルールのアーキテクトになったりする機会に恵まれることは、多くはないだろう。実際、私は、直接的な影響力をもって、法令を変えたり、作ったりする力は持っていないし、その場にもいない。

でも、できることがある。それは、自社の新サービスのエコシステムにおけるルールを作り、そのエコシステム内にいるお客様の自由を損なうことなく、安全にサービスを使ってもらうことだ。そう考えると、法務パーソンは、そのエコシステム内のルールメイクをすることが可能だ。

ルールメイクといっても、利用規約やプライバシーポリシーを作るだけではない。以下のレッシグの規制の4要素におけるアーキテクトになれる。プライバシー観点では以下のように整理した。

・アーキテクチャ(Architecture):プライバシーに配慮したITシステム。①お客様の目に晒されるITシステム、②それを支えるサービス提供者内で使われるITシステム ※プライバシー観点以外では、業務プロセスを支えるITシステム、請求、売上管理、経理システムへの接続などシステム間の連携も含む。
・規範・慣習(Norms):個人のお客様に向けたプライバシーポリシーの説明、プライバシーに関して双方向でコミュニケーションできる仕組みなど。 ※プライバシー観点以外では、説明を行うウェブページ、パンフレット、提案書、プレスリリースなど。
・市場(Market):個人情報の取得等のやり取りで金銭を発生させるかどうかなどか。 ※プライバシー観点以外では、価格やキャンセルポリシーなど。
・法(Law):お客様向けのプライバシーポリシー、サービス提供者側内でのプライバシープリンシプルなど ※プライバシー観点以外では、契約(規約や契約書)など。

レッシグは言う、「自由を構築するには、アメリカの建国の祖たちがやったように、社会を何らかの憲法の上に築く必要があるのだ」(『CODE VERSION 2.0』5頁)と。同様に、法務パーソンも、「自由を構築するには、アメリカの建国の祖たちがやったように、サービスやプロダクトのエコシステムを何らかのアーキテクチャの上に築く」ことだってできる。法務パーソンもまた自由を守るアーキテクチャ構築を支援することができる。

つまり、サービス、プロダクト、取引群、一つ一つの取引という各エコシステム内の規制形態のアーキテクトになることはできる。むしろ、既に法務は何かしらのアーキテクトである。特定のエコシステム内での、自由を設計することができる。法務パーソンは、夢を見るまでもなく、現実におけるアーキテクトだ。

個人のお客様には、少なくとも、エコシステム内で心地良く、自由に活動してもらいたい。法務パーソンがアーキテクトとなれば、その世界を作ることも可能だ。

アーキテクトが、各サービス、各プロダクトでたくさん産まれ、各アーキテクトによる安全安心のエコシステムが日本や世界に増えていけば、より良い社会になるだろう。

また、法務パーソンは、法務に関するアルゴリズム・処理手順の設計者でもある。私自身、アルゴリズムの設計・開発を念頭に、仕事に取り組んでいきたいし、そのアルゴリズムを法務パーソン同士で共有し、法務としてのオープンイノベーションを可能な範囲で進めていきたい。具体的な事案は共有が難しいが、アルゴリズムそのものをオープンイノベーションの対象とすることは、比較的やりやすいのではないか。

処理手順のアルゴリズムがあれば、余裕ができ、法やルールに向き合うだけではなく、関係するステークホルダーである「人」や「人が作り出す事業や取引」に真に向き合うことができる。

私自身、法やルールの専門家であるとともに、「人」や「人が作り出す事業や取引」の専門家でありたいと思っている。

お次(12月6日)は seko_lawさんです!よろしくお願いします!

参考図書など

▼松尾 陽 (編集)『アーキテクチャと法』
▼雨宮 美季、片岡 玄一、橋詰 卓司『【改訂新版】良いウェブサービスを支える 「利用規約」の作り方』
▼キャス・サンスティーン『選択しないという選択』
▼ローレンス・レッシグ『CODE VERSION 2.0』
▼マイケル・サンデル『これからの「正義」の話をしよう』 
もともと本記事を書こうと思ったきっかけの一つは、①公表・告知(notice)、②同意・選択(choice)、③正当な利益、④それ以外のうち、「④それ以外」の手法を模索したかったからだ。「同意を基盤とすることを否定したヒューム」(234頁)という言葉はヒントになりそうだが、現時点においては、企業と個人との間における同意に代わって、有効に機能する手段は見つけられなかった。

また、『これからの「正義」の話をしよう』には、リバタリアン、自己所有権との関連でプライバシー権を考える上で参考になる記述もある(116頁)。

▼大屋雄裕『自由か、さもなくば幸福か? ──二一世紀の〈あり得べき社会〉を問う 』
「客観的な公平性という価値によって契約の内容を制約することをやめ、自由な個人の判断を(それがどれほど他者から不思議に思われたとしても)尊重すること。筏津やホロヴィッツによればそれは、社会の始まりから当たり前の事実ではなく、ある時点においてあえて選択され、導入された原理だった」(37頁)。①公表・告知(notice)、②同意・選択(choice)以外の手法を考える際のヒントになるかもしれないと思い、ここに記載する。なお、『これからの「正義」の話をしよう』においても、同意と公正についての記述がある(第6章 平等の擁護 ジョン・ロールズ 239頁)。

▼団藤重光『法学の基礎』
▼ダニエル・J・ソローヴ『プライバシーの新理論』
▼Daniel J. Solove "INTRODUCTION: PRIVACY SELF-MANAGEMENT AND THE CONSENT DILEMMA"
▼ジェフ・ ジャービス『パブリック ―開かれたネットの価値を最大化せよ』 
プライベートとパブリックという概念の対比について理解できる本。一見、個人情報をパブリックにする、オープンにするのが悪で、プライベートにしたままにする、クローズにするが正だという風潮があるように、私は感じるが、その風潮を冷静に見させてくれる一冊。

▼岡村 久道『情報セキュリティの法律 [改訂版]』
▼パーソナルデータ+α研究会『「プロファイリングに関する提言案」、および同「付属 中間報告書」』 https://www.shojihomu-portal.jp/nbl1137pc
▼山本龍彦「インターネット時代の個人情報保護:実効的な告知と国家の両義性を中心に」
▼板倉陽一郎「プライバシーに関する契約についての考察」 http://www.soumu.go.jp/main_content/000642596.pdf
▼伊藤計劃 『ハーモニー〔新版〕』
▼宮下紘 『EU一般データ保護規則』
▼板橋悟『ビジネスモデルを見える化する ピクト図解』
▼板橋悟「「ピクト図解メソッド」と「ビジネスモデルキャンバス」 を連動したビジネスモデル設計技法」 https://umtp-japan.org/pdf/mf2015/mf2015_itahashi.pdf

おまけ1 プライバシーとナッジ

現状の延長線上で、ナッジをプライバシーの文脈で、効果的に利用するのは難しいように思った。もちろん、カーネギーメロン大学の研究グループで取り組んでいる「プライバシー・ナッジ」(慶應法学. No.33(2015. 10), p.187「インターネット時代の個人情報保護:実効的な告知と国家の両義性を中心に」)は効果的なものが含まれているはずなので、調査して、使えるものは使っていきたい。

それでは、現状の延長線ではなく、プライバシー保護の文脈でナッジを使う方法はないだろうか。未来のプライバシー保護を妄想してみたい。『CODE VERSION 2.0』「第11章 プライバシー」に、プライバシーについての記載があり、特に、315頁以降で、レッシグは「データのコントロール」を記述している。それに着想を得て、以下の記載をしていく。「車輪の再発見」になるかもしれないが。

登場プレイヤーは、個人のAさん、個人のAさんに100%寄り添う「プライバシーエージェント」のPA社(Don't Be Evilな会社だ)、そして、個人向けにサービス提供をするX社である。

X社はプライバシーポリシー(「企業側プラポリ」)を公表していて、①標準フォーマット化され、②コード化された結果、マシンリーダブルな状態で記述されている。PA社は、サイトクローリングして、X社を含む公開企業側プラポリを取得する。

一方で、個人のAさんは自身の情報の扱われ方を記載した情報コントロールステートメント(「個人側コンステ」)をマシンリーダブルな状態で記述する。そして、個人のAさんは、個人側コンステをPA社に提供する。このタイミングで、PA社は、Aさんに対して、リスクや危害についての説明を文書、必要であれば、口頭・対面で行う。もちろん、コンステをAさん自身だけで作るのは難しい場合があるので、デフォルトのコンステをPA社は用意しておく。もちろん、プライバシー保護寄りのデフォルトだ。もし、個人のお客様から求められたら、プライバシー保護の強度に応じた三種類のデフォルトコンステから選んでもらう。

以上で、企業側プラポリも、個人側コンステも、①標準フォーマット化され、②コード化された結果、マシンリーダブルな状態で記述されたことになる。

PA社は、Aさんの個人側コンステとX社などの企業側プラポリを、PA社のデータベースに蓄積しておく。PA社のアプリを使い、Aさんが、X社のサービスの利用規約とプラポリに同意するときに、マッチングさせ、X社の企業側プラポリ強度を測定し、個人側コンステと比較して、プライバシー保護強度が高ければ、何のお知らせもなく、スムーズにX社のサービスを利用できる。一方で、個人側コンステと比較して、プライバシー保護強度が低ければ、PA社はAさんにナッジする。

Aさんに対して、Aさんが利用しようとするサービス全てから、「本当にプラポリに同意しますか?」とナッジされたら、Aさんの時間も注意力も浪費してしまうが、PA社からAさん自らが設定した個人側コンステに基づいてナッジされるのであれば、許容できるのではないか。

一方で、PA社は、各サービス提供会社のプラポリ強度の絶対値と各個人のコンステから導き出されるプラポリ強度の相対値は分かることになる。例えば、PA社が、X社などの企業側プラポリのプライバシー強度を公開することも可能だ。各社のプラポリのプライバシー強度が公開されることによって、著しくプライバシー強度が低い企業は、社会からの要請に応えて、正常化されていくのではないか。

また、X社は、その公開されたレポートに基づいて、プラポリの見直しが可能だ。もし、X社が、PA社に依頼すれば、PA社が定期的にナッジしてくれる。X社がプラポリを変更することになれば、X社の各種アーキテクチャと運用を変更する必要があり、PA社はX社に対して、コンサルティングを行い、アーキテクチャの設計、実装の支援を行う。

PA社は年に1回、Aさんに対して、コンステの見直しをナッジすることもできる。

大きな法令改正があった場合に、PA社がAさんやX社に、その旨をナッジすることも可能だ。

以上、妄想だが、プライバシーの文脈でナッジを使う方法を考えてみた。

おまけ2 世界各国の法令調査

個人情報関連の法令やプライバシーの法令については、自国の法令や判例だけを見ていても抜け漏れが出る。現時点で、自国の法令や判例で権利となっていないからといって、それを気にせずに進めてしまうのは、通用しなくなってきているように感じる。

やはり、「人」に注目して、「人間の本性」を見つめる必要がある。自国の法令や判例だけを見ていても、「人間の本性」は分からない。法令よりも比較的変化しにくいのは、「人間の本性」だと個人的には考えている。そのための一つのツールとして、海外法令の調査がある。

各国の法令を調べる際に、「人間の本性」を垣間見るために必要な切り口の例は、以下の通りだ。

- 基本原理や目的
- 基本原則や目的から導き出される権利
- 危害を発生させそうな行為類型
- 危害の類型

調査するときに、ついつい要件効果に着目して、調べてしまうが、上記についても調べたい。

特に、海外の法令を調べるときに大事なのは、どんな基本原理や目的に基づいて作られているのか、ということだ。また、目的を調べる上で大事なのは、表の目的と裏の目的を考えることだ。「誰が得をするのか」、「誰のどんな損、誰のどんな危害を解消することを想定しているのか」という2軸で考えると、目的がおぼろげながら見えてくる。そして、それらは誰の思惑なのかも調べたい。まずは、自分自身で目的や基本原理の仮説を立て、その後、条文や書籍等にあたって、その目的、基本原理、趣旨を確かめることが大事だ。

シャーロックホームズではないが、何があるかより、何がないかが大事だ。書籍や雑誌記事では、各法令の手続き上の義務が列挙されているものが多いが、それに加えて、目的、趣旨、基本原理を項目を保持している表は、あまり目にしない。互いに、できるだけ公開していき、さらにその次の世界を創るようになったら良いと思う。

また、手続き上の要件に加え、基本原理、目的、趣旨などの項目について、各国の法令を比較し、その結果を、標準フォーマット化して、コード化して、マシンリーダブルにできれば、さらに活用範囲が広がるだろう。まずは、法令の構造を比較して、共通項を見つけることが必要なのかもしれない。

[2019/12/12追記]サインのリ・デザインbyCLOUDSIGNの記事「利用規約への「同意疲れ」—その原因と対策」

サインのリ・デザインbyCLOUDSIGNの記事「利用規約への「同意疲れ」—その原因と対策」に、①「デジタルクーリングオフ」制度と②「試用に基づく追認」についてのアイデアが出ていたので、ここで取り上げてみたい。

共通して言えると感じたのは、a プライバシー保護に配慮しつつ、b 個人の時間・注意力という限られた資源を浪費させず、c サービスの便益を個人が即座に受けられるようにし、d 実際にサービスを利用してもらい、便益の大小を肌で感じてもらうことで、本人にとっての選択体験を有意義なものにするという点。

また、①「デジタルクーリングオフ」制度において、以下の記述がある。この点、私の常識は、「消費者による「同意」のタイミング」と「企業による「個人情報の利用」のタイミング」を一致させるというものでしたが、これらのタイミングをずらすという概念(「タイムシフト」、「タイミングシフト」と言いましょうか)を興味深く捉えました。「デジタルクーリングオフ期間が経過するまで、企業側は処理を進めず保留するような自制的な対応」という点が特に大事だと思った。

難しいのは、消費者のプライバシーや著作者人格権等の権利利益に関わる同意だった場合 です。特にプライバシーは、同意にをもとに企業が処理をすすめてしまうと、回復不能なダメージが発生する可能性があります。こうしたものについては、デジタルクーリングオフ期間が経過するまで、企業側は処理を進めず保留するような自制的な対応が求められます。

加えて、以下の分類のうち、「④それ以外」のようにも捉えられるが、「②同意・選択(choice)」の発展形としても捉えられるだろう。つまり、「②同意・選択(choice)」は、2-1「障壁が高い同意・選択」と2-2「障壁が低い同意・選択」のうち、2-2を使った手法だと捉えた。

プライバシー保護を目的にすると、個人情報の利用について、デフォルトが「障壁が低い同意」というのは一見あり得ない選択肢だが、デフォルトを「障壁が低い同意」としつつも、プライバシー保護ができるという逆説的なアイデアが「サインのリ・デザイン」だと感じた。

①公表・告知(notice)、②同意・選択(choice)、③正当な利益、④それ以外のうち、「④それ以外」の手法

さらに、「d 実際にサービスを利用してもらい、便益の大小を肌で感じてもらう」という点は、Soloveさんが論文でCognitive Problemsと言っている問題を乗り越える手段として、優れていると思った。プライバシーに関する文書を読んで理解するのは難易度が比較的高いが、体験を通して理解するのは比較的難易度が低いというのは、直感的にはその通りだと考える。「【道具6 5感を使った情報提供の方法 視覚、聴覚、触覚、味覚、嗅覚】」として、私は記載をしたが、5感を総合的に使った情報提供だとも捉えることができる。

②「試用に基づく追認」については、個人にとってはクーリングオフ、企業にとってはクーリングオン(つまり、冷却期間を置いた個人情報の本格的な利用開始)という発想だと捉えた。このあたりも道具箱に道具として取り入れよう。

繰り返しになるが、取り分け面白かったのは、同意のタイミングただ一点に集中する傾向があるが(少なくとも私はそうだった)、「時間」という概念を取り入れ、「時間のずらし」というコンセプトを興味深く捉えた。Soloveの論文では、"B. Future Directions"として、"3. Adjusting Privacy's Timing and Focus."という時間軸についても触れられているようなので、調べてみたい。

読み解き切れていない点、誤解している点が多々あると思うが、気付いた点を、取り急ぎ、上記の通りまとめてみた。このような対話を繰り返しながら、「正解を追う」 by @katax さんを実践していきたい。

以上


この記事が気に入ったらサポートをしてみませんか?