2020年のデータビジネスで起きる個人情報の変化とは？

2019年は皆さんにとってどのような一年でしたか？

平成から「令和」に年号が変わり、社会の雰囲気は少しづつ変化してきているのではないかと思います。

国際情勢はイギリスのBrexitを始めとした分断の話や、中東、米中間の貿易関係など変化の兆しが見える一年だったと思います。

ビジネスの面に目を向けてみると、米GAFA（GAFAMの方が良いかもしれません）と呼ばれるテクノロジーの大手企業を巡る動きと、中国系のネット企業の躍進も非常に注目が集まっています。

デジタル技術の進展が加速度的に進む中で、これまではテクノロジーを中心とした攻めのビジネスに関する議論が非常に盛んに行われていたのではないかと思います。

DX（デジタルトランスフォーメーション）など既存産業でもAIやIoT、ブロックチェーンを始めとするデジタル技術を活用した取り組みを進めたい動きは徐々に広がりつつあるのが現状です。

デジタル技術がこれからさらに社会に浸透する一方で、私たちの日々の行動はデータとして企業に蓄積されて行くことになります。

データが企業の新しいアセットとして陣取り合戦が行われているのですが、ここにきてデータを主軸としたビジネスモデルに新しいルールメイクの波が訪れようとしています。

その一つが2018年5月25日に欧州で施行されたGDPR（一般データ保護規則）と呼ばれる基本法による個人情報に関連する規制です。

これまで欧州域内で23ヵ国163件の罰金に処する事例が発表されています。（2019年12月27日現在 GDPR Enforcement Trackerより）

そして罰金の総額は4億1800万ユーロ（日本円で約512億円）を数えるまで拡大してきています。

罰金の大多数は大手企業における事例がほぼですが、今後管理体制などが整って行く事によって、さらに数多くの事例が増えて行くだろうと予測されます。

これは対岸の話ではなく、アメリカのカリフォルニアでは一部類似したCCPA（消費者プライバシー法）が2020年1月に開始する事に加えて、画像認識など各分野でのデータの取り扱いに関する規制及び議案の提出が入り始めています。

日本でも個人情報保護に関する話はリクルートの内定辞退率情報に関する取り扱いを始め情報に関する議論はより注視されて行くだろうと考えられます。

今回はこれまでとは少し違った2020年以降注目が集まるデータビジネスにおける守りの観点から、ポイントを絞って紹介して行きたいと思います。

個人情報とプライバシーに関する議論と歴史

個人情報に関する議論で良く引き合いに出される言葉としてプライバシーと呼ばれる事があります。

プライバシーに関する定義と歴史は様々な説で語られる事がありますが、個人的に最もわかりやすいと思っている表現は "パブリシティを前提とした個人に帰属する権利" というものです。

これは、私たちが表現者であるという前提に立ち、一般に周知される中でどこまでの範囲であれば一般に対して公表を認めるのかという意味合いを表現しています。

米国での議論を中心に見ていくとこの考え方は1800年代後半に誕生したもので1800年中期から後半にかけて人々がテクノロジーの進歩によって表現者になり得る事ができるようになった事からスタートします。

当時、技術の発展により一般の人たちでもスナップ写真を容易に街中で取る事ができるようになり表現者として人々は自らの情報を世の中に残す事ができるようになりました。

ジョージイーストマンが1888年に発表したカメラブランド "コダック"は特別専門家の知識を必要とする事なく、一般の人たちでも持ち運び記録を残す頃ができる技術として大衆に支持される事になります。

（出典：before the brownie: the first Eastman Kodak camera (circa 1888)）

カメラ技術の進展によってこれまで特定の人たちに限定されていたパブリシティという概念は大衆にまで浸透して行く事になります。

写真の技術に加えて、雑誌や新聞など印刷技術の進展に伴い人々のパブリシティの概念はより広範囲に広がって行く事になります。

興味関心はゴシップ雑誌と呼ばれるような人々の生活を垣間見るようなものに移り、"イエロージャーナリズム"と呼ばれるものが誕生します。

"パブリシティ" は一つの広告塔として機能するようになり、大衆に向けて発信するメディアとして成長して行く事になります。

この現象により多くの人々が過度のパブリシティにさらされる事になり、個人の抱えるパブリシティの範疇外での個人の情報の公開や乱用なども行われるようになります。

それに伴い裁判所ではパブリシティの範囲に関する裁判が数多く行われるようになり、カリフォルニアでは1899年に個人の許可なくパブリシティを公開する制限を要求する法律が通過しています。

渦中、弁護士のサミュエル・D・ワーレン氏、元アメリカ連邦最高裁判所判事ルイス・ブランダイス氏は "The Right to Privacy"と呼ばれる記事をハーバードローレビューで発表しています。

そこには、"right to be let alone"（「個人の肉体及び精神の自由の不可侵の権利」）という言葉を残し、言論や表現の自由はプライバシーの権利から派生するものとして表現しています。

その後、様々な形でプライバシーに関する法規制や認証機関含めた制度的な仕組みが誕生して行く事になります。（詳細は堀部政男先生のインタビューに詳しく掲載されています）

プライバシーの概念自体が各国やバックグラウンド、世代によっても大きく異なる事は間違いありません。

そしてパブリシティに対する権利の主張とプライバシーに対する権利の主張は時代が変わる事に行われています。

ただ、歴史上私たちがリアルな世界で歩んできていたプライバシー権利の議論がインターネットと呼ばれるデジタル空間でも起こり始めている事が事実で、マスパブリケーションとしての機能がより広がる事によって新たな課題が生じ始めています。

GDPRとこれまでの動き

ここから一気に現代社会に戻って、インターネット時代の個人情報の話を始めたいと思います。

欧州では世界に先駆けて新たなルール作りを始めていますが、その発端として95年にデータに関する取り決めを行なっています。

EUデータ保護指令と呼ばれる指令が1995年10月24日に採択され、1998年の10月24日に欧州で発行されました。

ここでは、プライバシー権利の保護と自由なデータ流通を目的としており、昨年発表されたGDPRと比較すると限定された範囲で、企業への説明責任などを含めて基本的な考え方として導入された経緯があります。

以降、インターネットの加速度的な拡大、スマートフォンなどのモバイルデバイスの普及によって人々はデジタル空間に触れる機会が非常に多くなりました。

それにより人々の活動データはより広範囲にログとして記録され、インターネットと人、そして物がつながる社会へと変化して行く中でよりプライバシーに対する考えを強化する動きへと変化して行く事になります。

技術を中心とした社会全体の変化の中で、2018年5月25日にGDPRが欧州で施行される事になり数多くの域内外の企業が対応に迫られる事になります。

GDPRの法律に関する細かい内容は専門家、専門書に譲る事として、ビジネスの側面から現在GDPRに関してこれまでどのような動きがあったのかをデータで整理したいと思います。

まずはGDPR Enforcement Trackerから各国で発生している罰金に関する事例を取り上げてみたいと思います。

2019年12月27日現在で163件の事例が報告されており、国別の件数ではスペインの38件が最多で、次いで2位がドイツ、ルーマニアで17件、4位がハンガリーの14件、5位はチェコの11件という結果になっています。

（出典：著者作成グラフ）

一方罰金額で見ると件数とは別に大手企業が所在する国に偏っている事がわかります。

（出典：著者作成グラフ）

1位はイギリスの315,310,200ユーロ（日本円で約385億円）、2位はフランスの51,100,000ユーロ（日本円で約62億円）、3位はドイツの24,620,725ユーロ（日本円で約30億円）となっています。

イギリスは件数で見ると3件しかないのですが、トップのブリティッシュ・エアウェイズにおける顧客情報流出で250億円、マリオットへの135億円の制裁金がほぼ全てを占めています。

顧客50万人の情報流出でブリティッシュ・エアウェイズに250億円の罰金 | TechCrunch Japan

英当局、マリオットにGDPR違反の制裁金135億円--顧客情報の流出で

罰金に関してはGAFAと呼ばれるネット大手に関しては12月27日時点でGoogleのみが報告されている状況で、2019年10月にアイルランド当局からFacebook、Twitterに関する調査が入る旨の報道がありましたが進展はない状況です。

Twitter and Facebook could be facing billions in fines after Ireland investigations

ここから分かる事は、特に大手企業中心に個人情報の取り扱いを重要視する必要があるのは事実なのですが、一方で大多数は大手企業以外の企業が対象になっているという事がポイントです。

さらにGAFAと呼ばれるネット大手企業だけでなく、域内企業に関してはどの企業に対しても適応されるという点（GAFA対策だけではない点がポイント）です。

罰金額のランキングで見るとネット企業は3位のGoogleがランクインしていますが（約62億円）、航空会社やホテル、郵便などネット企業以外での罰金が数多く見られます。

今年FTC（連邦取引委員会）がFacebookに課した5400億円と比較するとネット企業への被害は大きなものではない状況です。

フェイスブック、罰金５４００億円か　個人情報流出問題：朝日新聞デジタル

大手企業の情報流出のインパクトは売上金に対して掛けられるので非常に大きいのですが、その他の中堅中小企業にとっても重要な問題になります。

さらに、163件のうち約半数の81件が2019年6月以降（施工から1年後以降）に確認（金額は全4億1879万ユーロのうち、2019年6月以降で3億6605万ユーロ）されており徐々に審査含めて厳しくなっているだろうと予測されます。

次にどの項目が罰金の対象になっているかを確認したいと思います。

（出典：著者作成リスト）

今回は敢えて二つの項目に色をつけてみました。以下の二つの項目が今回の罰金に関して大きな影響を与えているものになります。

・Insufficient legal basis for data processing

・Insufficient technical and organisational measures to ensure information security

Insufficient legal basis for data processing（データ取り扱いの不透明性）に関しては1月にGoogleがフランス政府より制裁金を要求されています。

フランス規制当局がGoogleに約62億円の罰金。プライバシー情報に関する説明の不透明性などがGDPR違反 - Engadget Japanese

Engadgetの記事よると "Googleが個人情報の取り扱いの説明について透明性と明確さを欠き、広告のパーソナライズ（ユーザーの興味や関心などに基づいたターゲティング広告）に関してユーザーの同意が適格に得られていない" とされています。

これはユーザーの情報の許諾における同意をポイントとして規制当局から指摘を受けている事例です。

一方オーストリアポストは個人情報を政党向けに販売しているとして、今年の10月に制裁金を受けています。

オーストリアの郵便会社、個人情報を政党に販売 批判集まる

データを取得する際の合意内容及び活用方法の説明責任に関しては大きく問われるポイントの一つです。

Insufficient technical and organisational measures to ensure information security（個人情報を安全に管理する）に関しては先に紹介したブリティッシュエアラインやマリオットのケースが挙げられます。

こちらは個人情報の管理に関する必要性を説明しており、情報管理のガバナンス、技術的な解決策が求められます。

最後にNon-compliance with general data processing principles（データの取り扱いに関する規則へのコンプライアンス違反）に当たるとして、ドイツの不動産会社ドイチェ・ボーネン（Deutsche Wohnen）が制裁金を受けています。

ドイツのデータ保護監督機関がGDPRの統一的監督ルールに合意(ドイツ) | ビジネス短信 - ジェトロ

ジェトロによると "雇用契約や所得などを含む過去の顧客個人情報を不必要に保持し続けたことから1,450万ユーロの罰金を科せられた" とのことで改善勧告がされているにも関わらず対応を怠った場合に制裁金が発生するケースもあります。

その他にもスペインのラ・リーガはユーザーからのアプリを通じた情報取得に関する不透明性から250,000ユーロの制裁金を求められています。

La Liga Handed $280,000 GDPR Fine For 'Spying' On Fans Watching Pirated Streams

フランスではコールドコールと呼ばれる営業電話に関して、オプトアウトの要求があるにも関わらず対応を行なったとしてFutura Internationale社に制裁金が課せられています。

French Regulator Fines Futura Internationale €500,000 for Infringements of the GDPR in Connection With Telephone Advertising Campaigns | Cleary Cybersecurity and Privacy Watch

このように日本でも横行しているような個人情報の取り扱い事例に関して、いくつか制裁金が課せられるような取り組みが出てきており、GDPRがそのまま適応される事はないにせよ注視が必要です。

では最後に国ごとの項目の違いに関して比較していきたいと思います。

（出典：著者作成グラフ）

こちらはスペイン（機関：スペインデータ保護機関）のデータ。

項目としては "Insufficient legal basis for data processing" が最も多い事がわかります。

一方でこちらはドイツ（機関：連邦コミッショナー）のデータ。

（出典：著者作成グラフ）

スペイン同様に"Insufficient legal basis for data processing"が多い事がわかりますが、"Insufficient technical and organisational measures to ensure information security"も同率で並んでいます。

（出典：著者作成グラフ）

フランス（機関：CNIL）に関しては数が比較的少ない事もありますが、 "Insufficient technical and organisational measures to ensure information security" が最も多い項目になっています。

このようにGDPRによる制裁と言っても国ごとに機関が異なるため、審査基準等にバラツキが出てくる傾向にあります。

この辺りは非常に重要なポイントです。

これまでの制裁金にまつわる事例から以下の内容が推測できます。

１、GDPRへの準拠に関しては気づいていての対応への遅れ、故意ではないケース、応答などが行われていたとしても制裁が行われる

２、虚偽の対応、及び故意、露骨な規則への違法性が疑われる際の制裁金は非常に厳しい

３、個人データの取り扱いを軽視する企業に関しては非常に厳しい対応が行われる

４、一方で早急な対応、情報公開に対する姿勢によっては一部制裁に関して猶予が与えられる

これまで欧州ではGDPRヘの対応を進める9万の事業社からのデータ漏えいの通知を受けており、14万5000件の問い合わせを欧州域内の住民から受け取っている状況です。

GDPRに関しては先行して事例や取り組みのナレッジも溜まりつつあるため、今後参考にしながら新しいルールの枠組みづくりなどを追っていくことも重要になります。

GDPR以外の個人情報にまつわる動き

昨年からスタートしているGDPRは既に数多くの制裁金事例なども出てきているため表立って取り上げられる事が多いのですが、GDPR以外でも個人情報に関連した規制は広がり始めています。

CCPA（カリフォルニア消費者プライバシー法）

特に私たちのビジネスに直結する動きとしては、カリフォルニア州で2020年1月からスタートするCCPA（消費者プライバシー法）には注目です。

こちらはGDPRと比較すると異なる部分も多々あるため、各企業はどちらの法にも沿った形での対応を行うか、個別にそれぞれ最適化して対応するかを求められることになります。

GDPRとCCPAの違いとしては主に以下の点が挙げられます。（2019年発行Legal Wire参考追記）

・GDPRでは対象者をEU域内にいる個人と設定しているのに対して、CCPAではカリフォルニア州の住民である個人に限られる

・GDPRの個人データとは識別されうる個人に関するあらゆる情報と定義しているのに対し、CCPAではカリフォルニア州の住民もしくは世帯に直接、間接的に結びつく情報としている（情報の特定範囲の違い）

・CCPAの場合対象は営利企業で、2500 万米ドル超であるか、5 万人を超えるカリフォルニア州の住民の個人データを処理している、他方GDPRは非営利企業にも適応

・CCPAでは企業が個人データの売却を行っているか否か及び売却先となる第三者のカテゴリーについて記載が必要（売却とはデータを交換することによって何かしらの価値を対価として受け取る）

・CCPAではGDPRと異なり前12ヶ月以内に収集されたデータに限定して個人情報の削除権をユーザーに認める

・CCPAでは個人の具体的な個人データの提供に加えて、収集の運用に関しても開示が必要

・CCPAでは消費者向けに無料のオプトアウトの方法を設置し、ウェブ上でリンクの設置が必要

・CCPAはカリフォルニア州司法長官のもと違反が起きた際には一件あたり2,500米ドル（意図的な場合は7,500ドル）の罰金請求が可能で、消費者は1件あたり100から700ドルの賠償金請求が可能

など個人情報保護法の文脈でも大幅に違いが出てきています。

CCPAに関しては2020年1月より開始となるため、判例含めていくつか2020年内には動きがあるだろうと考えられます。

活動家のAlastair Mactaggart氏率いるCalifornians for Consumer Privacyでは、来年のスタートに先駆けてより法的な要求を強化していくよう訴えています。

Activist Behind California’s New Privacy Law Already Wants to Improve It

ここでは、629,000人のカリフォルニアの住民が署名しCCPAの成立まで至っている経緯があり、今後対応によってはより厳しい内容が要求されるのではないかと議論が起こっています。

CCPA以外にもプライバシー関連の法案に関してはいくつか動きが起きています。

Commercial Facial Recognition Privacy Act（商用顔認識プライバシー法）

そのうちの一つが顔認識技術の商用利用を監視監督する法案であるCommercial Facial Recognition Privacy Act（商用顔認識プライバシー法）です。

この法案では消費者に向けて事前に情報取得を行なっている旨を通知することに加えて、同意なく企業が第三者へ情報を提供することを制限しています。

連邦取引委員会（FTC）とアメリカ国立標準技術研究所が定めるセキュリティ及び、データ取り扱い基準が要求されるようになります。

現時点では法案が提出された段階で上院も通過していない段階ではありますが、今後似たような法案に関しては検討が進んでいくだろうと考えられます。

SHIELD法

これ以外にもニューヨークではSHIELD法と呼ばれるデータ侵害通知法及びデータセキュリティの要求に関して大幅に変更が加えられる動きがあります。

こちらは法の元以下の新たな要求が加えられます。

・プライバシー範囲の拡大（顔認証情報やユーザー名、パスワード情報の組み合わせ情報など適応範囲が拡大）

・データ侵害範囲の拡大（これまでは非認証データ取得に限られていたが、非認証データへのアクセスまで適応範囲が拡大）

・適応事業者の範囲拡大（これまではニューヨークを拠点に展開するビジネスに限られたが、今後はニューヨークの住民のデータを扱う企業へと拡大）

これ以外にも各国で様々な個人情報関連の動きは出てきており、2020年以降各企業に求められる情報の取り扱いは大きく変化していくだろうと考えられます。（JCICさんのコラムに詳しいです）

個人情報保護の流れに対しての各企業の対応

これまで個人情報関連の法律に関する変化と、罰金含めた状況に関して整理を行ってきました。

CCPAなど直前に控えている新たな動きに対して各社様々な対策を始めています。

DPO（Data Protection Officer）の設置

GDPRではDPOと呼ばれる役職の設置を特定の事業者に関しては要求しています。

GDPRの第38条では、DPOが「個人データ保護に関するあらゆる問題に対して適切かつ適時に関与する」ように管理者及び処理者への要求として定められています。

DPOはデータガバナンス設計の初期からの関与が求められていて、定期的に内部のデータ管理オペレーションへの関与を行うことが要求されています。

さらにDPOは個人情報管理に関しての責任を持つため常に最新の情報及びガバナンス態勢を理解し、社内の個人情報管理に纏わる業務の遂行を行うことが要求されます。

DPOは第三者的な視点でのデータガバナンスに対する助言、及び視点での運用も求められるため一定の処罰に対する免責も行われています。

一方でGDPRの元でのデータガバナンスに関する責任者は管理者である企業に求められるため、DPO自体の役割は直接的な責任とは分離する形になります。（その他の内容は個人情報保護委員会の訳文に記載されています）

現在欧州委員会の登録ページから確認できる数値では現在手続き中の登録も含めると1033件登録されています。

技術的解決策

Googleなどの企業はCCPAに備えて特に広告モデルに関して技術的要素の開発を進めています。

特にGoogleでは以下の3つを定義として技術的なガバナンスを強化しています。

ユーザーに向けたデータ取得及び広告等への利活用の透明化

ウェブ上でのユーザー体験に関してユーザー自身に選択権を提供する

ユーザー自身が広告を含めたデータ利活用に関してコントロール権を持つ

特に第三者へのデータの提供に関してCCPAでは厳しく制限をかけているため、広告のビジネスモデルには非常に大きなインパクトが予測されます。

技術的には以下の3つの要素に関して開発を進めており、ユーザープライバシーを担保した形での広告モデル（新たな計算モデル）の実現に向けて取り組みを行っています。

・Federated Learning（分散した学習データを処理可能な統合的機械学習）

・Differential Learning（差分プライバシー）

・Homomorphic encryption（準同型暗号）

Googleは早期にCCPAに向けたガイドラインの発表を技術者だけでなく、広告主、パブリシャー等への啓蒙を行なっており幅広く対策を行なっています。

フレームワークの開発

CCPAに関してはデジタル広告分野に関するビジネスへの影響が非常に大きいと懸念されています。

IAB（インターネットアーキテクチャ委員会）ではトランスペアレンシー＆コンセントフレームワーク（Transparency & Consent Framework：透明性と同意の枠組）を通じGDPR、CCPAに適応したフレームワークを発表するとともに各企業に対して積極的に活用するように働きかけを行なっています。

ここには大手パブリシャーや広告系の企業が参加しGDPR等含めた規制に対する適切なフレームワーク作りを進めています。

GDPRに関してはGoogleによる一部参加が遅れるなど歩調を合わせる上で課題も発生していました。

Google 、 IAB による GDPR 準拠の枠組みへ 3月から参入：「 TCF 2.0 」導入の後に | DIGIDAY［日本版］

GoogleとTCFの枠組みの二つが共存する環境になっていたため、議論の場を通じて一つに集約するように話を進めています。

これによってユーザーと広告企業との契約をシンプルに締結できることと、ユーザー向けの透明性の担保、オプトアウトの対応などを効果的にできるようになると期待されています。

CCPAに関してTCFのフレームワークで紹介されている取り組みには以下のような例が挙げられます。

・ユーザーがダイレクトに広告主にアクセスできる問い合わせフォームの提供

・“Do Not Sell My Personal Information”クリックの仕組みを統一しデータの第三者提供に制限をかける

このように各企業、業界団体ともに新たなフレームワークや組織作り、技術開発など様々な視点から対応策を模索している状況です。

一方でGDPRだけでなく、カリフォルニアのCCPA、他国、州ごとに個人情報規制が今後制定されていくこと考えると非常に大きなコストになることも事実です。

カリフォルニアのCCPAに関しては州法とは別に一部連邦法での制定に期待が集まっていますが、現時点では新たに法律が制定される動きはないため来年以降の運用でどのような結果になるか注目が集まっています。

個人情報に関する動きのまとめ

長くなりましたがここまで読んで頂きありがとうございました。

欧米中心に個人情報に関する議論は大きく進み始めており、中国とはまた異なる視点でデータの取り扱いに関する議論が巻き起こっています。

リアル空間のデータがさらにデジタル空間と結びつく社会へと変化していく中でプライバシーの問題はより一層議論されていくだろうと考えられます。

既に欧州では罰金などの判例に加えて、各国の機関が仕組みづくりを進めています。

現時点で認証機関は設立されていませんが、個人的にエストニアなどの弁護士団体と意見交換した中では、近い将来設立されるだろうという動きになってきているそうです。

そうなるとオペレーション自体も徐々に仕組み化していくので、データプライバシーに関して適切に対応しているかどうかが域内でビジネスを行う大前提になる時代は直ぐそこまで来ています。

データに関する一連のフローとそれにまつわるこれまでの動きを整理すると以下の図になるかと思います。

この流れは欧米だけでなく、東南アジアなどでも注目されていくだろうと考えられておりAPACを中心に2011年にスタートしたCBPR（日本ではJIPDECがアカウンタビリティ・エージェント）も盛り上がりつつあります。

少し長い文章になりましたが、2020年はブロックチェーンとともに個人情報対策元年にもなりそうなのでこの辺りはウォッチしていきたいと思います。

最後に今年一年色々とありがとうございました。

※一部法的な解釈を紹介していますが、個人の意見として書いているため法的なアドバイス、助言ではありません。

来年もCOMEMO記事を読んで頂けると嬉しいです。

↓↓↓

記事の内容やブロックチェーン×ビジネスに関するご質問はこちらまで!!

Facebookにログイン