見出し画像

私たちが知らないところで広がっているプライバシーリスク

Privacy by Design Lab(プライバシーバイデザインラボ)

欧米ではデータの利用目的から取得データを考える動きが少しづつ広がりつつあります。

今回は長年プライバシー業界に関わり、現在はプライバシーコンサルタントとしてデータ企業へのコンサルティングを行うDebbieさんにデータビジネスとプライバシーリスクの関わりをお伺いしていきます。

画像1

前回の記事はこちらです。(プライバシーが自分たちの権利であると考え始めた米国市民の変化)

Kohei: なるほど。ありがとうございます。個人データにまつわる事件を通じて、国民のデータに対する関心が高まった点はとても興味深いです。日本では2016年に起きた米国の選挙問題と比較するとさほど大きな関心は高まっていないと感じます。

プライバシーの権利はどこまで守られるべきか?

日本では米国ほど社会全体でプライバシーを重視する動きはまだ見られていません。「プライバシー」の解釈も米国と日本では根本的な考え方が違うと感じます。日本で議論になっているのはデータを活用したコロナ対策を進める中で、どこまで個人のプライバシーを守るべきかというテーマです。例えば自分がコロナに感染したことをどこまでの範囲で公開することができるのかという基準は重要なテーマだと思います。

コロナが蔓延して政府が個人の活動をデータで把握することを推奨し始めたことで、人々は自分のプライバシーをどこまで公開するべきか考える機会が増えたと思います。この現象はコロナによって日本や米国だけでなく世界各国で広がっています。

次の質問でDebbieさんにお伺いしたいことは、GDPRで定められているユーザーの権利のお話です。GDPRが施行されて3年が経ち欧州の企業だけでなく、米国を拠点に欧州へ展開している企業にもユーザーの権利保護が要求されています。

GDPRで定められているユーザーのデータ保護を実現するために、企業はユーザーの権利をどのように考える必要がありますか?

Debbie: そうですね。とても良い質問です。GDPRを先駆けにデータ保護法がいくつかの国や地域で誕生し始めています。各地域でデータ保護法が施行されたことにより企業は法律で求められるデータの透明性に取り組んでいくことが積極的に求められるようになりました。

図:各国で誕生するデータ保護法制度

画像2

企業がデータの透明性を示していくために個人データを「何のために利用するのか」という目的を定めた上で、目的に従ってデータの活用方法を決めることが求められます。

GDPRでは個人が主体となって企業へデータを提供するという考え方が根底にあるので、企業は個人から預かったデータをただのデータではなく、本人(人間)のように取り扱う必要があります。

銀行に例えて紹介します。銀行にあなたがお金を預けた場合にあなたはいつでも銀行に残高を照会してもらうことができますよね。もし銀行に預けたお金の残高情報を銀行があなたに開示してくれないとなると、あなたは銀行を不審に思うと思います

銀行と同じ状況をあなたのデータで考えてみてほしいと思います。銀行にお金を預けることと同様にあなたは自分のデータ残高がどうなっていて、自分のデータが何に利用されているのか気になると思います。

自分のデータが何に利用されているのか気になるあなたに対して、データをあなたから受け取った企業は銀行のようにデータがどのように利用されているか透明性を持って説明することが必要になります。加えて、データを提供した個人は銀行の残高照会のように自身のデータにアクセスできることが望ましいです。

図:銀行が提供する透明なデータ残高の話

画像3

GDPRが2018年に施行されてから企業や行政はデータを提供する個人の権利を守ることが企業に求められるようになりました。それ以来、個人は自分のデータがどのように利用されているのかデータの預け先(企業や行政)に確認することが権利として認められるようになりました。

Kohei: なるほど。カリフォルニア州では2020年1月よりCCPAと呼ばれるプライバシー法が制定され、対象の企業に対してオプトアウトが要求されるようになりました。ただ、プライバシー業界の方々の意見を聞いているとオプトアウトではデータを提供する個人にとって定義が曖昧で個人の権利を主張することが難しいと私は感じています。

カリフォルニアのケースに限らず米国内でプライバシー法を制定するための議論は様々な州で起きていると思いますが、米国国内でオプトアウトではなくオプトイン要求を求める制度が今後10年で成立する可能性はあるのでしょうか?

データのオプトインとオプトアウト論争

Debbie: 面白い質問ですね。米国の外に目を向けると欧州や欧州に類似したデータ保護を求めるいくつかの地域では米国とは異なり法律でにオプトインを強く要求する地域も存在します。 米国は他国とは異なりプライバシー通知を重要視する国で、オプトイン、オプトアウト関わらず複数の目的をまとめて同意してもらうために(包括同意)プライバシー通知することが多いです。

企業が利用者のデータを特定の目的のために活用するためには、米国でもユーザーにきちんと説明する必要があります。2020年にカリフォルニア州で施行されたCCPA(カリフォルニア州消費者プライバシー法)では企業にオプトアウト対応が求められています。加えて医療関連のセンシティブな情報に関してはユーザー同意が事前に求められます。

図:CCPAの施行によって企業にオプトアウトが求められる

画像4

カリフォルニアに加えて、米国の他の一部の州ではプライバシー法が成立しています。オプトインに関しては米国内のプライバシー法よりAppleが先駆けで導入した広告のトラッキング同意の仕様変更への反響が大きいですね。

(動画:アプリのトラッキングの透明性 | Apple)

AppleのiOS 14.5へアップデートしたユーザーはトラッキングの同意を選択できるようになるので、今後トラッキングに同意する利用者が大幅に減少した場合は利用者をターゲティングして購買を訴求する広告手法が通用しなくなっていく可能性がありますね。

プラットフォーム企業であるAppleの動きは全世界のデジタル広告業界に大きなインパクトがあると思います。

Appleのプラットフォームを通してアプリを提供している企業や個人開発者は世界中にたくさんいるので、Appleの仕様変更は世界中の開発者にとって大きなインパクトがあります。

Appleがプライバシーを強化する背景にはユーザーのプライバシーに対する考え方の変化と法規制の強化が根本的な理由として考えられます。Appleの仕様変更によってこれまで広告目的で活用していたユーザーのデータやデータブローカー等を通じて第三者に提供されているデータの取り扱い方も変化していくと思います。

Kohei: なるほど。Appleの仕様変更で利用者からデータを取得する企業や個人は新たな対策が必要になるのですね。特にデータを取得する目的を利用者がわかりやすく説明することが重要である気がします。

わかりやすいプライバシーポリシーの必要性

Appleの変更を見るとアプリのプライバシーポリシーにも言及していますが、アプリのプライバシーポリシーを利用者にわかりやすい理解してもらうことが今後重要になりそうですね。

利用者にわかりやすいプライバシーポリシーとは一体何かをテーマにした活動を私たちも取り組んでいますが、 プライバシーポリシーをテンプレートで準備するのではなく、利用者と企業がわかりあうためのとても大切な役割をプライバシーポリシーは担うことになりそうですね。

今まではプライバシーポリシーの内容がユーザーにわかりづらいだけでなく、ダークパターンと呼ばれるユーザーを騙すように強引に同意を取得するケースも容認されていたと思います。これまで当たり前と考えられていたユーザーがプライバシーポリシーに記載されている内容を理解していないにも関わらずデータを提供することに同意していると解釈すること大きな問題だと考えています。

Debbieさんのこれまでの経験からどういったプライバシーポリシーを設計すれば、ユーザーから十分に同意を取得することができると思いますか?

Debbie: これからのプライバシーポリシーを考えるために私はAppleが始めた動きに注目しています。Appleはアプリ開発者にプライバシーポリシーを準備することを要求していますが、GoogleもAppleと似たような動きを進めるだろうと考えています。

AppleやGoogleがプライバシー強化を進め、アプリを提供する企業や個人に対してもプライバシー対策を要求している理由は、プライバシー法の改正によってファーストパーティデータ所有者に対しての要求がより厳しくなっているからです。

先程と同様に銀行のビジネスを参考にデータを取り巻く規制による変化を考えてみましょう。銀行業を営む場合は業法の範囲でテキストデータを適切な方法で管理する必要があります。プライバシー法は適切に管理することだけでなく、データの所有者(銀行)に対してデータの管理者責任も求めています。

データの管理者責任で議論になるのがデータの第三者提供です。銀行の場合はATMを保有する企業がデータ提供先の第三者となり、銀行の代わりにATMを利用することで利用者個人のお金を下ろすことができる仕組みを提供しています。

銀行がATMを利用するためには、ATMサービスを提供する企業を選定しATMサービスを提供する企業が別の第三者へデータ共有制限を求める必要があります。

第三者へデータを提供するリスクを下げるために、銀行業を営むような企業はApple同様にデータを第三者へ提供することを厳しく制限する必要があります。もし個人情報には該当しない一般的な情報や匿名化された情報であれば第三者への提供は問題ありませんが、個人を特定できるデータの場合は同意が求められます。

図:データの第三者提供の問題

画像5

企業間やサービス間を越えてデータ連携を進める新しい動きが始まっていますが提供先の第三者で個人データを取り扱う際は十分に気をつける必要があります。

Appleの動きは企業が取得するデータを利用目的から考え、できる限り少ないデータでサービス運用ができるように促していくことで、ユーザーのプライバシーを守るための一つの解決策を提案していると考えています。

Kohei: ありがとうございます。第三者提供に関する問題は日本でもよく議論に上がるテーマですね。ユーザーから十分な同意を取得し、データの利用目的を理解してもらうかどうかはとても重要素だと思います。

続いてサードパーティークッキーやその他の関連データ対策に関してお伺いしたいと思っています。Debbieさんが取り組んでいるPrivacy Risk Indexは企業がデータ取得する際に参考になる指標だと思います。まずはPrivacy Risk Indexとは一体何かをお伺いしても良いでしょうか?

私たちが知らないところで広がっているプライバシーリスク

Debbie: もちろんです。Privacy Risk Indexは英国企業が開発した指標です。開発した英国の企業は医療機関や政府向けのサイト構築を行っていたので、データの取り扱いにはとても気を遣っていました。特にサイトからどのようなデータを取得するべきなのか慎重に検討していました。

サイト内に組み込まれたソフトウェアを通じて、ユーザーが同意した目的と異なるデータ利用の目的を掲げているサードパーティアプリへデータが共有されていることがあります。

ユーザーが企業のサイトを訪問した際にユーザーが同意したと認識していないにも関わらず企業は多くのデータをユーザーから取得しています。

ユーザーが提供したデータのライフサイクルをわかりやすく伝えるために開発したIndexは対象となるウェブサイトが個人のデータをどのように取得し、データを利用しているのかを確認できる設計になっています。

ユーザーがどのように自分のデータをサイト上で取得されているのか確認できる機能を準備していて、ユーザー以外にも外部のプライバシー専門家もウェブサイトがどういったユーザーデータを取得しているのかを確認することができます。

大切なことはウェブサイト上で取得されているデータが果たして取得して良いものかどうかを評価できることです。評価項目を通じてリスクを算定することで、訪問したユーザーにとって対象となるウェブサイトがどのくらいプライバシーリスクを抱えているのか確認することができます。

図:データの提供先を評価できる仕組み

画像6

評価項目の中には取得したデータがサードパーティクッキーであるのか、ファーストパーティクッキーとしてデータベースに保存されるのかも含めています。評価項目に従ってプライバシー専門家が良いか悪いか検証します。

私たちはIndexを導入しているクライアントに対して、「Indexを利用して検証した結果ユーザーへのプライバシーリスクが〇〇あります」、「これまでのデータ利用範囲を見直し、Indexで定められた範囲内で利用する必要があります」とアドバイスを伝えることもあります。Indexは毎月評価項目の見直しを行い、過度にデータ取得していると考えられる場合は企業のデータ取得方法の改善を行っています。

Indexを参考指標として企業が自ら改善を行なっていくことで、企業内でのプライバシー対策に関する姿勢が徐々に変わっていくことを期待しています。

Kohei: 欧州ではAI法案でリスクベースの考え方が用いられています。民間企業に限らずデータ活用を進めていく上で、事前のリスク検証がより重要になっていくと考えています。クッキーデータもこれまで以上に厳しく規制されていくと思います。

Debbieさんには企業がどのようにリスク分析を行えば良いのかをお伺いしたいと思っています。企業はデータビジネスを検討して運用する前にどのようにリスク分析を行えば良いのでしょうか?

データ活用に必要な「なぜ」という質問

Debbie: そうですね。データ利用前に適切なリスクを分析することはとても難しいと思っています。データを利用することで発生するリスクを最小限に抑えるためには利用目的に沿った限定的なデータ利用を推進することが必要です。

食品売り場の例を紹介します。食品売り場でケーキを販売しているとします。あなたがケーキを購入する際に、クレジットカードで購入すれば定価よりも安くなると会計の際に提案すればクレジットカードで購入する人が増えると思います。

クレジットカードでの取引に同意したあなたは、サービスを提供する企業にクレジットカードデータを共有すると同時に自分の購買履歴をお渡しすることになります。ここで問題になるのが、「値引きを理由にあなたが企業へデータを渡した場合には、果たして法的に同意したのかどうか」ということです。

図:値引きに同意するかどうかのイメージ

画像7

データを受け取る企業が事前にあなたのデータを何の目的で利用するかを定め、あなたがその目的を理解して同意したのであれば問題になることはないと思います。この場合だとあなたが食料品売り場でパンかケーキを購入したいと考え、企業のデータ利用目的を理解した上でパンかケーキを購入するためにクレジットカード情報提供したのであれば問題ありません。

データの利用目的から考えるとケーキを購入するために必要なデータ以外のデータを企業に渡す必要はありません。企業がユーザーからデータを預かる際には、なぜそのデータを預かる必要があるのか考える必要べきだと私は考えています。

私が企業のコンサルティングを実施する際には、「なぜ必要以上にデータを集めるのか」何度も質問します。私がこれまでにご一緒してきた企業は、私が指摘するまで「なぜデータを最小限に抑える必要があるのか」考えたことがないと回答される企業が多いです。

「なぜ必要以上にデータを集めるのか」と質問をすると驚かれることもあります。企業には常に、どんなデータを取得するのか?なぜそのデータを取得するのか?を常に問い続けていく必要があると私は考えています。

企業がデータを活用したビジネスを検討する際には、データを活用する目的から始めることが大切です。もし目的から始めることができない場合は、データ取得を止めるか、ユーザーが納得した上でデータを提供するかを選択するべきです。

図:データの目的から利活用を考える

画像8

Kohei: 「取得するデータをデータの活用目的から考える」という発想はこれからのデータ社会に向けてとても重要な視点だと思います。

これまではユーザーから十分な同意を取得せずにデータを取得し販売するデータブローカーと呼ばれる人たちがデータ社会で大きな影響力を持っていました。ユーザーが同意した内容とは異なる目的でデータ利用を行なっていたケースも多々あり、ユーザーにとっては公正ではないデータ環境だった思います。

最後にDebbieさんから視聴者の皆様へメッセージをいただけませんか?プライバシーの専門家を中心にインタビューを読んでいただいているので、視聴者の皆さんにDebbieさんのメッセージをお伝えできればと思います。

Debbie: かしこまりました。プライバシー対策を考えるときはデータではなく人を中心に考える必要があると思います。今はデータを取り巻く環境が変化し始めていると感じています。まだ多くの企業はユーザーからデータを集めて利用することを第一に考えています。

データを活用したマーケティングを推進していくことはとても大切で、データを活用したマーケティング活動を通じて全ての産業が変化していくと考えています。プライバシーが守られるマーケティング活動が広がるためには様々な産業でプライバシーの専門家が活躍する必要があります。

これからは法律の専門家やエンジニアだけでなく、プロジェクトマネージャーを始めデータビジネスを推進する人たちも積極的にプライバシーに取り組む必要があります。多くの分野でプライバシーを専業とする人たちが活動できる環境づくりが必要だと思います。

Kohei: 素晴らしいメッセージをありがとうございます。とても元気をもらえる内容でした。ユーザーの便益を考えるために、プライバシーに取り組むことはとても重要だと考えています。

本日は貴重なインタビューの時間を頂きありがとうございました。Debbieさん。プライバシー産業を盛り上げていくために取り組みを進めていきましょう。

Debbie: もちろんです。インタビューに招待頂きありがとうございました。とても大切な話ができてよかったです。

Kohei: ありがとうございます。

データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookで気軽にメッセージ頂ければお答えさせて頂きます!
プライバシーについて語るコミュニティを運営しています。
ご興味ある方はぜひご参加ください。

Interviewer, Translation and Edit 栗原宏平
Headline Image template author  山下夏姫


この記事が気に入ったらサポートをしてみませんか?