2003年5月の個人情報保護法制定から10年以上が経過し、この間にICTが大きな発展を遂げてビッグデータの収集・解析が可能となって、いろいろな新サービスが創出されてきました。特に、個人情報だけでなく個人の行動や状態等の情報といったパーソナルデータについては、ビッグデータの解析により本人の便益だけでなく公益上の利活用が可能となっています。その一方で、個人情報保護法の制定・施行を受けて個人情報やプライバシー概念が広く世の中に浸透してパーソナルデータに対する消費者の意識が高まるにつれて、安心感をもたらす新たな制度構築が求められているのが現状です。
消費者・利用者はパーソナルデータの利活用がもたらす利便やイノベーションに期待を寄せるとともに、同時にプライバシー侵害に対しどこか気味悪さを感じています。それは、この相反する問題に真剣に取り組もうとすると、いわゆる保護と利活用の間にあるグレーゾーンを越えることに躊躇する「利活用の壁」に阻まれる一方で、こうした事情にあまり頓着せず大きく踏み出して消費者に不安を与えている勢力もまた現実に存在しているからです。そもそも基準や区分が変化に追いつかず不明瞭なところに加えて、制度の法執行面で明確で公平な適用が十分に見られていないことに不安や不信の原因があるように感じます。何より先に、個人情報の保護とパーソナルデータの利活用の両立・調和に対しても安心と信頼を取り戻すことが必要です。逡巡して何もしないのも、他方、やりたい放題なのも、消費者と提供者ともに困るのです。
政府は昨年6月の「世界最先端IT国家創造宣言」において、オープンデータ・ビッグデータ活用の推進を取り上げて、内閣官房IT総合戦略本部に「パーソナルデータに関する検討会」を設置しました。その後、昨年12月20日には「パーソナルデータの利活用に関する制度見直し方針」が公表され、次いで今年6月24日にその制度改正大綱が発表されて直ちにパブリックコメントの募集手続きに入っています(締切は7月24日)。今回の大綱で取り上げられた課題と制度改正の基本的な枠組みは以下のとおり3点。
- 一定の規律の下で本人の同意がなくてもパーソナルデータの利活用を可能とする枠組みを導入する。データの加工方法等は第三者機関の認定を受ける仕組みとする。
- 法律による基本的な制度の枠組みに加えて、具体的な内容は政省令、規制やガイドラインと民間の自主規制ルールによって対応・補完する。民間の自主的な取組みに第三者機関が関与。
- 現在の特定個人情報保護委員会を改組して独立の第三者機関の体制を整備。第三者機関には実効性ある制度執行を確保するため、立入検査等の機能・権限を持たせる。
これらの枠組みからは、米国の消費者プライバシー権利章典に似た方式、即ち業界ごとの関係者(マルチステークホルダー)が集まって行動規範を作成し自主規制を行い、それを連邦取引委員会(FTC)が法執行面で補強する方式が窺われます。パーソナルデータの利活用を促進する方向で、民間の自主規制ルールと法に基づく直接規制の組み合わせという、共同規制の領域を整備しようとする新しい試みが打ち出されていることに注目しています。大量情報処理技術の発達とクラウド処理環境の進展、また個人のプライバシーについての意識の変化など、パーソナルデータを巡る状況は大きく急速に変化しつつあり、こうした中だからこそ、民間の自主規制の柔軟性と法律による厳格な直接規制の組み合わせが新しいモデルを創りだしていくことになります。
IT総合戦略本部の検討会で議論が進むなか、個人情報の範囲や第三者提供時に本人同意を不要とする条件などを巡って有識者の意見やマスコミの姿勢・反応に大きな違いや幅が見られ、個人の人権保護からビッグデータの産業化促進まで振れるものがあったのもまた事実です。「対象範囲なお不透明」とか、「保護すべき情報不明確」という指摘があれば、「安心して活用できるルールを求める」主張、「情報活用と保護綱引き」など、どちらかというと二者択一的な取り扱いの明確化を求める意見が主流でした。こうした論調の背景には、個人情報・パーソナルデータに関する国際的な動向、特に米国と欧州の考え方の違いの反映があるように思われます。米国では分野横断的な個人情報保護法は存在せず、消費者のプライバシー保護が中心課題となっており、現在“いかにビッグデータのイノベーションを支援しつつリスクに対応できるか”についてパブリックコメントの募集を行っているところです。一方、欧州では1995年のEUデータ保護指令制定以来、個人の基本的人権として認識され、2012年のEU規則化提案から進んでさらに強固なデータ保護ルールの整備が図られつつあります。なかでも、消去権(従来忘れられる権利と言われてきたもの)が強く支持されています。
こうした米欧の主張の対立軸が日本においてもそのまま対立した立場となっているように感じられます。では、本当に両者の立場は二者択一なのでしょうか。私にはグローバルな視点から見るとビジネスの大きな潮流とそれを支援する国益とが絡んで、それぞれのサイドで多数派工作が行われているように見受けられます。結局のところ、米欧とも世界を単一の方式とすることは不可能なので、両者の調和が図られてきているのが現実だと思います。その上で、両者は外国企業や他国への情報の移動に対して自国の法令やルールの適用を進めようとしているのです。この点を理解しておかないと人権とビジネスの神学的論争に陥ってしまいかねません。要注意です。
個人の人権かビジネスの発展かという二項対立の図式ではなく、どうすれば変化の激しいICTの世界で個人や社会の利益を高めながら個人の権利が守られるのか、というあれもこれも同時に取り込んだ課題解決、制度設計が要求されています。それが今回の制度改正大綱で示された共同規制という新しい方式と捉えるべきでしょう。残念ながら、共同規制の方法論には知見や経験が不足していて実効性を不安視する声が双方から聞こえてきますが、だからと言って何もせず現状のような意見対立を続けたまま放置して、ルールを守らない一部の企業・組織が法執行力の不備や欠如を見越して、個人情報の領域で何でもやりたい放題の状態を作り出していることに手を付けないでよいということにはなりません。法律や権利面の論理は通っても、現実に困っている状況は変わらないというのでは駄目なのです。現実の無統制状態が外資や他国の法域を利用しているところに由来しているとするなら、日本の個人情報保護やパーソナルデータの利活用の障碍となります。独立した第三者機関の活動を通じて共同規制という新しい領域について、いかに信頼を構築できるのか、日本のあり方が米欧の立場に伍して世界のモデルになることを期待しています。
ビッグデータの取扱いの話題となると、常にJR東日本のスイカデータの第三者提供の問題が利用者からの反発を招いたと反面教師的にマスコミを賑わしてきました。しかしながら、その後どのくらいの人数や比率が自分のデータ削除を申し出ているのかなどの分析が十分に取り組まれているようには思われません。最近の新聞報道(2014.7.15読売新聞記事)では、6万2,000人が情報提供を拒否したとありますのでスイカ発行数約4,500万枚に対しては極く少数と想定されます。つまり、この問題の本質は、個人の権利の問題であると同時に、むしろ何か気味の悪さがつきまとう場合、それを回避する方法があらかじめ示されずにいたため人々の反発を招いたことにあると思います。多くの場合、この種の問題にはそもそも関心がないか、問題とは考えていない人達が大半なのではないかと感じます。私達が今考えておくべきことは、ネットの無料サービスの一部は利用者本人が個人情報や購買行動、友人関係などを提供して成立していることを忘れてはいけないということです。しかし、逆に便利なイノベーティブで革新的なサービスがこうしたビッグデータから生み出されているのもまた事実だということです。
その際、サービスの提供者も消費者・利用者も、等しく信頼できる整合的でしっかりした法執行力のある制度設計を望んでいます。そして具体的な規制内容は、柔軟に市場環境や競争条件、そして人々の意識に応じて絶えず見直していけばよいことです。
