Facebookの遺訓「プライバシーは死んだのか」EU一般データ保護規則で私たちの権利は守られる?
「いいね!」を通じた深層心理の収集
[ロンドン発]日本でも欧州連合(EU)の一般データ保護規則(GDPR)に関連する電子メールが洪水のように届きませんでしたか。ロンドンで暮らす私のところにも電子メールが殺到し、びっくりしました。
これがあのGDPRか、と改めて実感しました。5月25日に施行されたGDPRの核心にあるアイデアはおそらく、個人データの不正利用問題で激震に見舞われている米フェイスブック(FB)のビジネスモデルと対極をなしています。
先の株主総会でFBのマーク・ザッカーバーグ最高経営責任者(CEO)は辞任を迫られ、「いいね!」なき散々な状況に追い込まれました。
米アップルは次のiOS(同社のオペレーティングシステム)に、FBが自動的にインターネット利用者を追跡しているのを妨害する機能を付けると発表しました。
他のテクノロジー・ジャイアントも、「いいね!」ボタンを通じて利用者の深層心理まで収集するFBのビジネスモデルとは距離を置き始めています。テクノロジー業界の自浄作用と言って良いのか、それともFBを生贄にする単なる保身なのかは分かりません。
2013年に米英両国の情報機関が米テクノロジー企業を通じてインターネット上の個人データを収集していたスノーデン事件が発覚しました。
FBを通じて収集された8700万人の個人データが英政治コンサルティング会社ケンブリッジ・アナリティカの米大統領選キャンペーンに不正に利用されていたことも大きな問題になりました。
データは21世紀のカネ
個人データに米国よりも厳格な規制をかけるEUは「21世紀のカネ」つまりデータがテクノロジー企業に無制限に搾取されていることに歯止めをかけようと、GDPRを制定しました。
大雑把に言うとGDPRは自分のデータを保有、管理する権限は個人にあると明確に位置づけたEU域内限定のガイドラインなのです。米テクノロジー企業であってもEU域内で活動する限り、GDPRを順守しなければなりません。
ではGDPRとは何なのかを本当に簡単にまとめてみましょう。
(1)名前、識別番号、住所、メールアドレス、IPアドレス、クッキー、クレジットカードやパスポート情報といった個人データの収集には個人の明確な同意が必要(以前に同意を得ている場合は新たに取得する必要なし)
(2)償いを済ませたあとの犯罪歴といった過去のデータの消去を求める「忘れられる権利」を認める
(3)電話番号と同じように個人データを個人が自分の意思で異なるサービス提供者に移転できる
(4)EU規則と同じレベルの規制を課しているという「十分性」が認定されない限り、EU市民のデータをEU域外に持ち出せない
来年3月にEUから離脱する英国にも適用されます。「EUから独立する」と息巻いていた英国もEUのデータ市場から締め出されると商売あがったりなので早くもGDPRに従う姿勢を示しています。後先考えずに行動すると大変なことになるという教訓ですね。
ロンドンにあるオープンデータ研究所の政策アドバイザー、ジャック・ハーディングズ氏にお話をうかがったので、2回にわたってお届けしたいと思います。
――GDPRのプラス面とマイナス面についてどう思われますか。ロンドン在住の私のところにもたくさんのGDPR関連メールが届きましたが、とても内容をすべて理解して対応したとは言えません
「今日、私たちが住んでいる世界は1995年、つまりEUで最後にデータ保護法が改正された年から大きく変わりました。個人データの利用は今や私たちの人生のあらゆる側面を形作っています」
「いかに働くか、から何を買って、どこで過ごすかまで。私たちはGDPRの施行を歓迎しています。GDPRはすでに存在している人々の権利と、その施行によって与えられる新しい権利を強めることによって私たちの権利をもっと管理できるようにしています」
「私たち研究所のビジョンは人々や組織、コミュニティーがより良い決定をするためにデータを利用するとともに、あらゆる権利侵害からも保護されるということです」
「GDPRのような規則の重要な役割はそこにあります。GDPRの目的は潜在的な権利侵害から人々を保護するだけでなく、責任をもってデータを利用する組織を人々が信頼する環境づくりを模索することにもあります」
「私たちが大量のGDPR関連電子メールを受け取ったことは、多くの組織がGDPRについて施行日の5月25日以降は人々にコンタクトするためには同意が必要だと解釈したという事実を表しています」
「その他の組織は連絡を取り続けることができる法的根拠があると判断し、電子メールで同意を求めませんでした。こうした解釈の違いはそれぞれの組織がGDPRに異なる反応を見せることを物語っています。この規制が望む結果をもたらすかどうかを見るにはまだ時間がかかります」
――GDPRは有益なデータ保護につながるのか、それともデータ保護主義の引き金になるのでしょうか
「GDPRはEUにおけるデータ保護の基盤を整備します。それは個人に強い権利を与え、順守しない組織に対して莫大な制裁金を課します。しかし、規則は単なる順守義務にとどまらず、公的・民間セクターの建設的な考えを持つ組織にとってチャンスにもなると考えています」
「たとえば GDPRは一人ひとりの個人がデータを持ち運べるデータポータビリティーの権利(携帯電話会社を変更しても同じ電話番号をそのまま使えるイメージ)が導入されました。ある組織が保有していた個人データを他のサービス提供者で使えるようにするため個人がデータを保有するのです」
「この権利はサービス提供者間で個人データの移転を容易にするために設計されています。私たちは、GDPRはイノベーション(技術革新)を促進し、新しい製品やサービスを提供することができると考えています」
「想像して下さい、あなたの医師があなた個人のアクティビティ記録デバイスのデータにアクセスできるようにしたり、米アップル社のメディアプレーヤーiTunesで他の音楽のストリーミング配信サービスを使えたりすることを」
「人々は自分たちのデータがいかに収集され、利用され、共有されているか、について今より自らのコントロールを強めることを欲しています」
「長期的にはこうしたトレンドを理解し、彼らの製品やサービスの利用者と信頼を構築している組織は、そうしたユーザーの要望に対応しなかった組織よりも競争上の優位性を増進させます」
「しかし信頼とは複雑なものです。異なる社会やコミュニティー、人々は異なるものを信頼するでしょう。もし、人々が欲し、必要とするサービスを利用できるようにするなら法整備の際いくつかの例外を許す必要があります」
――GDPRはEUだけのデータ保護の黄金律(ゴールドスタンダード)になるのでしょうか。それとも米国を含む西側諸国の標準になるのでしょうか
「GDPRが世界の事実上の黄金律になるかどうかを語るには時期尚早です。EUは5億人以上の市場です。このサイズは多くの組織が世界のデータ保護政策として適用するのにGDPRは簡単でリーゾナブルと考えるようになる可能性があることを意味しています」
「しかし必ずしもすべてのケースに当てはまるわけではありません。たとえばフェイスブックは最近、世界中でプライバシー・コントロールを更新しましたが、EU市民が他の地域の人々と全く同じサービスを受けられるのかはっきりしません」
「興味深いことに、いくつかの組織は単純にGDPRには順守できないという決定を下し、彼らの製品やサービスへのアクセスを制限しました。米紙ロサンゼルス・タイムズはその中の一つです。同紙のニュースサイトは施行日の5月25日以降、欧州では閲覧できなくなりました」
「いくつかの規制当局は、GDPRを施行したEUと同じ権限や資金を有していないことも私たちは理解しています」
「GDPR以上の規則をつくることが適切なケースもあれば、GDPRが国内法と摩擦を起こすことも理解するのは重要です。GDPRは個人ではなく集団のプライバシーのような課題を解決しようとはしていません。こうした点については他の国や地域がEUより早く言及したいと思うかもしれません」
「私たちはすべての社会や経済がデータのもたらす前向きなインパクトを感じ取れるよう正しいバランスを見つける必要があります」
ジャック・ハーディングズ(Jack Hardinges)
ロンドンにあるオープンデータ研究所の政策アドバイザー。 スタートアップや多国籍企業や政府機関に助言を行っている。オープンデータが持つ経済的、社会的、環境へのインパクトについての根拠を構築するのを支援している。
(つづく)