IoTと個人情報保護法は「Win=Win」の関係を築けるだろうか(写真はイメージ)


 IoT時代になると世の中のさまざまな領域でシステムやサービスが効率化され、新しいビジネスが立ち上がる。そして人々の生活は便利になる。

 しかし、物事には光があれば影もある。私たちが接するモノに次々にセンサーが付くということは、私たちの個人情報が収集される機会が増えるということだ。いわば生活をのぞき見られる危険性が高まるのである。

 そうした事態に歯止めをかける法律として、日本には「個人情報の保護に関する法律」(以下、「個人情報保護法」)がある。だが、『ビッグデータの支配とプライバシー危機』(集英社)の著者、中央大学総合政策学部准教授の宮下紘氏は、個人情報保護法の不備を指摘する。現在の個人情報保護法は「諸外国に比べてかなり遅れている」というのだ。一体どういうことなのか。宮下氏に話を聞いた。

『』(宮下紘著、集英社)


[JBpressの今日の記事(トップページ)へ]

「プロファイリング」の規制法がない

──日本の個人情報保護法はなぜ「遅れている」と言えるのでしょうか。

宮下紘氏(以下、敬称略) 日本の個人情報保護法は2003年に成立しました。内容について議論されたのは2001〜2002年頃です。その頃は、IoTに取り組む企業はまだありませんでしたし、SNSもなかった。テロ防止のために大量監視をしようという議論もほとんどありませんでした。個人情報保護法はそうした時代につくられた法律ですので、昨今のICT技術やSNS、AI(人工知能)などの進展に追いつけていない状況です。

──具体的にどのようなリスクに対処できていないのですか。

宮下 日本の個人情報保護法は、あくまでも個人情報の「漏洩」を防ぐための法制となっています。しかしデジタル時代、とくにビッグデータ時代においては、情報の「処理」や「流通」の過程でのリスクが格段に高いのです。EUやアメリカの法制はその段階のリスクにいかに対処していくかが前提になっています。ところが日本はそうなっていません。

 たとえば日本に決定的にないのが「プロファイリング」の規制法です。プロファイリングとは、コンピューターが、収集したデータから個人像を描き出すことです。

 典型的なのがアマゾンです。本を買うと「あなたにお薦めの本はこれです」と次々に本を薦めてくれますよね。本を薦める程度なら問題ないのですが、例えば保険会社が遺伝情報をもとに「あなたはこういう病気のリスクが高い」と言って保険料を変動させたり、「この人はこういったDNAの特徴があるので、この仕事には向いていません」と採用に利用する会社が出てくるかもしれません。

 自分が知らないところで個人情報が勝手に引き出されて分析処理され、勝手に作られた個人像が知らないところで利用される。場合によっては差別されるなどいろいろな問題が起きる危険性があるのです。

──私たちはすでにそういうプロファイリングをされているのですか。

宮下 私たちが思っている以上にビッグデータの分析は進んでいます。プロファイリングも当然、行われています。そしてそのデータが出回っています。アメリカでは消費者の不動産の取引履歴やアマゾンの購入履歴、フェイスブックの広告の閲覧履歴などがすべて「データブローカー」に共有されています。誰が妊娠をしていて、どの顧客が花粉症にかかっているかなど街のスーパーでもプロファイリングは行われています。

宮下 紘(みやした・ひろし)氏
中央大学総合政策学部准教授。一橋大学法学研究科博士後期課程修了。内閣府個人情報保護推進室政策企画専門職、駿河台大学法学部専任講師(後、准教授)などを経て現職


 さらに言うと、日本の個人情報保護法には消費者の申し立てによる救済措置がありません。「企業にプロファイリングをされて差別を受けました」と言っても救済する手だてがないのです。そのため、被害者は裁判所に行って訴訟しなければなりません。訴訟するためには証拠が必要になりますが、証拠は企業のほうが圧倒的に持っているわけですから、被害者が企業と渡り合うのは大変です。

 一方、アメリカでは「連邦取引委員会」(FTC)、EUでは「個人データ保護監督機関」といった独立監督機関があり、不正なプロファイリングがあると立ち入り検査をしたり、消費者の権利救済の役割を果たしています。

──日本にはそういう機関はないのですか。

宮下 2016年1月に内閣府の外局として「個人情報保護委員会」という組織が設置されましたが、委員会が消費者の申し立てを受けて権利救済のために動けるという条文がありません。日本の個人情報保護法は、あくまでも違反をした事業者を取り締まる事業者取締法規になっています。事業者側の義務ばかり書かれていて消費者の権利救済がほとんど書かれてないのは、私は今後の課題だと思います。

「匿名加工情報」の危険性

──5月30日より、改正された個人情報保護法が施行されます。改正の目玉の1つとして「匿名加工情報」の概念が新たに盛り込まれました。これをどう評価していますか。

宮下 匿名加工情報とは、個人情報に含まれる記述などの一部を削除したり、個人情報に含まれる個人識別符号の全部を削除したりすることによって、特定の個人を識別できないように加工し、同時に個人情報を復元することができないようにしたものです。つまり、個人が識別できず、復元することができない情報です。

 今回の改正で、匿名加工情報ならば企業は本人の同意を得ずにマーケティング活動などに生かすことが可能になりました。これは、ビッグデータビジネスを展開する企業にとってはありがたいんですよね。

 ただし、アメリカの一流技術者が指摘しているように、今日、名前や住所などを消して匿名化しても、明日、別の情報をマッチングすれば「この人だ」と分かってしまうかもしれない。今日、匿名加工しても、明日、特定の個人が識別できてしまうおそれがあるわけです。消費者は、その再識別化のリスクを認識しておく必要があります。企業にとってもそれはリスクと言うことができます。収集した匿名加工情報を再識別化したら世の中から大きな非難を浴びるからです。

「なんとなく不安」を可視化する

──本格的なICT社会、IoT時代の到来に向けてどのような対策が必要でしょうか。

宮下 私は基本的にはICT社会の到来は歓迎すべきだというスタンスです。経済成長にもつながりますし、人々の生活も豊かにします。ただし、現状では多くの日本人が「なんとなくプライバシーが不安だ」と感じています。そして、その不安の正体や具体的な中身が分からないため、ときには過剰な反応をしてしまいます。

 実際に、2005年4月に個人情報保護法が全面施行されたとき、それを境に同窓会名簿や町内会名簿が一斉になくなりました。病院では家族が駆けつけても面会させないとか、「個人情報」と言えば何でも保護するという過剰反応が起きたんですね。

 しかし、消費者が「なんとなく不安」だからといって過剰に反応していたら、企業活動の足かせになって自由にICT技術が使えなくなります。

 だから、まずは「なんとなく」の中身をできるだけ理論的に可視化することが必要です。つまり、何がプライバシーや個人情報保護にとって問題なのか、なぜ問題なのかをしっかりと議論し、規制することで、初めてICT技術とプライバシーが両立して「Win=Win」の関係を築けるのではないでしょうか。

[JBpressの今日の記事(トップページ)へ]

筆者:鶴岡 弘之