「プライヴァシーの死」とGDPR:メディア美学者・武邑光裕による新連載「GDPR:データとインターネット〜EUが描く未来」開始!
GDPRの背景
2010年1月、マーク・ザッカーバーグは「プライヴァシーはもはや社会規範ではない」と述べ、その後大きな議論となる「プライヴァシーの死」を高らかに宣言した。プライヴァシーを公開し、あらゆるデータをシェアする世界こそ、真に人々の生活を豊かにし、透明な社会を実現するのか? この疑問を抱えたまま、Facebookは現在、20億人を超えるユーザーに支持されている。
もちろんグーグルも「プライヴァシーの死」をいち早く目指してきた同盟である。21世紀に入り、シリコンヴァレーの「Google & Companies(Googleとその仲間たち)」は、個人データを活用した広告錬金術で巨万の富を築いてきた。その間、人工知能(AI)やロボティクス、IoT、自動運転車に至るまで、ビッグデータの収集と解析を基盤とする新たなデジタル経済の全容も明らかになってきた。
「ビッグデータ」の解析によって生み出されるAIや新技術が世界を一変させようとしているなか、消費者のプライヴァシー問題はますます複雑化している。企業は消費者のWebサイトやモバイルアプリの足跡をデータ化し、彼らが毎日どこに行き、いつ旅行したかを追跡する。個人データをほかのデータと組み合わせ、正確な人物像をつくり上げると、購入商品の予測やターゲティング広告の獲物捕獲率は精度を増す。さらに、消費者が個人情報として認識していないデータからも、消費者個人を特定できるのだ。
ビッグデータの世界への貢献に比べれば、収集される「プライヴァシー」などはとるに足らないものなのか? それとも「プライヴァシー」こそ、ビッグデータの金鉱なのか? 世界中のデジタル市民は「ただより怖いものはない」と知りつつ(あるいは知らない間に)も、実名を含む膨大な個人データをGoogle検索、Googleマップ、Facebookやモバイルアプリのなかに投げ入れてきた。5億人の市民を抱えるEU(欧州連合)は、米IT巨人のデータ錬金術が、EU市民の基本的人権を脅かす狡猾な搾取であると主張し、すでにグーグル、フェイスブック、アップルなどを相手どり、莫大な制裁金訴訟を展開している。
数年に及ぶ議論と調整を経て、EU議会は加盟28カ国の承認を得た一般データ保護規則(General Data Protection Regulation:GDPR)を2016年5月24日に発効した。巨額な制裁金と行政罰を伴う適用は、2018年5月25日に開始される。これが実質的な「施行日」となる。GDPRは、対象とする「個人データ」を広範に定義しているため、米IT巨人はもとより、EUおよびEEA(欧州経済領域)全体の国内プライヴァシー法を包含し、ヨーロッパ市民に関する個人情報を扱うすべての企業(ほかの大陸の企業を含む)に適用される。
GDPRにおける個人データとは、名前、写真、メールアドレス、銀行の詳細、SNSの投稿やウェブサイトの更新情報、場所の詳細、医療情報、コンピューターのIPアドレス、生体遺伝子情報、思想信条、入れ墨に至るまで、個人に関する広範囲な情報である。欧州連合(EU)は、EU市民の個人情報の管理を厳格化し、個人データがヨーロッパ全域で安全であることを保障しなければならないのだ。
GDPRの影響は世界に及ぶ
GDPRが本格施行される2018年5月まであと7カ月。世界がインターネットで繋がっている現在、GDPRの影響は全世界に及ぶ。当然、EU加盟28カ国から遠く離れた日本でも、EUの個人データと関わる企業は山とある。かつてEUカルテル法により巨額の制裁金を支払った日本企業が思い起こされる。日本はEUからデータ保護に関する「十分性認定」を受けていないため、データ保護に関しては米国と同様、世界の無法地帯とみなされている。日本の改正個人情報保護法も、GDPRから見れば10年遅れの法律である。GDPR違反の制裁金は巨額だ。ひとつの会社で26億円規模の罰金、あるいは連結決算の4パーセントを課せられるケースも想定される。
グローバルな観光事業やEU市民を呼び込む宿泊サイト、オンラインショッピングやオンラインゲームにはEUの顧客やユーザーも多くいる。たとえ顧客の個人情報を直接処理することのないサーヴィス主体でも、個人情報の処理を外部委託する「プロセッサー(処理者)」がいれば、「コントローラー(管理者)としての責任を負う。このふたつのエンティティは、GDPR遵守の責任を回避することはできない。
現状、GDPR違反の罰則対象として浮上しているのは、フェイスブックやグーグルといった個人データによって莫大な利益を上げてきたIT巨人だけではない。彼らはすでにEU各国から巨額の制裁金訴訟を抱えており、その都度GDPRに対処するための投資をEU域内で実行し、GDPRへの対応を加速させている。アップルの「iPhone X」に搭載されたFace IDに関しても、早速「プライヴァシーの死」につながる技術として批判が起きている。強固な個人認証セキュリティは、一方では市民監視の世界規模のネットワーク技術にほかならないという指摘も見逃せない。
基本的な疑問に戻ろう。なぜEUはこれほど厳格な法律をつくり、実際に施行しようとしているのか?
シリコンヴァレーとEUとの戦争?
EU議会に所属するベルギー社会党のマーク・タラベラ議員は、GDPR違反の疑いがあるとして「Pokémon GO」の調査を正式に議会に要請した。グーグルのスピンアウトであるNianticによって開発されたこのゲームアプリは、ユーザーのリアルタイムな位置情報を収集するだけではなく、ポケモンを捕獲できる特定の場所を任意に選定し、そこを訪れる人々を積極的に誘導できる。そのため、第三者との位置情報の共有(販売)とプライヴァシー侵害に関する懸念が指摘されてきた。
このアプリは、ゲーマーのデヴァイスにクッキーとトラッカーを保存し、ユーザーの明確な同意なしにそれらのデータが抽出されて解析可能なら、EUのe-プライヴァシー指令にも違反する可能性がある。これらの懸念は、特に米国とドイツで調査が開始されており、今後の動向が気になる。Pokémon GOのコントローラー(管理者)とプロセッサー(処理者)は実のところ誰なのか? 莫大な利益の背後で、何が犠牲となり何が奪われたのか? 何かが奪われたとすれば、それは犯罪的な搾取なのか? プライヴァシーや個人データをめぐる経済倫理は、複雑化する相反関係のなかで出口を見つけようともがいている。
GDPRの基本骨格
EU内の10人のうち9人は、モバイルアプリが同意なしに個人データを収集することに懸念を表明しており、10人のうち7人は、収集された情報を企業が利用する可能性について疑念を抱いている。米国や日本での個人情報やプライヴァシー保護の感覚とEUとではどれだけのギャップがあるかは、本連載の重要な観点でもあるが、GDPRの重要な規制には以下の4つがある。
1.「忘れられる権利」:個人がデータの処理を望まず、かつ個人データを企業が保持する正当な理由がない場合、検索エンジンなどの個人データは削除要求に応えなければならない。これは、個人のプライヴァシーを保護することであり、過去の出来事の消去や、報道の自由を制限することではない。
2.データへのアクセスの容易性:個人は、データの処理方法に関する情報をより多く有し、その情報は明確で分かりやすい方法で利用できるようになる。データの移植性の権利は、個人がサーヴィスプロヴァイダー間で個人データを送信することを容易にする。
3.データがいつハッキングされたかを知る権利:企業や組織は、個人を危険にさらすデータ侵害を監督当局に速やかに通知し、ユーザーが適切な措置を講じることができるようにする。
4.デザインによるデータ保護のデフォルト:「デザインによるデータ保護」と「デフォルトによるデータ保護」とは、サーヴィスの設計段階からプライヴァシーを保護する設計にすること(by design)や、初期設定の時点でプライヴァシー保護をデフォルト化すること(by default)を意味する。具体的には、個人データと接触するサーヴィスを構想し実装する双方の段階において、適切な措置を実施しなければならない。初期設定では、特定の目的のために必要な個人データのみを取扱い、必要な範囲を超えて収集・保有しないことが管理者に義務付けられており、現在、EUのデータ保護規則に不可欠な規定となっている。
これにより、データ保護の理念と手段が、製品とサーヴィスのデザイン開発の初期段階に組み込まれ、プライヴァシーに配慮したソーシャルネットワークやモバイルアプリがデフォルト設定の標準になる。これにより近い将来、EU版Facebookなど、GDPR準拠のSNSの登場が予想されている。
技術的全体主義への対抗
GDPRは、EU市民の個人情報をEU域外に転送することを原則禁止する。重要なのはデータポータビリティの権利で、個人が事業者等に提供した個人情報は本人が使いやすい電子的形式によって取り戻すことができ、ほかの事業者、プラットフォームに移して乗り換えることを事業者の妨害なしで可能にする権利だ。
これによってシリコンヴァレーに集積されている天文学的な個人情報が、将来、個人主導によって大移動することが予想される。それは個人データの管理がプラットフォームから個人に移行することを意味している。これがパーソナルデータエクスチェンジ(PDE)という動向であり、個人が個人データを所有し、プライヴァシーを管理し、オプションで個人データの一部または全部を収益化することを可能にするテクノロジープラットフォームである(これについては本連載で詳述する)。データ全体主義からデータ個体主義への転換が始まろうとしている。
元欧州議会議長で9月24日のドイツ首相選挙でアンゲラ・メルケルに敗れたマルティン・シュルツは、2016年1月28日、ブリュッセルで開かれたCPDP(Computers, Privacy & Data Protection)総会で、『技術的全体主義、政治と民主主義』と題した基調講演を行い、次のように述べている。
「もし個人情報が21世紀の最も重要なコモディティであるなら、個々人のデータに対する所有権の権利が強化されるべきです。特にこれまで何も支払わないでこの商品を手に入れている狡猾な人たちに反対することです。フェイスブック、グーグル、アリババ、アマゾン──。これらの企業が新しい世界秩序を具現化していくなど、それは許されるべきではありません。彼らはそのような権限をもっていません。民主的に選出された民主的代表のルールが合意され、法律を遵守することは適切な任務であり続けなければならないのです。規制当局がとった決定に同意しない者は、市民社会の努力と政治的手段によってそれらを覆すことを求めることができます。このプロセスを民主主義と呼んでいるのです」
GDPRはドイツをデジタル途上国にする?
連邦議会選挙に、シュルツがSPD(ドイツ社会民主党)党首として立候補を決めた直後、メルケル首相はシュルツがEU議会長の時に発効したGDPRについて、「行き過ぎたデータ保護への危機感」を初めて表明した。2017年1月9日、ドイツ公務員連盟(DBB)の年次総会で、メルケル首相は「行き過ぎたデータ保護により、ドイツはデジタル分野の途上国になる恐れがある」との懸念を表明した。これまでの「保存できるのは必要最低限のデータのみ」という原則を見直し、ビッグデータの活用に道を開く必要があると強調した。
ドイツでも2018年5月までに、GDPR、すなわち「新たなEUデータ保護指令」を国内法化することになるが、これに伴い既存の連邦データ保護法(BDSG)が無効になる。同指令の国内法化をめぐっては、すでに連邦内務省が16年8月に全79ページにわたる法案を提出。これに対し、連邦司法・消費者保護省が全40ページの所見のなかで「重大な法的欠陥がある」と批判するなど、閣内でも混迷が露わとなっている。
EUの主導的立場にあるドイツ首相が、GDPRを懸念し、シュルツとの対決姿勢を露わにした。この9月24日に行われた連邦議会選挙は、ドイツの政治情勢を塗り替える結果だった。第一党はCDUであったが、得票率は1949年以来の最低だった。さらにこれまで連立のパートナーだったSPDは、さらに惨敗を喫した。SPDのシュルツ党首は「メルケル政権には断固加わらず、我々は反対を鮮明にする」と述べた。企業寄りでデジタル政策を唯一かかげた自由民主党(FDP)が躍進し、反イスラム、反難民受け入れを主張したドイツのための選択肢(AfD)も議席を得る躍進を遂げた。
EUの中軸といえるドイツの政治的混迷が、すでに発効され施行間際のGDPRにどのように影響するのか? 極右勢力が国内主義を掲げ、難民流入に壁の設置も辞さないとするのは米トランプ政権のミームなのか? 東西ベルリンを分断したイデオロギーの「壁」は、サイバー空間の「デジタル壁」(GDPR)に変化した。この壁が防御するのはデータなのか、プライヴァシーなのか? 国家や地域が互いに対立し、小さな島に分裂、バルカン化する世界の中で、データの自由な移動は現代の移民難民問題とも重なっている。
「秘密は嘘でプライヴァシーは窃盗」なのか?
EUが個人データ保護の基準を強化することを、オープンアクセス時代に逆行する過剰規制の「悪法」のように捉える向きもある。グーグルの副社長兼インターネット担当エバンジェリストであるヴィント・サーフは、プライヴァシーを歴史的には「極めて異常なもの」と述べ、プライヴァシーは近代以前には存在しておらず、それは都市革命の副産物であり、事故であったと指摘した。この議論は本連載でも詳述する予定である。
先日、エマ・ワトソンとトム・ハンクス主演の映画『ザ・サークル』を観た。この映画で描かれたプライヴァシーディストピアは、「秘密は嘘。シェアは思いやり。プライヴァシーは窃盗」(ジョージ・オーウェルの小説『1984』に登場する独裁制集産主義のモットーである「戦争は平和である。自由は服従である。無知は力である」とつながる)というメタファーがテーマである。つまり、個人データやプライヴァシー保護というEUの人権憲章の前提を揺るがす、他方の「文化的、技術的勢力」を暗示的に描いている。個人のプライヴァシーやデータを積極的に公開、共有し、透明性を極限まで推し進めていこうとする規制の反対派や反プライヴァシー文化の台頭である。
米連邦議会上院は、今年の3月下旬、ISP(インターネットサーヴィス事業者)による個人データの取り扱いを規制するプライヴァシー保護規則の撤廃を決議し、トランプ大統領がこれに署名した。オバマ政権下の米国連邦通信委員会(FCC)が昨年導入したこのプライヴァシー保護規則は、ISPが個人データを利用したり共有したりする前に、ユーザーから明示的同意(オプトイン)を得ることを義務付けていた。ISPの閲覧履歴を許可なく広告業界に売ることを禁止していた規則が難なく撤廃された。いずれにしても、グーグルやフェイスブックなどのシリコンヴァレー企業は、好きなようにユーザーのデータを使っているので、ISPからすれば今回の決議は「公平」な判断だということになる。このような状況下、EUと米国との間にある文化的断絶は甚大で、その溝の大きさはそのまま政治や経済の分断にもつながりかねない。
顧客生涯価値(Customer Lifetime Value)は、いまや顧客の個人データが企業にとってどれほど価値があるかを示すための用語となった。言い換えれば、人々の生活や行動データが商業価値に転化されることは社会的価値につながる。現代の「ハイパー資本主義」は、人間そのものを商業的関係のネットワークに還元する。商業的有用性を免れたわたしたちの個人生活はどこにあるのか? それが現代のプライヴァシーをめぐる課題である。
個人データのデジタル化は、人間生活の商業的利用を容易にし、拡張し、加速する。それは、わたしたちがデータ商品となり、現代の経済活動に不可欠な資源であることを示している。今日、これを新たな「搾取」と呼ぶなら、それに抵抗するための新しい生活様式を開発する必要がある。
個人データは21世紀の天然資源なのか?
いずれにせよ、個人データはデジタル経済の促進に不可欠な通貨となった。データは21世紀の石油であり天然資源であるという前提に立つかは別として、GDPRの登場は、EUのみならず、シリコンヴァレーのスタートアップにとっても、極めて大きなインパクトをもつ「データ開拓法」の意味をもつ。データが石油であるなら、資源が埋まる地下に掘削機を投入し、採掘から精製を行い、多彩な加工を施し製品として流通できるかが鍵となる。すでにビッグデータ製品は、ほぼ石油精製と製品化の過程を通過し、実際に市場に流通している。EUにとっても、GDPRはビッグデータや個人情報解析、IoTやAI、自動運転車などの次世代産業基盤への足かせや重荷ではないはずだ。
世界の人々がますますプライヴァシー保護について考え、個人データによって生み出される錬金術を懸念する。だからこそ、プライヴァシーフレンドリーなサーヴィスを提供する企業こそ、消費者にとって魅力的で、より高い競争力を有する。EUには世界で最も厳格なデータ保護規則がある。それが信頼の地を生成するかどうかを、今後世界は注視していくことになる。
GDPRの背景とは何だったのか? ベルリンはなぜGDPRを生み落としたのか? グーグルやフェイスブックは、個人データをいかにマネタイズしたのか? プライヴァシーは如何に生まれ、保護すべき対象となったのか? GDPRは企業主導の個人データ収集から、顧客主導のデータ経済や個人データ交換(PDE)をいかに支援するのか? GDPRはいかなる具体的な技術によってシリコンヴァレーと対峙するのか? 当然、日本企業はいかに対処すべきか? そして、GDPRによって招来する個人データ革命の本質とは何か?
本連載は、上記の観点と向かい合いながら、2018年5月のGDPR施行に至るまでのEUと世界との個人データ経済をめぐる攻防、そして施行後のデジタル経済圏の変化に至るまでを、GDPR発火点であるベルリンから逐次報告する。
