
「法の観点から見るプライバシー」デジタルトランスフォーメーションにおけるプライバシー・バイ・デザインの実装
DXとプライバシー保護を両立させる上で有用な「プライバシー・バイ・デザイン」の概念と、その実装方法を紹介します。
2020-09-23
ビッグデータと人工知能(AI)を用いて個人の性向や属性などの推測を行う「プロファイリング」は、新たなビジネスを創出し、事業者・消費者双方にメリットがある一方、プライバシーなどの個人の権利侵害につながる可能性も指摘されます。EU一般データ保護規則(GDPR)においてはプロファイリング規制が設けられるなど、特に諸外国で、プロファイリングの法的課題は活発に議論されています。本稿では、近年、日本においても広がりつつある信用スコアリング事業を取り上げながら、日本におけるプロファイリングを含む個人情報の取り扱いの法的課題について、個人情報保護法やプライバシーの観点から解説します。
アメリカや中国を中心にサービスが広がってきていた信用スコアリング事業は近年、日本においても広がりつつあります。信用スコアリングとはプロファイリングの一種で、個人属性とサービスの利用情報を照らし合わせ、個々の信用力をAIが数値化するというものです。
典型例としては、(1)グループ会社が運営するオンライン決済サービスやSNSサービスを通じて、決済情報や交友関係・趣味嗜好の情報などを入手し、また、(2)学歴や保有資産の情報など自社やグループ会社では把握できない情報は利用者に提供してもらい、(3)それら各情報に基づいて信用スコアを算出の上で提携先企業に提供し、(4)提携先企業が信用スコアに基づいてさまざまなサービスを提供する、といったビジネスモデルが想定されます。
利用者側のメリットとしては、信用スコアの数値が高いほど信用があると評価され、例えば、提携先企業のサービスを利用する際に、通常必要なデポジットの支払いが不要になったり、サービスの利用代金の後払いが可能になったりといった各種特典を受けることができる点などが挙げられます。
他方で、信用スコアリング事業の実施にあたっては、インターネットの閲覧履歴、ECサイトの購買履歴、決済アプリの利用履歴など、利用者に関するさまざまなデータを収集・分析し、当該利用者の信用スコアを算出することになります。その過程においては、広い意味でのプロファイリング、すなわち、ビッグデータとAIを用いた個人の性質の予測・推測のプロセスが深く関与します。そのため、信用スコアリング事業においては、個人情報保護法やプライバシーの観点からの検討が欠かせません。
日本の個人情報保護法におけるプロファイリングの法的課題を述べる前に、参考までに、GDPRにおけるプロファイリング規制の内容を見てみましょう。
GDPRでは「『プロファイリング』とは、自然人と関連する一定の個人的側面を評価するための、特に、当該自然人の業務遂行能力、経済状態、健康、個人的嗜好、興味関心、信頼性、行動、位置及び移動に関する側面を分析又は予測するための、個人データの利用によって構成される、あらゆる形式の、個人データの自動的な取扱いを意味する。」(GDPR第4条4号。なお、個人情報保護委員会作成の仮日本語訳を参照)と定義され、「データ主体は、プロファイリングを含む個人に対する専ら自動化された取扱いに基づいた決定の対象とされない権利を有する」(GDPR第22条1項)とされます。そして、データ管理者は、「当該権利と自由と正当な利益を保護するために、少なくとも人間の関与を得る権利、データ主体の見解を表明する権利及び当該決定を争う権利の保護を確保するための適切な措置を実装しなければならない」(同条3項)とされます。また、「データ主体は、プロファイリング行為に対してはいつでも異議を述べることができ、データ管理者は、やむを得ない正当な根拠があることを証明しない限り、当該個人データの取扱いを停止しなければならない」(同第21条1項)とされ、プロファイリングに関する明確な指針が示されています*1。
日本においては、プロファイリングの実施自体を正面から規制する規定は存在しません。もっとも、日本においても当然、プロファイリングの実施にあたっては、個人情報保護法の一般規定へのコンプライアンスやプライバシー保護の観点から、法的に留意すべき点は多々あります。以下、信用スコアリング事業を題材に法的課題を解説します。
個人情報保護法では、個人情報の取得にあたり、当該個人情報の利用目的を「できる限り特定」(法15条1項)の上、「通知又は公表しなければならない」(法18条1項)とされます。このため、信用スコアリング事業においても、実務上、プライバシーポリシーなどによる、サービスやプロセスの具体的内容を踏まえた利用目的の公表が求められます。
利用目的の特定の程度としては、『個人情報の保護に関する法律についてのガイドライン(通則編)』*2(以下「通則ガイドライン」)26ページおよび27ページによれば、「最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」とされ、「単に『事業活動』、『お客様のサービスの向上』等のように抽象的、一般的な内容を利用目的とすることは、できる限り具体的に特定したことにはならない」とされます。利用目的の特定の程度についての明確かつ画一的な基準はなく、各企業の判断に委ねられる面が大きいですが、実務上は、適法・違法のラインを探るのではなく、サービス利用者がよりよく理解できる内容を追求することが重要になります。
実際、適法であったとしても、サービスのリリース時にSNSなどにおいて批判的意見が寄せられた事例も出ており、消費者・利用者目線での積極的かつ明確・具体的な説明が求められるのが近時の傾向です。
また、個人情報保護法上、個人データの第三者提供には原則として本人同意が必要とされます(法23条1項)が、近時、ある企業に対し、個人情報保護委員会の勧告が行われたことは記憶に新しいところです。個人情報保護委員会は、この企業の提供サービスに関し、(1)データ項目の提供先で特定個人を識別できることを知りながら、提供元では特定個人を識別しない方式で本人同意なく第三者提供を行った、および(2)ハッシュ化すれば個人情報に該当しないとの誤った認識のもと、提供元で特定個人を識別できる方式で本人同意なく第三者提供を行った、として勧告を行っています。
信用スコアリング事業は基本的に、その性質上、特定の個人を識別して個人データを取り扱うことが多いです。そのため、実務上、本人同意がない限り、信用スコアの第三者提供が行われない仕様とする必要があるものと考えられます。
なお、2020年6月12日に公布された改正個人情報保護法(以下「改正法」)においては、新たに「個人関連情報」(生存する個人に関する情報であって、「個人情報」「仮名加工情報」および「匿名加工情報」のいずれにも該当しないものを言う)の概念が設けられ、データ提供者は、提供先が個人関連情報を個人データとして取得することが想定される時は、本人同意が得られていることなどの確認義務を負うこととされました(改正法第26条の2)。このため、信用スコアリング事業者は、改正法施行後は、利用企業が信用スコアを既存の個人データと紐づけて利用することが想定される場合は、仮に自らが特定の個人を識別しない方式で信用スコアを作成していたとしても、利用企業側が適切な利用目的を示して本人同意を取得済であるかなどの確認を求められるものと考えられます*3。
前述の通り、個人情報保護法ではプロファイリングの実施自体を規制する規定は存在せず、本人同意なく目的外利用されている場合または不正取得された場合などにおいて、保有個人データの利用停止など(法30条1項)を求める余地があるにとどまります。
しかしながら、利用者のプライバシー保護を念頭に置いた場合、実務上は、信用スコアリング事業においては、そもそも信用スコアの作成・利用に先立って(すなわち、信用スコアを提携先企業などへ第三者提供するタイミングではなく、それよりも前の段階で)、利用者本人から明示の同意を取得する運用が要求されるものと考えられます。
日本においても、プロファイリングの実施にあたっては、個人情報保護法やプライバシーの観点から法的課題があること、GDPRではプロファイリング規制が正面から規定されていることを見てきました。このことから、日本企業としても、自らの提供サービスのデータ取り扱い状況を正確に把握して(データマッピングの実施が推奨されます)、各規制に対応することが重要であると考えます。また、ビジネスリスクの管理という点では、提供先/提供元双方におけるデータ保護影響評価の実施や、信用スコアリング事業を介してデータ授受が行われるデータ主体へのメリット/デメリットの説明などの検討が望まれます。
なお信用スコアリング事業について、「信用スコアリング事業の法的課題 ― 個人情報保護法、独占禁止法の交錯」で、個人情報保護法やプライバシーの観点のみならず、独占禁止法に関してどのような法的課題が生じるかを考察しています。併せてご覧ください。
*1. 個人情報保護委員会, 2016. 『個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/EC を廃止する欧州議会及び理事会の2016年4月27日の規則(EU)2016/679(一般データ保護規則)』.
*2. 個人情報保護委員会, 2016. 『個人情報の保護に関する法律についてのガイドライン(通則編)』.
*3. 個人情報保護委員会, 2020. 「『個人情報の保護に関する法律等の一部を改正する法律案』の閣議決定について」(2020年8月11日閲覧)
寺門 峻佑
TMI総合法律事務所 弁護士・ニューヨーク州弁護士
TMIプライバシー&セキュリティコンサルティング株式会社 取締役
平岩 久人
パートナー, PwCあらた有限責任監査法人
篠宮 輝
マネージャー, PwCコンサルティング合同会社
DXとプライバシー保護を両立させる上で有用な「プライバシー・バイ・デザイン」の概念と、その実装方法を紹介します。
実臨床から収集した膨大な医療情報である「医療ビッグデータ」の利活用にあたっては、個人情報保護と研究倫理に関するそれぞれのルールに留意する必要があります。「サービスベンダーによる医療情報の外部提供」と「大学病院との人工知能(AI)の共同研究」の2つの想定事例を取り上げて、データ利活用の観点から法的問題点を解説します。
個人を信用スコアで格付けするサービス「信用スコアリング事業」が、日本でも近年広がりつつあります。同時に、公正取引委員会が、デジタル・プラットフォーム事業者に対する競争法の執行を活発化する姿勢を見せています。信用スコアリング事業を展開するにあたって留意するべき、独占禁止法の観点からの法的課題を考察します。
ビッグデータと人工知能(AI)を用いて個人の性向や属性などの推測を行う「プロファイリング」は、プライバシーの侵害につながる可能性があります。日本でも広がりつつある信用スコアリング事業を取り上げながら、日本における個人情報の取り扱いの法的課題について、個人情報保護法やプライバシーの観点から解説します。
人材マネジメントに「ピープルアナリティクス」を活用するケースが増えてきています。特に活用が期待される領域や活用事例、プライバシー上の懸念事項を紹介します。
Society5.0を実現する上で、ユーザーのオンライン、オフラインの行動履歴に基づいてパーソナライズされた体験を提供することが鍵となります。この行動履歴を活用するにあたっての注意点を解説します。
企業におけるデジタルトランスフォーメーション(DX)の取り組みが加速するのに伴い、事業効率化・高度化に向けたデータ利活用が浸透してきています。本稿ではデータ利活用の新たな可能性としてのデータマネタイズ(データ外販)およびその課題に関して説明します。
ECサイトのレコメンデーションは、消費者の購買意欲を大いにかき立てるものになっています。レコメンデーションの進化とそれに伴う弊害、今こそ企業に求められるレコメンデーションの在り方を解説します。
SBOMはソフトウェアに含まれる全てのコンポーネントを明確にし、セキュリティの透明性を確保するための基本的なツールです。法規制に基づく導入要求の背景、ソフトウェアサプライチェーンリスクの特性、 SBOM運用の課題、そしてどのようなアプローチが必要になるのかを解説します。
各国サイバーセキュリティ法令・政策動向シリーズの第1回目として、中国(大陸)および台湾のデジタル政府化の取り組みやセキュリティ法規制について、最新情報を解説します。
社会のデジタル化が進展する中、サイバーリスクも増加しています。連載シリーズ「望ましいサイバーセキュリティの未来」では各業界における新たなサイバーリスクと、その対策を講じる際の「あるべき将来像」について解説します。
SDV(Software Defined Vehicle)の普及に向け、日本の自動車産業は「4つの領域」における取り組みが求められています。各領域で対応が必要となる「ビジネス戦略」と「サイバー脅威」、および「望ましいサイバーセキュリティの未来」について、PwCの知見と公開情報をもとに解説します。