誰が｢個人情報の警察｣になるのか。アメリカで進むプライバシー規制と提言

こんにちは。パロアルトインサイトCEO・AIビジネスデザイナーの石角友愛です。2019年の11月19日に、政府が首相官邸でデジタル市場競争会議を開き、GAFAからヒアリングを実施したことがニュースになっていました。

2020年の通常国会に規制強化の法案を提出する予定で、私も内閣官房の｢デジタル市場競争評価体制準備室｣という専門組織のメンバーにデジタル市場のルール整備に関して定期的に意見提供をしています。

その中で感じる、日本政府が現在懸念していることを踏まえて、アメリカにいる立場から見える｢プライバシーの問題｣を今回はまとめたいと思います。

カリフォルニアのプライバシー規制｢CCPA｣が大きな一歩である理由

アメリカでは、Facebookによるケンブリッジ・アナリティカ疑惑のあと、プライバシーに関する課題がさまざまな側面から議論されています。

例えば、カリフォルニア州ではCCPA（California Consumer Privacy Act、カリフォルニア州消費者プライバシー法）が2020年1月から施行されます。

法律の中身としては、GDPRと比較されることも多いので、ここに簡易的な比較チャートを作りました。

（参考：https://www.bakerlaw.com/webfiles/Privacy/2018/Articles/CCPA-GDPR-Chart.pdfとhttp://www.intellilink.co.jp/article/column/security-gdpr01.html）

2つの規制を比べると、GDPRはCCPAよりはるかに広義な領域で規制をかけている（EUの消費者へサービスを提供する事業者がほぼ全て対象になるGDPRに対し、CCPAは売上規模などで線引きをしている）ことが分かります。

また、GDPRは基本的にデータの共有や処理、販売に関して消費者の同意を取らなければいけないオプトイン制なのに反し、CCPAはデータ販売を個人が拒否することができるオプトアウト制なのが大きな違いです。

CCPAで面白い点は、企業が収集した個人情報のカテゴリーや情報源、情報の用途や情報の開示先などを消費者が開示請求する権利が与えられ、過去12カ月分の個人情報のコピーを受け取る権利も与えられます。

つまり、データの収集、処理、販売自体は規制されておらず、あくまで消費者が情報開示を求めた場合に開示する義務や、個人情報の販売停止を求める権利が与えられるというものです。

Facebookでは当時、ユーザーに全く知らされずに本人だけではなく、本人の友人のデータまで第三者機関（アプリデベロッパーなど）に共有されていた事実を踏まえると、CCPAは大きな一歩だと言えます。

さらに規制強化に向かう法案も数々提出されています。

例えば、オレゴン州のロン・ワイデン議員により提出された法案はCDPA（Consumer Data Protection Act、消費者データ保護法）というもので、個人情報の共有や販売の権利は全て消費者に与えられるものとみなし、FTC（連邦取引委員会）がそれを監視する役割を担うべきというもの。

罰金としては年間の収益の4％、また経営陣に対して10〜20年の刑事処罰という厳しい内容になっています。

また、銀行や法律事務所などが個人情報の取り扱いに関して多くの規制や義務が課されるのと同じように、ビッグテック企業（オンラインサービスプロバイダー）にも同じように義務付けるべきだという考えも生まれてきています。

ハワイ州のブライアン・シャッツ議員により提出されたData Care Act（データケア法案）は、ソーシャルセキュリティー番号や電話番号などの個人情報を扱うビッグテック企業に対しての規制強化を主な目的としています。

誰が｢個人情報の警察｣になるのか

規制強化に向かう場合、誰がポリス役になるのかが明確でないことが問題です。

そこでワシントン州の下院議員のスザンヌ・デルビネー氏が提出したInformation Transparency and Personal Data Control Act法では、FTCがデータ規制の監視役になることを定め、予算を3500万ドル余分に増やし、50人のフルタイムの職員を新たに獲得、そのうちの15人は技術専門家であることまで、明確に指示するものとなっています。

議員や政府などのトップダウンな規制法案が出され議論が進む中、草の根や技術者コミュニティーからもプライバシーを守るため、次のFacebook問題を起こさないために何ができるか議論がされ始めています。

例えば、ケンブリッジ・アナリティカ疑惑の発端となった内部告発者であるデータサイエンティストのクリストファー・ワイリー氏の著書『mindf*ck: Cambridge Analytica and the plot to break America』では、クリス氏本人から以下のような提案がなされています。

Facebookをはじめとするシリコンバレーのビッグテック企業特有の｢Move Fast and Break Things（壊れてもいいから、早く動け）｣という企業文化はなくなるべきで、社会へどのような影響があるかを全て検証したあとではじめて、プロダクトは世にリリースされるべきだ。

1. ソフトウェアエンジニアとデータサイエンティストへの倫理綱領が必要。エンジニアはプロダクトを作ることと、作ったプロダクトが世の中でどんな使われ方をするかに大きな乖離があり、プロダクトが出たあとではエンジニアに個人的な関与がないことが問題だ。医者や弁護士、建築家のような専門職のように決定機関により裏付けされた倫理綱領を作り、それを破ったものには社会的な結果が伴うものとなる必要がある
2. インターネットユーティリティの規制は別のものとして考えるべきだ。デファクトスタンダード（事実上の標準）になった圧倒的独占地位を持つインターネット企業は｢インターネットユーティリティカンパニー｣という位置付けで、より高い水準の説明責任と決定機関により管理される義務づけ、罰金などが課せられるべき
3. ｢デジタル規制当局｣の設立。インターネットユーティリティカンパニーが消費者に及ぼす精神的、社会的影響などを検討し、積極的に技術的な監査を行う捜査当局が必要

など、シリコンバレーのエンジニアから賛否両論になりそうな提言となっています。

確かに、テック文化は今まで、良い意味で｢カジュアル｣で、何よりもスピードを重視して、とにかく立ち上げて、世に出してから改善をすればいい、という考えでした。しかし、Facebookのように巨大企業になってしまってからでは、問題解決が容易ではありません。

また、そのカジュアルさが社会への影響や倫理を考えない土壌になったというクリス氏の主張には説得力があります。

プログラマーやデータサイエンティストを資格制度などで縛るのはイノベーションを縮小させる恐れもあるので反対意見が出そうですが、ケンブリッジ・アナリティカ疑惑から1年以上経った今、ようやく本格的な議論がされるようになっています。

日本の規制強化でも、イノベーションを守りながら個人のプライバシーや権利をどう守るか、今後課題になるでしょう。

もっと知る

サブスクはただの｢月額課金｣ではない —— シリコンバレー企業に見るビジネス設計のうまさ

（文・石角友愛）