プライバシー視点でのデータ保護
プライバシー情報には個人情報保護法の対象外となるものがある
個人情報保護法では、生存する個人に関する情報のうち、特定の個人を識別できる情報を対象にしています。それに対してプライバシー情報とは、個人や家庭内の私事・私生活や秘密といった、他人に知られたり干渉されたりしたくない情報のことです。個人情報よりもその対象が広いため、個人情報保護法では保護されないものもあります。
次のケースも、個人情報保護法の対象にはならないでしょう。
- 私が玄関ドアをスマートロック化(※)して、メーカサイトには家の住所だけ登録する。自分や家族の名前は登録しない
- メーカは私へ通知しないまま、ネット経由でドアが何時何分に開いたかの履歴を収集し、第三者に提供する。
※スマートロック…既存の錠をなんらかの手法により電気通信可能な状態とし、スマートフォン等の機器を用いて開閉・管理を行う機器およびシステムの総称 https://ja.wikipedia.org/wiki/スマートロック
法律に違反してはいませんが、自宅ドアの開閉履歴が勝手に第三者に渡っていることを知ったら、私はメーカに抗議するでしょう。家族のプライバシーが侵害されたと思いますし、犯罪者が履歴情報を手に入れて悪用する可能性が無いか、メーカに情報提供先の開示を求めます。(仮の事例です。実際のスマートロックメーカの多くはプライバシーを尊重しています。)
このように、個人情報保護法の対象外となるプライバシー情報にも、サービス利用者からすると企業に適切に保護してほしいものがあります。
欧米ではプライバシーのためのデータ保護法制定が進んでいる
一方、ヨーロッパではこうしたプライバシーに関する情報の多くが法規制で保護されます。GDPRをはじめ、ヨーロッパのデータ保護関連法がプライバシー保護の視点で策定されているからです。この視点に基づいてヨーロッパでは随分前から、GPSの位置情報やサイト閲覧時に発行されるCookieも保護対象とされてきました。(日本では位置情報はガイドラインに基づいて最近対象となり、Cookieは一部の条件を満たすものだけ今年の改正案で対象にしようとしています。)
アメリカでは従来、GAFAのようなデータを収集し利活用する企業の力が強く、プライバシー情報の保護がヨーロッパや日本より甘い点もありました。しかし最近、個人情報の漏洩と政治的な利用が続いたため、ヨーロッパに続いてプライバシー視点でのデータ保護法の制定が各州で進んでいます。今年1月にはカリフォルニア州で「カリフォルニア州消費者プライバシー法(CCPA)」が施行されました。この州法では保護の対象を「消費者と世帯に関する全ての情報」としています。「個人情報」ではなく「世帯情報」と対象を広げることで、必ずしも個人が特定できなかったとしても、前述のスマートロックのようなプライバシー情報が黙って利用されることを防ごうとしています。またCCPAでは対象データを売却するだけでなく、外部に分析を委託するのにもその目的・提供先・データ種を事前に明示する必要が有り、プライバシーが守られます。
日本でもプライバシー情報は保護されるべき
日本の個人情報保護法は、これまで欧米のデータ保護関連法の考え方を追いかけ、取り入れて改正されてきました。今後の法改正によって、日本の「個人情報」の対象も欧米のプライバシー情報に近づいていくかもしれません。ただ、この2つの情報のギャップはなかなか埋まりきらず、冒頭のスマートロックの例のような、企業によるプライバシー情報の不適切な利用は今後も起こるでしょう。これは法律上問題無くても、社会的な責任に反する行為と見られ、イメージダウンに繋がります。これを防ぐためには、企業は広くプライバシー情報を適切に扱うべきでしょう。つまり、個人情報と同様に、収集するときにはその目的を明確にし、目的外の利活用や第三者への提供はせず、個人などの提供元の開示や削除の要求に応えられるようにします。
最後に
みなさんも今後、CCPAなどの新しい法規制の考え方を参考にしながら、何がプライバシーに該当するのか議論するところから始めてはいかがでしょう。その際はこれまで個人情報を管理してきた部門だけでなく、これからプライバシー情報を利用しようという部門の方にも参加してもらい、企業全体での適切な取り扱いを考えていきましょう。