個人情報・データ保護法制の最前線
4 近時の個人情報保護と関連する法整備の動向
(1)デジタルプラットフォーマー透明化法、個人情報保護法、独占禁止法等の整備動向
内閣官房のデジタル市場に関する準備室では、デジタル経済の中でいろいろな対策を考えていきましょうという話になっています。そこで出てくるのがデジタルプラットフォー
マーの透明化法です。プラットフォーマーが大きくなると、彼らだけで取引条件が決められるようになります。すべてとまではいいませんが、相当程度、消費者だけでなく一般的な企業も含めて、なかなか利用者側では対抗できない状況になってきます。
市場を寡占する形で事業を進めるのがデジタルプラットフォーマーの戦略です。市場に任せることによって是正できない面があるので、国がある程度かかわっていかないといけないのではないか、というのが根本的な発想だと思います。
競争市場をちゃんと整えるのは独占禁止法の役割ですが、デジタルの市場は、独占禁止法の中で十分とらえきれませんし、監督も十分にできないところがあるので、この取引透明化法というものができています。
透明化法の内容としては、どの事業者に適用されるかというのが重要で、一般的な事業者も簡単に引っ掛かるかというと、そのようなことはありません。恐らく皆さんが知っているような何社かが基本的な適用対象になります。
もっともいろいろな会社が根こそぎ規制されるのではないか、という心配まではしていただかなくても今のところはいいと思っています。
どちらかというと、「透明化法」という言葉のとおり、積極的な情報開示を求めることになっていますので、禁止行為や行為規制を強くかけていくことでは必ずしもないというのが、今のデジタルプラットフォーマー透明化法の内容です。
これに関係して、デジタル取引を行っていく中で、個人情報保護法もひとつの重要な規律だと思います。
そこでは、個人の権利を強めていくという方針の一方で、事業者による自主的な取り組みも、より強化していこうということになっています。これは、先ほどのデジタルプラッ
トフォーマー透明化法も含めてですが、政府側で、規制する事業者より情報を持っていないことがかなり多くなってきていますし、かつ、そう簡単に従わせることもできないということが背景にあります。
ひとつのポイントとして、一定のルールを守らせる枠組みを、民間の事業者側にもどのようにして一緒に作って、守っていくことに協力してもらうか、これは個人情報保護法やプラットフォーマー透明化法だけではなくて全般的に重要です。
また、個人情報に関しても、消費者に対する優越的地位の乱用という中で、本人の意思に反するような一定の情報の取得や利用について、独占禁止法の対象になるようにしています。個人情報保護法プラス独占禁止法という組み合わせは、日本独自のものではなく、欧米でもだいたい同じような仕組みになっています。
個人情報保護法と独占禁止法、これをどう組み合わせて全体として規律にしていくのか、これが非常に重要な視点になっています。例えば、ドイツではGDPRが施行される前に相当不当な例があったとき、GDPRが適用できないので、独占禁止法を適用したというような事例もあります。
日本の当局の中で、個人情報保護委員会というのはほとんど法執行をしないため、法執行の実績が極めて限定されているという側面があります。それに比べると、まだ海外当局よりは弱いが、公正取引委員会の関与があるのは心強いことだと思っています。ただ、これについては個人情報保護委員会にいる人が悪いのではなく、人数が足りないなどの問題があるのだと思います。
その次に、デジタル市場での広告についても、規制をどう考えていくかという問題があります。デジタル広告市場の中では、シェアが特定の企業に占められるようになってきています。これがプラットフォームビジネスの中では顕著に起こることで、特定の数社が寡占していきます。
Winner takes allという言い方もしますが、こういうデジタル取引の中では勝ち上がった企業が、最終的に1社だけ、もしくは2社程度の極少数の企業だけが非常に強くなるということが、既存の業界以上により多く起こりやすくなります。
このデジタル広告市場の中で、全世界の広告の売り上げのうち、56%をグーグルとフェイスブックが占めており、相当極端に大きな数字であることは見ただけで分かるような話だと思っています。マス広告や屋内広告が減ってデジタル取引がいや応なく伸びてくる中では、どうしてもこういう傾向になるということだと思います。
スマートフォンやパソコンを使っていると、狙い撃ちしたように、これを買いませんかというターゲティング広告がよく出てくると思います。多くの方が不快に感じているという調査結果が出ていますが、来年あたりのひとつのポイントとして、広告やクッキーなどについてある程度狙い撃ちしていこうという動きが見えていて、これは個人情報保護法改正にも反映されています。
プラットフォーマーのルールについて、米国は、プラットフォーマーの生みの親なので、基本的には自由にしようというインセンティブが働くのですが、欧州は徹底的に規制する傾向にあります。
5 個人情報保護法改正の論点
(1)データの漏えい報告
データが漏れたときに本人もしくは個人情報保護委員会に報告しましょうという規定が、改正個人情報保護法に盛り込まれる見込みになっています。
これは、日本以外の先進各国の法令にはほぼすべて入っており、各国で行われているので、日本でも対応しないといけないという背景があります。
(2)認定個人情報保護団体
認定個人情報保護団体には今のところ期待する役割はあまりないという話もありますが、各団体の中で取り組みを進めているものもあります。
匿名加工情報に関する規律を設けるとか、データ保護の主任者(GDPRでは国によっては義務付けがされているデータ・プライバシー・オフィサー)を置くといった定めを、上積みで自主規制団体の中に作る動きも出ています。
「行動ターゲティング広告ガイドライン」を出している自主規制団体もあります。新しい技術やビジネスに対応した自主規制というのは、そもそも行政側も実態が分かっておらず、自分で一から作っていこうとすると手が回らないということもありますので、新しい分野について、その分野に知見がある民間の団体等と協力して、ルールを設定していくことが重要だと思います。
(3)域外適用について
域外適用は非常に重要で、例えば海外から日本にサービスを提供するのが非常に簡単になっています。
個人情報についても同じようなことがあり、金融ですと仮想通貨を香港など、海外のいろいろな場所から売ったりするということもありましたので、海外に対してしっかり法適用できないと、日本企業としてはより厳しい環境に置かれます。この点も整備されることになっています。
(4)法執行について
立ち入り検査をした例が半期で2件ということで、もっといろいろ起こっているのではないかと思われますが、実際の個人情報保護委員会のプラクティスとしては、報告徴収で指導、助言をして是正されれば基本的にそれ以上はしませんということになっています。
この辺も本当は強くしていくべきということも考えられます。このため、個人的な考えになりますが、自主規制団体も含めて、ペナルティー自体も少し増やしていくことも検討していかなければならないとも思われます。
米国の場合、連邦プライバシー法はないので、別の法律ですが、執行額で数千億円単位、欧州ですと数百億円単位の執行がありますが、日本の場合、まったくそういう状況ではないので、上限をどこまで引き上げるか、課徴金を個人情報保護法に入れるのかという議論をしていたのですが、結果として、見送られました。
(5)個人情報該当性
個人情報該当性についてひとつだけ変わってくる部分があります。
情報を第三者に渡そうと思ったときに、自ら個人情報として管理している場合は当然個人情報保護法に従わないといけません。これに対して、提供した先でほかのデータと組み合わさることで、自分の渡した情報が個人情報となるとき、提供する側は個人情報の第三者提供の手続をとらなければいけないかというと、提供する側が個人情報は持っていないという認識であれば、個人情報の規制に服さないというのがもともとの考え方でした。
しかし、クッキーによって情報を取得して、これを組み合わせて情報の提供を受けた側で個人情報になって起きたのがリクナビの事件です。提供元において、提供した先で個人情報になることが明確に分かるような場合には、個人情報の第三者提供として扱わないといけないということになりました。
この部分はかなり大きく、特にクッキーやデジタル広告に関する部分で影響が出てくると思います。
ただ、渡った先で個人情報になるのかというのは、渡す側の事業者でも分からない部分がありますので、どこまで厳しく明確に「分かっている」かを判断するのかは、今後重要な法令やガイドラインで明確にされていくポイントだと思います。
(6)短期保存データの保有個人データ該当性
今までは6カ月以上保存しているデータだけ開示、訂正、削除の対象になっていたのですが、これが個人の関与を強めるという側面もあって、6カ月以内であっても削除や訂正などに応じないといけないことになりました。
企業の中では、6カ月以上持っていない情報も開示等の対象にされると困る場合もあると思いますが、短期しか保有していないデータであっても、開示等に応じないといけないことになっています。
こういった、本人の関与の仕組みを強めるとか、個人情報の漏えい報告をしないといけないとか、認定個人情報保護団体の取り組みを強くしていこうとか、そのほかにも、開示や削除、利用、停止の権利を整備していこうという方向で、事業者から見た法令の規制の内容は強化されてきています。
一定の仮名データについては個人情報として扱わなくていいという整理をしていることもあり、一定程度の部分については利活用に配慮したような制度設計や整備がされています。しかし全般として、個人情報保護法については、ある程度個人の関与を強め、規律を少し強めてきている側面があると思っています。
ただ、個人的には、今の時点でも、GDPRやカリフォルニア州のプライバシー法に比べると、まだそれほど強くない法令かと思っています。
(7)情報銀行について
個人情報保護法の改正とはまったく別の話ですが、日本企業は炎上のリスクを気にしてなかなか個人情報の取扱を進めていないという話がありました。
そこで、個人に対して配慮し、個人のコントロールアビリティーを高めるという枠組があって、さらに国のお墨付きがあった方がいいんじゃないかということで、情報銀行という枠組ができています。
本人の指示に基づいて、個人情報を情報銀行からほかの事業者へ渡していくというのが基本スキームになっています。あとは、基本的に、情報銀行が個人に利益を返してくださいということです。メリットがないと個人としてはなかなか情報を使ってくださいとは言いにくい観点です。
ちなみに、プレ認定ではありますが、何社か既に認定事業者が出ています。(注:講演後に本認定される事業者も出てきています)観光やヘルスケアなどについて、個人の同意に基づく個人情報の第三者提供の仕組みを作っていけるようにしようという実証事業もいくつか行われています。こういう中で、例えば金融機関が医療データを扱えるようにしていきたいという要望も出てきている状況です。
その中で、指針(ver2.0)が出ています。そこでは、消費者個人を起点としたデータの流通、コントロールできる機能の充実が重要ということになっています。
これは認定を取らないとビジネスができませんとは一言も言っていません。どちらかというと情報銀行という言葉を使いたい大手の企業が多いのかなと思います。
認定の基準自体は、総務省、経済産業省で作った認定指針ですが、実際の認定はヤフーを主たるメンバーとするIT団体連盟がやっています。
情報銀行の認定を取るには、総務省、経産省のガイドラインを見た上で、さらにIT団体連盟が出しているガイドブックも見て対応することになります。
情報銀行の運営は比較的大変で、倫理委員会を中に設けないといけないという話も出てきたりしますので、運用としては相当重いことになります。
情報を渡せる相手も原則としてISMS、またはPマーク人認証を持っている事業者か、もしくは暗号化処理、仮名化処理であるとか、一定の情報コントロールができる機器などで情報を見せるようにするとか、相当厳しい要件が付くので、なかなか実際の活動というのは大変な面もあるかと思います。
6 データの権利関係、AIに関する法的諸課題
(1)データに関する権利
データは所有権の対象にならないことになっていますが、データベースの著作権として保護される場合と、営業秘密として保護される場合があります。さらに民法の不法行為責任によって保護される可能性もあるかもしれないのですが、何も保護されない場合もあり得ます。
不正競争防止法では、営業秘密として保護された情報について、より広く保護する方向で法改正がされています。特に不正な手段によってデータを取得する行為や、そのデータを使用、提供するような行為は不正競争行為とされ、差止めや損害賠償請求の対象になっています。
ただ、著作権法などその他の知的財産法については、データの保護を進める改正はされていません。なお、データベースの著作権として保護されると思ってかかると、そう簡単に保護されない可能性があります。交渉上、データを持っている側が主張するのは良いと思うのですが、最後に訴訟をして勝ちきれるかどうかは難しい場合があると思います。
(2)AI・データ契約ガイドライン
著作権法や特許法あたりはあまり改正されていませんが、「AI・データの利用に関する契約ガイドライン」が非常に有用なガイドラインです。データやAIの契約をされる際には、このガイドラインを使っていただくことをお勧めいたします。
データ編とAI編というのがあり、ここではAI編の方を紹介していますが、AIに関する開発やデータの受け渡しについての論点もかなり整理されていますし、かつ、条文の参考例も付いていますので、利用していただくと良いと思います。
実際に契約をする中で、特にデータの方について言いますと、結局知的財産権法でも守られない場合がかなり多く、不正競争防止法があるのですが、やはり契約で縛るということが一番重要な要素になってくるので、基本的にはデータを正当な理由に基づいて渡すときにはどういう条件でデータを使ってもらうかとか、二次提供をどうするかなど、そういうのを契約書にしっかり書き込んでいくことが非常に重要になってくるかなと思っています。先程の個人情報保護法で、同意や第三者提供などの話もしましたが、実際に受け渡しをするときには契約という行為もあって、これによって守られるものも非常に多くありますので、ぜひ先生方も取り組んでいただきたいと思います。この領域は法令に頼るわけにはいかないので、特にデータの方はぜひ契約でうまく工夫をして進めるということを、やっていただきたいと思います。
AIの開発については、どうしても最初に契約をした段階で、成果物がどのようになるのかというのがなかなか分かりません。最初の段階で必ずこうなりますというのがなかなか言い切りにくいということがあります。
通常のシステム開発契約だったら成果物が決まっていなかったら契約として全然だめだというのは、先生方も言われるところだと思いますが、AIの場合にはどうしても分からないことが多々あります。実際にうまくいくかどうかというのは、開発する側の問題だけではなくて、それなりに意味があるデータがきれいに整った形で準備されているかどうかという問題もあります。もちろん開発する側がある程度きれいにするという作業自体はできますが、もともとのデータが全然だめだとどうしようもないということもあります。AIの場合、再学習というプロセスもありますので、こういった部分を特に考慮していかないといけません。もともとあった普通のITの契約と少し違うというものを、今は頭に置いていただき、実際には、ガイドラインを片手に持ちながらやっていただければだいたいのことは書いてあると思います。
AIの保護に関してというと、知財制度に関する検討自体をされているという部分はありますが、このAIに関する知的財産の保護制度というのもなかなか難しい側面があります。どちらかというと進んでいる部分としては、著作権法の改正でAIの学習にデータを使いやすくなるように例外規定を設けるとか、そういうデータ利用を推進することが、法整備としてされている部分としては大きいと思っています。
実際に、AIの出来上がった最終的な成果物としての学習済みモデルが、どのように保護されるのかということについて、特許では多くの例が出てきている分野ではありますが、やはり法的に不明確な部分もありますので、ぜひこの点を契約上しっかり取り決めていただきたいと思っています。
そのほか、AIの開発や利用については、知的財産保護以外にもいろいろな論点があります。例えば、AIネットワークに関する総務省の会議がありまして、その中でいろいろな問題点があるのではないかというのを、開発原則や利活用原則ということで検討したものがあります。その中で、ひとつポイントになるのが、透明性です。AIで開発し最終的に出来上がった学習済みモデルを使って提供されるサービスに間違いが起こったときに、なぜAIがそのような判断をしたのかを検証することが難しい、という性質があります。
ですので、壊れたときに壊れたからいいと思えるものと、そうではなくて、人の命に関わるものもあると思いますので、なかなか一般的なそういう製品に比べて、より検証がしにくいと覚えておいていただくといいと思います。
そのほかに、やはり説明をどのようにしていくのかという点であったり、公平性とか差別という概念が、人工知能を使うことによって再生産されてくるということも論点になっています。例えば、顔認証という技術がありますが、米国の場合ですと非常に大きな問題になっており、都市によっては政府側がそれを使うことを禁止する法案を可決しているところもあります。
なぜそういうことが起こったかというと、黒人の方があまり識別されなかったという問題があったためです。これは白人の識別に比べて黒人の識別ができていないということで、黒人の差別が再生産されているんじゃないかという話になったりします。あとは、先程のケンブリッジ・アナリティカの事件(10月号P7参照)でいいますと、ある種のアルゴリズムを使って投票コードをコード変容させてしまうという、コードを変容させるような働き掛けということも起きています。そうすると意思形成の過程で、気が付いたら、従来の法令で問題になるような典型的な詐欺とか強迫とはまた違う形で入り込んで、意思形成に非常に大きな影響を及ぼしていることもあります。こういったある差別や民主主義の過程に関する問題は今後の日本のデジタル社会でも発生するかと思いますので、ぜひ海外で起こった事例を見ておいていただくと、感覚を養っていけると思います。
今はAIに即していいましたが、データも似たようなことがあると思っています。別にAIを使っているかどうかに関わらず、結果として差別されているのであれば、それは人権問題です。
多様なデータが多方面で使われるようになってきている一方で、人権との関係、トラディショナルな国家対市民というだけではなく、民間の世界でもいろいろな形で起こってくるので、ぜひそういう視点も含めて見ていただけるといいかなと思っています。
