国内でも規制法の骨格が固まる

 

ここ1～2年、インターネットで個人情報を扱う際のルールに関する話題が増えてきました。

契機になっているのは、SNSや検索エンジンなどの分野で、大規模なサービスを展開する事業者、プラットフォーマーや巨大IT企業、日本ではGoogleとApple、Facebook（現メタ）、Amazonの頭文字を取って、GAFA（ガーファ）という造語で象徴させることも多いようですが、4社に代表されるIT大手を取り巻く動きでしょう。

 

巨大IT企業はデジタル文化を育成してきた一方、個人情報の過度な集中とその使い方が問題視されるようになっています。特に2021年後半あたりからは、元社員の内部告発が相次ぎ、各国での規制強化とIT企業の対策が進むなど、動きが慌ただしくなっています。

 

国内でも2022年2月に法規制の骨格が固まり、関係する省庁と業界も対応を進めつつあります。こうした動きを概観しながら一般企業が個人情報を扱う上での留意点を考えてみましょう。

 

再燃したIT大手の情報管理体制への疑問

 

まず、代表的な大手IT企業のビジネスモデルと個人情報の関係を見ておきましょう。

Googleの検索窓からキーワードを指定すると、瞬時に結果が返ってきます。スマートフォンでFacebookアプリを開くと、よく整理されたレイアウトで友人知人の近況が一覧できます。このようなワンアクションに対しても、バックエンドでは何台もの高性能なサーバーが稼動しています。

 

Googleやメタの場合、コストがかかるサービスを無償で提供できるのは、広告配信のモデルが確立しているためです。広告の内容を決める上での重要な手がかりは、主に利用者がサイトに登録した個人情報とサイトを閲覧した履歴などの行動データです。つまり、ユーザーの情報はIT大手の収益源なのですが、これまであまり知られていなかった管理の実態も見えてきました。

 

2020年には、履歴を残さずに閲覧できるとされてきたWebブラウザの“シークレットモード”の利用時もデータを採取していたとして、Googleが集団訴訟を起こされています。2021年秋には、メタの元社員が、若年層に悪影響を与える可能性があった調査内容をサービスに反映させず、自社の利益を優先させたと主張した一件も大きく報道されました。

 

他のプラットフォーマーの元関係者からも、ユーザーの指示がなくとも情報機器の録音モードが動作し、センターで内容を分析していたとする証言も出てきています。

 

 

改めて知るデータ収集のパワー

 

元社員の証言やその後の報道などに接してまず感じるのは、プラットフォーマーが持つ圧倒的な情報収集力、ユーザーが何億人、何十億人に及んでも、1人ひとりの詳細なプロファイルや行動履歴を抑えているという事実ではないでしょうか。

 

以前は個人情報を保存する目的やデータの内容は、あまり伝わってくることはありませんでしたが、プラットフォーマー側の姿勢も少しずつ変化し、現在は収集目的や種類はほぼ開示され、一部は一般ユーザーも入手できる形になっています。

 

一例を挙げると、Googleもアカウントを持つ人なら、誰でも保存されている行動データにアプローチできるようになっています。まだ確認されていない方は、PCやスマートフォンから、「takeout.google.com」にアクセスしてみてください（本来の機能はデータを他のサービスにエクスポートするもの）。

 

ブラウザの利用やAndroidデバイス設定、Google Play関連の記録など、40以上の項目のうち必要な部分をチェックすると、システム側の準備ができ次第、ダウンロードが可能になったことを伝えるメールが届きます。“数日かかる場合もある”などと記載されていますが、概ね数時間で届いているようです。

 

 

 

「takeout.google.com」のメニューの一部　　出典：Google

 

 

プラットフォーマーは“すべてお見通し”

 

「takeout.google.com」で入手したファイルからは、自分の意志でクラウド側に残してきたドキュメントやアドレス帳、スケジュールなどは別として、ブラウザの設定と利用履歴、Googleマップでの検索、たまたま接した動画チャンネルなど、“記録”は意識せずに使っていたアプリにも、克明な足跡が残されていることが分かります。

 

このファイルから得られる行動履歴をセキュリティ技術者やデータ分析の専門家が見れば、住所氏名だけでなく、性別、年代、勤務先、所持している車、最近の旅行先、好きな映画とアイドルなど、ユーザーのプロファイルはほぼ正確に読み解くことができるとされています。

 

もちろん、利用者の足跡を記録しているのはGoogleだけではありません。Appleの製品にも同様の機能は備わっていて、iPhone（iOS15以降）では、「設定」アプリから「プライバシー」のメニューを開き、「Appアクティビティを記録」をオンにして「Appアクティビティを保存」のタップで、ユーザー側でも最大7日分のデータを保存し出力できます。

 

Facebookを運営するメタ、Amazonなどのプラットフォーマーも、詳細なアクティビティ（活動状況）を保存・分析することで、“利用が利用を呼ぶ”モデルを形成し、コミュニティ拡大やショッピング機会の増大、効果的な広告配信につなげていることはビジネスとして当然でしょう。

 

プラットフォーマーへの規制

 

大手IT企業の個人情報管理に対しては、先進国を中心に規制が行われてきました。「takeout google.com」の例で見たような詳細な利用履歴を、ユーザーが知らないところで自社のビジネスに活用し、広告会社など第三者と共有していたこと、そして大企業のサービス設定が“個人情報”の定義や扱い方も左右してしまう事実が広まるにつれて、消費者の反感が高まったのです。

 

個人情報保護にもっとも厳しいとされる欧州では、EUが2018年に「GDPR（一般データ保護規則）」を施行しました。個人情報の定義をはじめ、個人の特定につながるデータを企業間で移転する際のルールなどを定めたもので、ユーザーの情報を自社サービスの改良や広告配信につなげてきた企業にとっては、活動に制約がかかるようになっています。

 

「GDPR」の基本原則は“個人情報は本人のもの”とするもので、施行後は各国に影響を与えました。個人情報の定義とデータを移転する際のルールなどは、それぞれの地域で異なりますが、米国、ブラジル、インドなどで、「GDPR」に準じた規制法が設定されています。個人情報の扱いには比較的おおらかとされてきた中国でも、「GDPR」を参照したとされる「個人情報保護法」「データ安全法」などの関連法が、2021年以降に成立しています。

 

国内の規制法はEUとは乖離

 

国内では、「デジタル・プラットフォーマーを巡る取引環境整備に関する検討会」や「電気通信事業ガバナンス検討会」などで、関連するテーマの議論が行われきましたが、一つの区切りとして、2022年2月に「ガバナンス検討会」が規制案を了承し、骨格がほぼ固まっています（「電気通信事業法 改正案」に盛り込まれ、2022年1月開催の国会（会期150日）に提出予定）。

 

国内法は、規制はすべての電気通信事業者ではなく、大規模検索サービスやSNS事業者などに限る、情報保護の対象を事業者が契約する利用者に限定するなど、「GDPR」に比べるとかなりゆるやかな内容になっています。覧履履歴を第三者に提供する際の同意取得の原則化も見送られました。当初は、消費者保護を重視した「GDPR」に近い内容になるとの見方が多かったのですが、産業界の反発も強くこの内容に帰結したとされています。

 

日本ではもともと、法律で保護する「個人情報」の範囲が狭く、サイトの閲覧履歴を文字情報で保存して利用者の識別に使う「クッキー」も、個人情報とは見なしません（「GDPR」では個人情報）。しかし、個人名と直接結びつかなくとも、自分の行動履歴が売買されたり、いろいろなサイトで同じ広告が表示されたりする現実には、違和感を覚える人も多い点は留意しておくべきでしょう。

 

 

クッキーが利用者（PCなどの端末）を識別する仕組み

出典：「国民のための情報セキュリティサイト」　総務省

 

 

日本企業も世界の動きを追従

 

日本の規制法は、先進各国とギャップが生じた印象は否めず、個人情報保護を強化する世界の動きは間違いなく加速しています。プラットフォーマーも対応を進めており、一例を挙げると、Appleは2021年から利用者の許可がなければ、端末を特定できるIDを元に、広告などの事業者がアプリの利用歴などを追えない仕組みに変えています。

 

Googleでも、アクセスしたサイトの運営企業とは別の事業者が発行する「サードパーティ・クッキー」を扱う機能を、2022年までに段階的に停止すると発表しました（その後1年延長を発表）。このような対策によって、ユーザーの関心が高そうな内容に絞り込んだメッセージを配信する「ターゲティング広告」のような手法の実践は難しくなります。

 

国内でもこうした動きを受けて、一部の事業者は対策を進めています。例えば、「サードパーティ・クッキー」を使用せず、閲覧している記事の内容からその人の関心を推測して提示する「コンテキスト（文脈）広告」と呼ぶ手法を採り入れるサイトも増えてきました。

 

その一方、利用者の意識も少しずつ変わりつつあるようです。個人が自ら個人情報をマネタイズ、例えば、日々の生活サイクルから発生する情報を企業に預け、対価を得るサービスも登場しています。ユーザーがサイトを閲覧した記録などの情報を提供し、見返りとしてポイントなどのインセンティブを得る「情報銀行」も、同様の流れと考えていいでしょう。

 

 

 

情報銀行の運用イメージ　出典：「令和3年版　情報通信白書」　総務省

 

問題の本質を見失わずに対応を

 

ここ数年の法規制、特に欧州や米国の対応は、特定プラットフォーマーを“狙い撃ち”した印象も無きにしもあらずですが、“GAFA規制”のような言葉で括ってしまうと、問題の本質が見えにくくなります。いま考えるべきは、インターネットサービスが浸透した社会で、個人情報をどのように定義し、情報の保護と利用にどう向き合っていくかではないでしょうか。

 

プラットフォーマーの事業体制の変化と、各国の法規制に直接的な影響を受けるのは、オンライン広告の制作・管理、出稿に携わる事業者、多くの個人情報を管理するECサイトの運営母体、海外の顧客も多い企業などが中心ですが、インターネットを介して個人ユーザーと何らかの接点を持つ組織には、決して無縁の話ではありません。個人情報の扱いに関する世界と日本の動向は、常に関心を向けるようにしたいものです。