GDPR(EU一般データ保護規則)に見る20年戦争
- EU一般データ保護規則
Dr.スギヌマのITランダム・ウォーカー:GDPRに見る20年戦争
2018年の5月に入って急に電子メールの数が増えたと感じた人は多かっただろう。特に、海外から情報を受け取っていた人は顕著に感じたはずだ。EUが立法化したGDPR(一般データ保護規則)の5月25日の施行に合わせて各社が対応を取ったため、急に多数の意思確認メールがやってくることになった。
今回は、GDPRという目立った出来事があったから、データ化されたプライバシーの扱いが脚光を浴びた。しかし、コトは今回だけではない。プライバシーの扱いに関しては、長きにわたり色々な試みがなされている。
2002年の講座
「アメリカでは、医療情報より、レンタルビデオ店の顧客情報の方がしっかりと保護されていた時期がある」という話は、2002年8月の学会「Pervasive 2002」で耳にした。ユビキタス技術の先駆的学会として、スイスのETH(スイス連邦工科大学チューリッヒ校:よくチューリッヒ工科大学と訳されるがあまり正確でない:写真1)で開催されたイベントに、日本から駆けつけたら、プライバシーと法制度の講座(チュートリアル)に遭遇した。当時、ウェアラブル機器の研究に力を入れていて、Pervasiveのテーマはまさにぴったりだったからだが、欧州の同僚達は、ウェアラブル機器が集めた情報が、どのように扱われるべきかも議論していた。
【写真1】ETHのビルの一つ。チューリッヒ市内の丘陵地帯にあった。かなりきつい坂道だった記憶がある。(2002年撮影)
ここで、EPFL(スイス連邦工科大学ローザンヌ校)の専門家が語ったのが冒頭の一節だ(写真2)。ユビキタス時代のプライバシー保護に関する講座の講師は、工学と法学の両面を研究する多才な人物だった。
【写真2】Pervasive 2002では、プライバシー法についても論じられた。講師はEPFLの教授(左)。(2002年撮影)
冒頭のレンタルビデオ店の一件は、米国に「個人情報」との観点で、統一的に保護する法律が無かったことを示したものだ。当時、米国では、分野毎に異なる個人情報保護法があったようだ。そして、なぜレンタルビデオ店かと言えば、「国会議員のスキャンダルを暴こうと、メディアがレンタルビデオの借り出し情報を探ったため、対抗措置で法律が出来た」との説明だった。
この講義でのポイントの一つは「EUは、自らと同じレベルの法的保護がなされていない国とのデータ交換については、多くの制約を課す」ということだった。インターネットが民間開放されてから10年経っていなかったが、すでにアメリカ中心としたインターネットの勢いは明らかであった。それでも強い制約を課すというのは、なかなか勇気ある判断だと思えた(写真3、4)。
【写真3】ETHでのランチは、中世を思わせる庭園で議論に花が咲いた。(2002年撮影)
【写真4】チューリッヒの路面電車は山を登る。かなりの傾斜も何のそのには驚いた。(2002年撮影)
急速に変わる認識
以前は、個人情報は集め放題、移動し放題だった。ある複合企業体が、1970年代にカタログビジネスの会社を始めたとき、総帥がインタビューに答えた言葉が印象に残っている。「カタログを通した通信販売で、良質の顧客の情報が手に入る。それを次の開発に活かすとともに、本社の販売にも活用する」としていた。つまり、顧客から得た情報を利用することと会社間で移転することを明らかにしていた。
1970年代にデータ通信に関して調べたときに「EC(EUが成立する前)では、処理前の生データを域外に持ち出させない」との制度がある事を知った。当時、衛星通信のデータ処理を調べていたが、衛星経由の通信にこの制度が影響するか悩んだ記憶がある。当時の「生データ」の定義や「処理」の定義がはっきりしないが、通信衛星の多くは「ベントパイプ(曲がったパイプ)」と呼ばれるもので、軌道上で得た信号を、増幅して返すだけで処理は行わない。最近でこそ、ディジタル処理を衛星内で行うものが増えてきたが、基本はまだまだベントパイプだ。この場合、欧州との生中継(リアルタイム接続)ができないのではないか、と懸念した。
この例にある「データを域外に出さない」との考えは、現在のGDPRにも引き継がれているようだ。
1970代以降、「個人情報は力なり」とばかりに、色々な情報収集がおこなわれたが、個人情報保護法(2003年)により状況が一変した。個人情報を持つことは負担となり、なるべくデータを集めない方が企業活動は楽になった。企業内では、個人情報保護の教育が進み、組織内の体制的にも収集した個人情報は一括管理し、漏洩や不正利用が起きにくい体制が作られている。また、コンピュータシステムも、情報管理に対応するようになった。
並行して、「個人情報は持たないが、利用する」ことが始まった。情報を集めた先に依頼し、例えば広告等を送って貰うわけだ。これならば、個人情報を得たことにはならない。最近も、ある海外の展示会に登録したら「あなたの個人情報は外に出しません。その上で、あなたの属性が外部からの依頼に合致した場合、あなたに我々(注:展示会主催者)が広告を送ります」という選択欄が現れた。以前なら、ここまで詳細には情報の扱い方は書いていなかった。これもGDPRの影響だろう。
しばらくは流動的
GDPRの厳密な解釈では、上記の宣言文でも不足だとの指摘もある。利用者が渡した情報は、利用者のものであるとの考えに立つと、確かにそうかも知れない。先日、ウェアラブル型健康情報機器の開発の場で「現在、世に出ているウェアラブル機器は、情報は機器の会社の所有と定義している。利用者のものではない」とのことを知った。恐らく、機器の説明書のどこかに書かれているのだろう。その上で、あるウェアラブル機器の開発事業者は、自社機材の場合「情報は利用者のもの」であることを訴求点にしようとしている。もやは、性能などではなく、情報の帰属が商品性を決めると考えられる時代になった。
9月にコペンハーゲン(デンマーク)で開催されたITS世界会議では、自動車から発せられる位置情報や経路情報の帰属が話題となった。今後、自動車の通信機能が発達し「コネクテッド・カー」となれば、多くの情報がしなるべき先に渡されるだろう。たとえ、個々の情報を匿名化しても、位置情報から容易に持ち主の推測ができる。すると、保護されるべき個人情報となり、消去要求などに応じる必要がある。交通の流量監視(渋滞監視)を行う「交通情報センター」が、いきなり個人情報の蓄積先として多くの義務を課せられることになってくる。
GDPRで、個人情報を尊重し、注意深く扱うべきであるとの考えが広まったのは喜ばしいことだ。ただ、尊重の度合いも、注意深さの度合いも、地域や文化によって異なりそうだ。インターネットという均一性の世界と、地域・文化という多様性の世界、この両者の間のせめぎ合いを象徴するのが、今回のGDRP騒動なのかも知れない。そうなると、20年といった短い期間で調整が終わるものではない。人々の意識が揃うまで、より多くの時間を要するであろうが、人々は現実的な解決策を見つけるだろう(写真5)。
【写真5】最近は、展示会場等の入口に「ここに入ることは、撮られた写真が公開されることを承認したことになります」との注意書きが出る事が多くなった。
ライタープロフィール
杉沼浩司(すぎぬま こうじ)
日本大学生産工学部 講師(非常勤)/映像新聞 論説委員
カリフォルニア大学アーバイン校Ph.D.(電気・計算機工学)
いくつかの起業の後、ソニー(株)にて研究開発を担当。現在は、旅する計算機屋として活動中。
