2020年08月03日

「データの時代」と「プライバシーの時代」の両立-欧州、米国カリフォルニア州、日本におけるクッキー規制

立教大学ビジネススクール 大学院ビジネスデザイン研究科 教授   田中 道昭

デジタルトランスフォーメーション(DX) 規制・制度改革 などの記事に関心のあるあなたへ

btn-mag-b.png
基礎研 Report Head Lineではそんなあなたにおすすめのメルマガ配信中!
各種レポート配信をメールでお知らせするので読み逃しを防ぎます!

ご登録はこちら

twitter Facebook このエントリーをはてなブックマークに追加 Pocketで後で読む

文字サイズ

1――デジタル・プラットフォーマーと顕在化するデジタル化の弊害

1「デジタル化されたものは破壊される」
デジタルトランスフォーメーション、デジタルシフト、デジタル資本主義―。近年、「デジタル」を鍵とする経済・ビジネスのキーワードが増えてきている。デジタルは2020年代で最も重要な概念の1つと言ってもよいだろう。
 
なぜ、デジタルがこれほどまでに重要な概念となったのか。その答えは、デジタル・プラットフォーマーと言われるGAFA(米国のグーグル、アップル、フェイスブック、アマゾン)やBATH(中国のバイドゥ、アリババ、テンセント、ファーウェイ)といった米中メガテック企業が示している。彼らの特徴は、特定の商品・サービスだけで収益を上げようとしていないことである。それぞれの事業領域でデジタル・プラットフォームを構築し、様々な商品・サービスやコンテンツ、ビジネスやシステムをその中に取り込みながら、「エコシステム全体」での成長を図っている。
 
デジタル・プラットフォーマーは、「大胆なビジョン×高速PDCA」のビジネス手法でも共通している。彼らのビジネスは、まず大胆なビジョンを打ち立てることから始まる。次に、そのビジョンから逆算する形で「今日何をするべきか」を明確化。そして、高速のPDCAサイクルを回し、生産性や効率を高めながらビジョンの実現にむかって邁進していく。言い換えれば、超長期思考とスピードの掛け合わせである。これによりイノベーションを何度も起こし、爆発的に成長していく。
 
また、この時に重要視されるのが「スケーラビリティ(拡張性)」である。「大胆なビジョン×高速PDCA」による爆発的な成長力を存分に生かせるのは、それだけの成長が見込める余地のある事業、つまりはスケーラビリティのある事業に限られる。したがって彼らは、そもそも拡張性のない事業には手を出そうとしない。結果として、デジタル・プラットフォーマーの成長曲線は似通ったものになっている。当然ながら、スタート時はごく小さな事業である。しかし、ひとたび軌道に乗ると、倍々ゲームのように伸びていく。1、2、3、4といったリニア(線形関数的)な成長ではなく、1、2、4、8といったエクスポネンシャル(指数関数的)な成長である。
 
ひとたびエクスポネンシャルな成長が始まれば、競合となるプレーヤーを含めて関連業界や企業が破壊的な影響を受けることになる。アマゾンの台頭により、書店をはじめとする多くの小売業者が閉店に追い込まれたことが、その典型例である。デジタル・プラットフォーマーが示しているのは、次の2つである。「デジタル化」されたものは、エクスポネンシャルな成長を遂げること。そして「デジタル化」は「破壊」をもたらすこと。こうしてデジタル化は、現代社会に大きな影響を与えることになったのである。
2|「データの利活用」と「プライバシーの保護」を両立させる
しかし今、こうしたデジタル化の流れが岐路に立たされている。デジタル化の弊害が顕在化してきている。その弊害の1つが、個人情報保護の問題である。
 
デジタル・プラットフォーマーはこれまで、ユーザーの膨大な個人データを蓄積し、それをユーザー・エクスペリエンスの向上や新サービスの開発に生かしてきた。データこそ、彼らにとって最大の武器である。またユーザーも、自分のデータを提供する見返りとして、無料のサービスなど、様々な恩恵を受けてきた。しかし、個人情報がどう使われているのかユーザーに対し不透明であること、またフェイスブックが最大8700万人にものぼる個人データを流出させた事件が象徴するようにプライバシー侵害のリスクがあることなどを受けて、世界はにわかに個人情報保護に傾いている。
 
欧州では一般データ保護規則(GDPR)が、米国ではカリフォルニア州消費者プライバシー法(CCPA)が施行され、日本においても個人情報保護法の改正が6月に国会で可決した。すなわち、「データとプライバシーの両立」という潮流が起きているのである。
 
アップルとグーグルは、4月10日付けプレスリリースにおいて、両社が新型コロナウイルス対策として濃厚接触の可能性を検出するテクノロジーで協力するという取り組みを発表した。新型コロナウイルスの感染者と濃厚接触した可能性があるユーザーにスマートフォンで通知するという仕組みで、アップルの「iOS」とグーグルの「アンドロイドOS」の間で相互に運用が可能とされている。アップルとグーグルによるOSでの協業は世界中のほとんどのスマートフォンを対象としており、感染の監視においては高い実効性が期待できる。しかし、個人情報にかかわるビッグデータを持つメガテック企業同士の連携ということでは、プライバシーに関する懸念が残る。
 
今、アップル、グーグルとも、新型コロナウイルスの感染拡大への対応を契機として、また世界的に影響力の大きいデジタル・プラットフォーマーだからこそ、否応なく「データの利活用」と「プライバシーの保護」という相反する命題に、より高いレベルで対峙することが迫られている。
 

2――「データの時代」と「プライバシーの時代」の両立

2――「データの時代」と「プライバシーの時代」の両立

1|欧州・米国・日本で「クッキー規制」が強化されつつある
個人情報保護をめぐる法制度の厳格化が、世界各地で相次いでいる。欧州の一般データ保護規則(GDPR)、米国カリフォルニア州の消費者プライバシー法(CCPA)、日本の改正個人情報保護法、という3つの法律である。これら法律は「クッキー規制」とも総称される。
 
まず、クッキーに関する基本的な考え方を押さえておきたい。正式名称は「Cookie」。ユーザーがいつ、どのサイトを見たのかといった閲覧履歴やパスワード・IDなどログインに関するデータを一時的に保管する仕組みや、ユーザーのブラウザと閲覧サイトのドメインの間でそのようなデータをやりとりする仕組みのことを指している。クッキーはユーザーがアクセスしたサイトからユーザーのブラウザに送られ、保存される。
 
クッキーには、大きく2つの利用法がある。1つはユーザーの利便性向上で、例えば一度訪れたサイトではIDやパスワードの入力を省略できるのはクッキーが機能するからである。
 
もう1つの利用法が広告である。クッキーをもとにユーザーの価値観や性格、行動パターン、趣味などを推測することで、最適化された広告を配信できる。しかも、あるサイトで自転車を検索したあと別のサイトに移動したらそこでも自転車の広告が表示された、といったことも起こる。このようなことが起こるのは、クッキーが2種類存在するからである。1つは、ユーザーが訪問したサイトのドメインから発行される「ファーストパーティクッキー」である。これは、そのサイト内でのみ使用できるもの。もう1つは、ユーザーが訪問したサイトとは別のドメインから発行されるクッキー、通称「サードパーティクッキー」である。サードパーティクッキーは複数のサイト間で共有することができるため、そこから、複数のサイトにまたがったユーザーの行動や興味をデータとして収集し、より精度の高い広告につなげることができる(図1参照)。その限りでは、クッキーの利用にはメリットのほうが多いようにも感じられるかもしれない。クッキーのおかげで個人は興味のない広告を見ずに済み、広告主はムダな広告を減らせるのですからである。
図1 クッキーの仕組み(筆者作成)
しかし、クッキー規制とはその名の通りクッキーの利用に制限をかけようとするものである。それは何故か。クッキーの利用が個人の特定につながる危険、つまり、プライバシーが侵害される危険をはらんでいるからである。
 
訪問したウェブサイトで広告バナーが表示される時、その広告をクリックした時、ユーザーが使っているブラウザは、広告配信サーバーから発行されたサードパーティクッキーを受け取っている。広告業者は、サードパーティクッキーを発行することでユーザーのネット上の行動を勝手に追跡(トラッキング)しているのである。
 
そのことをユーザーが意識することはまずない。クッキー自体は氏名や住所を含んでおらず、広告業者も、そこから年齢層や興味などを推定し、ユーザーの趣味や嗜好にマッチしそうな広告の配信に利用するのみであり、個人を特定するものではない。しかし現実には、クッキーと他のデータとを突き合わせることで個人が特定できてしまうこともあり得る。さらに、クッキーは、ユーザーのログイン状態が不正に再現されてしまったり、ユーザーが意図しないブラウザの不正操作(クロスサイトリクエストフォージェリー)が行われたりする、セキュリティに関する弊害をもたらすリスクもはらんでいる。

従来、クッキー単体で個人情報と見なされることはなかった。しかしクッキーに限らず、個人情報の保護はインターネットの拡大とともに注目されるようになった。プライバシーの権利は、日本国憲法第13条で規定された「幸福追求権」に含まれると考えられる基本的人権の1つであり、特にEUは常に世界の先頭に立ってプライバシー保護を推し進めてきたという歴史的な経緯もある。クッキー規制にかかわる法制度の厳格化は、このような背景から始まった。クッキーによる個人の分析や特定を規制すること。クッキーを収集するなら、使用目的を説明し、ユーザー本人の同意を得ること。そのような内容が中心になっている。
図2 欧州、米国カリフォルニア州、日本の個人情報に関する法制度の比較(筆者作成)
2|【欧州】一般データ保護規則(GDPR)
一般データ保護規則(GDPR)は欧州が2016年4月に採択、2018年5月に施行した法律である。厳密には1995年にデータ保護指令という通達があり、この通達を法律にしたものがGDPR、という位置づけである。GDPRの対象国は、EU27カ国にノルウェー、アイルランド、リヒテンシュタインを加えた「欧州経済領域(EEA)」の30カ国。欧州データ保護会議という機関が、各国の機関と連携している。その目的や理念については「基本的権利としての個人データ保護の権利を保護」「個人データのEU域内の自由な移動」と、法律の目的条項のなかに書かれている。
 
GDPRが採択された経緯について、インターネットイニシアティブ(IIJ)の鎌田博貴氏は次のように解説している。
 
「今回のGDPRも保護指令も、個人データの取得や利用には一定の法的な根拠が必要であり、透明性、公正性を原則とするというのは同じですが、保護指令はEU加盟各国が個人データ保護のための国内法を制定するための指針という位置付けであり、実際に制定された国内法の内容は国によって差異がありました。EUには、国境に関係なくヒトやモノや資金を移動できるシングルマーケットという理念があります。保護指令をガイドラインとした国内法の内容が各国バラバラであったため、EU全域を舞台とする多国籍企業の活動に不便が生じていました。そこで、国内法の手続きを経ずに加盟国で適用できるようなEUの法律を定めようという機運が高まり、GDPRが生まれました。もう1つは、インターネットの浸透度です。95年というのは、民間企業や一般市民が通信手段にインターネットを使うようになった時期です。その後20年ほどたち、われわれの生活はインターネットなしでは成り立たなくなり、取り扱われる個人データの質や量、生活に及ぼす影響も95年とは比べものにならないほど大きくなっています。さらに昨今では、AI(人工知能)やIoTなどにより、暮らしの中に情報通信がさらに入ってきています。そのような状況を前提とした新しい規則が必要になったわけです」(2018年8月1日IT Media News)
 
GDPRでは、事業者に対して個人データの取扱い目的などをユーザーへ知らせることが義務化された。そもそも、商品・サービスの開発に際してプライバシー保護を前提にしなければいけない(バイ・デザイン、バイ・デフォルト)ことが定められている。一方、消費者に対しては、個人データへのアクセス権、個人データの取扱いを制限させる権利、データポータビリティの権利(あるプラットフォーマーから別のプラットフォーマーへとデータをそのまま移行する権利)を保障している。
 
GDPRの大きな特徴の1つは、「オプトイン」といって、事前に個人データの所有者の同意がなくては利用してはいけない原則があることである。つまりGDPRにはまず「個人情報は利用させない」という前提がある。そのため事業者はあらかじめ個人に対し、何の目的でいつまで使うのか、といった情報を提供し、個人からの同意を得なければならない。最近、ウェブサイトにアクセスするとまず、クッキー使用の同意を求めるポップアップが表示されることが増えてきたのは、ここに発端がある。
 
また個人は企業に対し、個人情報の消去を請求できる権利を持つ。これは通称「忘れられる権利」と呼ばれる。一度でもインターネット上で個人情報が拡散してしまうと、それを削除するのは個人の力では不可能。それにより精神的な苦痛を味わったり、その後の生き方に悪影響を受けたりする危険がある。しかしGDPRは個人に対し、企業に対し個人情報を遅滞なく削除することを要求できる、とした。こうした規制に違反した事業者は、違反内容によって「1000万ユーロまたは世界全体での売上高の2%の高い方」あるいは「2000万ユーロまたは世界全体での売上高の4%の高い方」の制裁金が科せられる。2000万ユーロなら日本円にして25~26億円、大変に重い刑罰だと言えよう。
 
GDPR、CCPA、日本の個人情報保護法では個人情報の定義が異なっている。GDPRのもう1つの特徴は、IPアドレスやクッキーなども個人情報と見なす点である。GDPRが個人情報と定義するものは何か。名前や住所、メールアドレスなどは、当然個人データとして扱われる。「物理的、生理的、遺伝子的、精神的、経済的、文化的、又は社会的なアイデンティティから識別される情報」も個人情報とされる。ここで重要なのは、IPアドレスやクッキーなど、単体では個人の特定が不可能でもほかの情報を組み合わせることで個人の識別につながると考えられる情報を個人情報と見なしている点である。既述の通り、クッキー自体は個人を特定する情報ではないが、その人のネット閲覧履歴が蓄積されていけば、性格や趣味など、誰にも知られたくない深いところまで把握されるおそれがある。
 
位置情報も同様に、個人情報として扱う。いつ、どこにいることが多いのかという情報のことである、その時間帯や頻度から自宅や職場を特定することは、さほど難しいことではない。
 
規制の対象となるのは、どのような企業か。EUで成立した法律であるが、日本国内の企業にも影響を及ぼすことがある。EU域内でビジネスを行い、EU域内の個人の個人情報を扱うすべての組織に適用される。そのためEU域内に子会社を持つ日本企業はもちろんのこと、そのような拠点を持たなくても、EU域内にいる個人に対して商品やサービスを提供している場合や、EU域内の個人の行動を監視する場合には、日本企業であってもGDPRが適用される。
 
GDPRによる取締はすでに始まっている。2019年1月にはフランスのデータ保護監督機関「CNIL」がグーグルに対し、5000万ユーロの制裁金の支払いを命じた。CNILによると、ターゲット広告のためのデータ収集に関しての説明がわかりづらい、「データ収集に同意する」という項目にあらかじめチェックマークが入っていることはオプトインの原則に違反する、また収集したデータの利用方法や保存期間の説明も簡単には見つけられないことなどが問題視された。
 
欧州についてはもう1つ、eプライバシー規則という規制が話題にのぼる。eプライバシー規則は2017年1月に欧州委員会が提案したもので、まだ採択はされていないが、採択の方向で動いている。
 
ここでも、ウェブサイト運営事業者が、利用者の閲覧履歴やウェブ上の行動履歴などを含んだクッキーを活用する場合には、利用者の同意を求めることになっている。eプライバシー規則もGDPRと同じく欧州経済領域の30カ国が対象である。しかも個人情報の扱いを定めるものであり、両者にどういった違いがあるのか、わかりにくいかもしれない。しかし日本で言うなら、民法と会社法がそうであるように、GDPRが一般法なら、eプライバシー法は特別法。GDPRに比べてeプライバシー規則はより広く細かく、個人情報を規制するものとイメージしてよいだろう。欧州委員会の資料によるとGDPRが保護するのは「すべての個人データ」、一方eプライバシー規則は「電気通信とデバイスにおける秘密性」と定義されている。
twitter Facebook このエントリーをはてなブックマークに追加 Pocketで後で読む

立教大学ビジネススクール 大学院ビジネスデザイン研究科 教授

田中 道昭

研究・専門分野

アクセスランキング

レポート紹介

【「データの時代」と「プライバシーの時代」の両立-欧州、米国カリフォルニア州、日本におけるクッキー規制】【シンクタンク】ニッセイ基礎研究所は、保険・年金・社会保障、経済・金融・不動産、暮らし・高齢社会、経営・ビジネスなどの各専門領域の研究員を抱え、様々な情報提供を行っています。

「データの時代」と「プライバシーの時代」の両立-欧州、米国カリフォルニア州、日本におけるクッキー規制のレポート Topへ