技術の進歩が進む中、個人情報の取り扱い方法は一人ひとりのプライバシーを守るために重要な課題です。これらを語る上で、データプライバシーとデータ保護は同義語として扱われがちですが、問題の対象とするところが異なります。両者の言葉の違いを解説した上で、日本を含めた各国のデータプライバシーに対する取り組みや最近の傾向についてご紹介します。加えて、データプライバシーについて今後予想される動きについても触れています。
データプライバシーとデータ保護の違い
まず、「データプライバシー(Data Privacy)」と「データ保護(Data Protection)」がそれぞれ意味することについて説明していきます。両者は言葉が似ているため同義語のように使われがちですが、そこには微妙な違いがあります。
データプライバシーは、アクセスの権限を誰が保有し、それに関わる認定を誰がおこなうかを指す言葉です。これは法律や規制をどのように講じるかという問題です。これに対しデータ保護は、個人や企業が持つデータを、不正アクセスなどからどのように守っていくかという点が焦点です。これはどのようにデータを保護するかという技術的な問題です。
データプライバシーとデータ保護は、それぞれの国によっても解釈が異なります。そのため、プライバシーやセキュリティ、コンプライアンスに関する法律などを調べる際には、両者の違いをきちんと区別して捉えておく必要があります。
顧客の信頼を獲得しデータのプライバシー規制および保護規制に対応する
SAP®︎Enterprise Consent and Preference Managementは、信頼に基づく顧客関係を構築し、顧客が自身の個人データを管理できるようにし、データのプライバシー規制および保護規制に対応します。
各国のデータプライバシー
データプライバシーについての取り組みは、国や政治経済の同盟圏などがそれぞれ対策を進めています。ここでは、代表的な取り組みについて解説します。
日本:個人情報保護法
国内におけるデータプライバシーへの取り組みは、2003年5月に成立し、2005年4月から施行が始まった「個人情報保護法(個人情報の保護に関する法律)」にあります。対象は5,001人以上の個人情報を保有する事業者で、名前や住所、顔写真など個人を特定できる情報の取り扱いについて細かく取り決めされています。
2017年5月には「改正個人情報保護法」が全面施行となり、対象が個人情報を保有するすべての事業者に拡大されました。大勢の従業員がいる大企業だけでなく、中小企業や個人事業主、町内会や自治会、学校の同窓会など個人情報を少しでも取り扱う機会がある場合は、法律で決められたルールに則って進めなければなりません。
改正個人情報保護法には、プライバシー保護に関する規定があるわけではありません。しかし、個人情報の取り扱いを適切におこなえばプライバシーの保護も図れるという考えのもとに、データプライバシーに取り組んでいるのです。
EU:GDPR
EUが個人情報保護の枠組みとして、2018年5月から施行された「GDPR(General Data Protection Regulation)」があります。日本語では「EU一般データ保護規則」と訳されています。前身は、1995年に施行された「EUデータ保護指令」で、これよりもより強固な個人情報保護についての取り決めが制定されています。
GDPRは、個人データのコントロールを取り戻し、保護を強化する観点から作られています。具体的には、個人が特定できる名前やクレジットカード情報などあらゆる情報が保護されており、これらの保管やEUやEEA(欧州経済領域)外に移転する際の要件などが示されています。
これらの規則は厳格に守るべきものとして制定されており、破った場合高い制裁金が課されます。EUに企業の支店を置く場合や、日本からEUへ商品やサービスを提供する場合にもGDPRが適用されるため、熟知しておく必要があります。
アメリカ(カリフォルニア州):CCPA
アメリカには、国全体で施行されるような連邦法は施行されていません。したがって、州や企業ごとにデータプライバシーに取り組んでいます。
その中でも、カリフォルニア州では2020年1月1日から「CCPA(California Consumer Privacy Act)」を施行しました。これはアメリカの州の中でも初めての個人情報保護法で、日本語では「カリフォルニア州消費者プライバシー法」と呼ばれています。
カリフォルニア州で事業をおこない、カリフォルニア州民の個人情報を収集する企業の中で、特定の条件に当てはまる企業に適用される法律です。対象となる企業は、過去12ヶ月に収集や売却などをおこなった個人情報について、その情報源や収集の目的から用途まであらゆる観点で情報開示ができるようにしておかなければなりません。また、企業のプライバシーポリシーも毎年更新しなければならないとされています。
前述のGDPRと異なる点として、制裁金が違反件数で計算されるため巨額になる可能性があり、また一般消費者からの情報開示についても対応しなければならないことがあげられます。これにより、企業側に求められることがより煩雑だといわれています。
データプライバシーの最近の傾向
ビッグデータの活用など技術革新が進むにつれ、さまざまな情報が必要とされます。また、それらの情報のプライバシー保護についても議論される機会が増えています。ここでは、データプライバシーそのものの最近の傾向についてみていきます。
1. 個人情報の定義拡大
日本でいえば、すでに施行されているマイナンバー制度、さらに、今後技術が進めば、指紋認証や声紋認証など、我々を取り巻く個人情報の数は年々増えていくことでしょう。デジタルデバイスの利用が増え、ビッグデータの性能も継続的に高性能化しています。これまで個人情報でなかったものが、それを介してセキュリティが担保された場合は、個人情報になり得るのです。
アメリカの例をあげると、ニューヨーク州やニュージャージー州などが個人情報の定義を拡大しました。それには、個人のオンラインアカウントに関するアカウント名やEメールアドレス、パスワードや秘密の質問などが新たに個人情報として盛り込まれました。
2. Cookieの利用制限
ホームページを訪問したユーザー情報などを一時的に保存する「Cookie」については、日本において、現行法では個人情報に位置付けられていません。そのため、多くの企業が広告やマーケティングの分析に用いています。
しかし、2020年に出された個人情報保護法の改正案では、個人情報保護や独占禁止法の観点から、Cookieの利用について規制を加えることが明記されています。具体的には、他社からCookie情報を収集してデータベースに加える場合において、本人の同意を得ることが義務付けられるようになります。政府は2021年からの施行を目指して法整備を進めています。
これらの背景には、米Googleが2022年をめどにCookie情報の外部提供を廃止したり、欧州でCookie規制が広がったりしていることがあげられます。世界のデータプライバシーにおける取り組みを鑑みて、国内でも新たな利用制限を設けるに至ったのです。
3. GDPR ガイドラインをテンプレートとして利用
前述のGDPRガイドラインをテンプレートとしてデータプライバシーに取り組む国も登場しています。2019年には、セルビアとタイが、このガイドラインを利用して新たなデータプライバシー法を制定しました。国によって対象となる人や企業の範囲、細かな取り決めは違っていますが、各国がデータプライバシーの重要性を考え、データ侵害を防ぐ取り組みを進めているのです。
データプライバシーのこれから
データプライバシーの今後の動きが気になるところではないでしょうか。これからの流れについてポイントをいくつかご紹介します。
まず、すでに発表されている情報として、インド・スイス・ブラジルではより厳格なデータプライバシーのガイドラインを法律に盛り込むことを計画しています。今後はそれぞれの国や連盟などでこの動きが加速するとみられています。
また、法律の変化により企業への適用範囲の拡大や報告義務が増えていくことも予想されています。そのため、組織が法律や規制などの動きを自動的に追跡できるプロセスの活用も視野に入れています。今後これらの分野でのテクノロジーの進化がより期待されるでしょう。
現在、GDPRを皮切りに各国やその地域が法律や規制などのデータプライバシー対策を講じている状況です。現在は世界人口の10%ほどの人がプライバシー規制の対象となっていますが、2023年末には対象が65%にまで拡大するとの見解もあり、データプライバシーへの取り組みはさらに拍車がかかると考えられます。
まとめ
「データ保護」が、個人情報を守る技術面においての問題とされるのに対して、「データプライバシー」は、個人情報のアクセス権限やそれを付与する認定を誰がするのかという法律や規制の面においての問題を表す言葉です。
日本では改正個人情報保護法、EUではGDPRなどそれぞれの国や経済同盟圏においてデータプライバシーへの取り組みが進められ、それらを制定する動きは世界中で加速しています。
ビッグデータの高性能化など技術が進歩するにつれ、個人情報と定義されるものも拡大し続けています。これらを守るためにデータプライバシーに関わる法律や規制も変化し続けるでしょう。
