【学生団体 Bizjapan】ディープラーニングと日米欧の個人情報保護政策


人工知能(AI)とディープラーニングが発達した世界においては大量の情報を扱うことが容易に可能ですが、その情報の中には、法規制の影響を受ける「個人情報」が多く含まれることもあり得ます。そしてそれらの情報は1カ国ではなく、複数の国の法規制を受けることも考えられ、我々は複数の国の法律にについて十分な理解を持っておく必要があります。そこで今回はディープラーニングに大きく関わる世界的な個人情報保護の動きについて見ていきましょう。

オプトインとオプトアウト

まず、EUと米国の個人情報保護の基本的考え方を比較してみましょう。個人情報の取り扱いについては、大きく分けて2つの基本的考え方があります。EU型の「オプトイン」と米国型の「オプトアウト」です。オプト(Opt)とは英語で「選択する」、「決める」という意味の動詞です。この動詞にイン(in)がつくことで、「参加する」という意味合いになります。逆にアウト(out)がつくことで、「脱退する」という意味になります。

オプトインではそのサービスに「参加する」時に本人が自分の個人情報がどう使われるか選択することができます。一方、オプトアウトでは「脱退する」時、つまりそのサービスに関して問題を感じてそのサービスから出て行く時に自身の個人情報の扱いを決めることとなります。確認が事前なのか事後なのかという違いです。

オプトイン方式では自身の個人情報の扱いを事前に選択することとなります。例えば、EU では個人が嫌がる可能性がある情報収集には事前の同意を必要としています。個人情報が本人の意にそぐわない使われ方をしないように、事前の予防に重点を入れています。
一方アメリカでは2012年に公開された「消費者プライバシー権利章典」において、オプトアウト方式をとっており、問題が起きてからの事後的対応を認めています。

個人の権利を尊重するヨーロッパに対し、個人の権利よりも産業振興を優先するアメリカらしいやり方と言えます。同じ個人情報保護に対しても、「オプトイン」と「オプトアウト」という両極端の全く異なる姿勢がすでに存在しています。グローバルに行うプロジェクトでは、このような国によって異なる情報の取り扱いの姿勢について注視する必要があるでしょう。

忘れられる権利はどうやって生まれたのか

EU(ヨーロッパ連合)と米国の個人情報保護の基本的考え方を比較したので、次に様々な議論を呼んでいる前者のEUの現状についてより深く見ていきましょう。
EUの個人情報保護においてやはりキーワードになるのは、「忘れられる権利(right to be forgotten)」でしょう。この言葉、知っている人は多いと思いますが、いったい何から「忘れられる」ことを意味しているのでしょうか。つまり、どこから情報が消えることを指すのでしょうか。

正解はGoogleやYahoo!といった検索エンジンサイトです。インターネットの世界全てから「忘れ去られる」わけではないのです。インターネットの世界そのものから情報を消すことは事実上不可能です。しかしながら、多くのデータは検索サイトを介されて新たに発掘されます。しかしながら検索結果からその情報を消せば、その情報が発見される可能性はきわめて低くなります。そのため、情報をインターネットから「消す権利」と言われることはなく、発見されにくくなるという意味で「忘れ去られる」という表現が使われているのです。

自身のデータを検索エンジンから削除するようにという裁判はそれまでもいくつかあったのですが、立法までの動きにつながったのは2011年11月に出た判決が契機でした。訴えたのはあるフランスの女性。彼女が若いころにただ有名になりたいという理由で一度だけアップロードしたヌード写真が、名前とともにネット上に流出され続けていて、彼女はろくな仕事にもつけずにいました。彼女はグーグルにこの情報の削除を求め、グーグルに勝訴したのです。この判決が契機となり、EUでは「データ保護規則案」の第17条で「忘れられる権利」を明示したのです。(ちなみに2014年にはこの「忘れられる権利」という用語は「削除権」という言葉に修正されています。)
その後、EUでは「私の情報を検索エンジンから消して欲しい」という声が相次いでいます。しかし「知る権利」との兼ね合いがあるため、全ての削除要請に従うわけにはいかず、検索エンジン運営会社側は頭を悩ませています。

部分的なオプトアウト方式を進める日本

次に日本の例を見てみましょう。日本はアメリカとヨーロッパに比べると法の整備が遅れていました。しかし、近年「匿名加工情報」という名称でオプトアウト方式の情報利用が部分的に認められるようになっています。
2015年8月に個人情報保護法の大きな改正が施行後はじめて行われました。この法改正でもっとも注目されたのは、「匿名加工情報」という制度の創設です。もともと個人情報を第三者へ提供するためには、利用目的をきちんと明示して、本人の同意を取得すること(オプトイン方式)が基本でした。ウェブサービスを利用するとたいていプライバシーポリシーがあると思いますが、そのプライバシーポリシーに定めた利用目的以外で利用するには基本的にはもう一度同意を得ないといけません。

「匿名加工情報」という制度の下では、情報を一定の基準にしたがって個人が特定できないように加工処理して匿名化すれば、本人の同意なしに個人情報の第三者提供や目的外利用が可能になります。トレード・オフの関係にあるプライバシー保護とデータの活用の間を取ったイメージの制度です。人工知能でのデータマイニングを大きく進めることのできる制度と言えるでしょう。

「匿名化」によった情報は本当に匿名なのか

このように利用者は個人が特定されない形で匿名化されるなら安心と思うかもしれません。しかし、実際は「匿名化」された情報でも、それ誰の情報なのか、他のデータと再びマッチングすることで明らかにすることは可能です。個人情報が第三者に転売され、その情報がどこにあるかわからない時になって誰かが情報を再び手繰り寄せて、その情報が誰のものか特定するかもしれません。

2016年5月には省庁や独立行政法人を対象にした「行政機関個人情報保護法」が改正されました。この改正案によって、省庁など行政機関が持つ個人情報を鮮寿したものと同様に加工して、匿名化した上で、行政機関が民間企業に提供できるようになりました。他の情報との手繰り寄せは、あくまで「生命・身体、財産の保護などの緊急の場合に限る」とされていますが、もしこの規定が恣意的に拡大解釈された時、言葉通り国民の全てを把握することが出来ます。もしかしてそれは本人さえも知らない事実かもしれません。

確かに情報は法に従って適切に「匿名化」されて利用されることにはなっていますが、私たちについての情報が不適切に利用されることを防ぐのはほぼ不可能です。重要なのはもはや頑なに情報を守り続けることではなく、その情報がどういうシステム上で匿名化され、運用されているのか関心を持ち続けることではないでしょうか。

Bizjapan第一弾の記事はコチラ!

PAGE TOP