「法の観点から見るプライバシー」デジタルトランスフォーメーションにおけるプライバシー・バイ・デザインの実装
DXとプライバシー保護を両立させる上で有用な「プライバシー・バイ・デザイン」の概念と、その実装方法を紹介します。
デジタル化するビジネスにおいて考慮すべきプライバシーリスク管理(前編)
2020-08-19
世界経済フォーラムが公表した報告書において「パーソナルデータは新たなオイルになる」という見通しが示されたのは2011年1月のことでした1。それ以降に私たちが経験してきたことは、この見通しが正しかったことを物語っています。「プラットフォーマー」と呼ばれる事業者は、サービスやコンテンツを提供する基盤を構築・運営することを通じて、購買履歴などの個人に関連する膨大なデータを幅広く収集し、利活用しています。さらに、これらのデータを中心にさまざまな製品やサービスを提供する企業が連携することで巨大なエコシステムを形成し、圧倒的な競争力を生み出しています。今後は従来のウェブ上のデータに加えて、無線通信やセンシング技術の進展に伴いインターネットに接続することが可能になったあらゆるモノが生み出すデータの収集と利活用が、企業の競争力を左右すると考えられます。
一方、個人に関連する膨大なデータが収集・利活用されることによる個人情報の漏えいやプライバシーの侵害に対する不安も増大しています。重大な情報漏えいやプライバシー侵害を引き起こしてしまった企業や組織が、法令などに基づく行政指導や罰則の適用に加えて、社会的な批判を受けることで、事業からの撤退を余儀なくされる、あるいはレピュテーションに深刻なダメージを受けるというケースが散見されるようになってきています。そのため、データの利活用にあたっては、法令などの遵守はもちろんのこと、ビジネスパートナーや消費者などのステークホルダーに対して個人情報およびプライバシー保護の取り組みに関する情報を積極的に開示すると共に、説明および対話を通じてステークホルダーからの信頼を得ることが重要です。
本稿では前後編に分け、デジタル化する社会において存在するプライバシーに関するリスクと、プライバシーをテーマにした議論の動向、さらにはリスクを管理する上で有用なフレームワークを紹介します。前編ではプライバシーおよびプライバシーリスクについての基本的な考え方や、ビジネスへの実装が一層進むと考えられる人工知能(AI)の利用原則におけるプライバシーの取り扱いを概観していきます。
プライバシーおよびプライバシーリスク
プライバシーという考え方の始まりは、19世紀末に米国の2人の弁護士が発表した論文にさかのぼります。当時は、他人の私生活上の出来事や秘密を煽情的な記事にするメディアが隆盛していました。そのような中で「プライバシーへの権利(The Right to Privacy)」と題して「放っておいてもらう権利(right to be let alone)」が必要であると主張しました。20世紀の後半になると、コンピューターを活用した情報処理の進展に伴い、個人の情報を含む広範な情報が集積・活用されるようになったことから、プライバシーについてもより積極的に「自己情報コントロールする権利」と捉えられるようになりました。データの利活用を行う企業や組織においては、消費者などからデータを収集する代わりに、それを適切に取り扱うことが求められます。
しかしながら、こうした企業や組織はデータの利活用を行う上で、常にプライバシー権を侵害するリスク(プライバシーリスク)を抱えています。米国国立標準技術研究所(National Institute of Standards and Technology:NIST)が2020年1月に公開したプライバシーフレームワーク(NIST Privacy Framework: A Tool for Improving Privacy through Enterprise Risk Management2)を参照すると、プライバシーリスクは、事業目的のための製品やサービスにおける許可されたデータ処理の中で意図しない問題や結果が生じるリスクであると読み解くことができます。購買履歴などのさまざまなデータの分析を通じて個人の属性や性質を類推するいわゆるプロファイリングによって、センシティブ情報さえも推定されてしまうことなどが挙げられます。またプライバシーリスクとは別にサイバーセキュリティリスクについても言及されており、これについては、情報システムや情報資産の機密性、完全性および可用性を侵害する不正な行動によってインシデントが発生するリスクと考えられます。システムの脆弱性を突いた外部からの攻撃といった例が挙げられます。両者の関係は図表1の通りです。
プライバシーリスクとサイバーセキュリティリスクが重なり合った時に生じるのが、データ侵害です。故意または過失による個人情報の漏えいとったセキュリティインシデントが挙げられます。データの利活用は企業や組織に多くの恩恵をもたらしますが、同時にこうしたリスクと常に隣り合わせであることを自覚しておく必要があります。
AIの利用原則におけるプライバシー
ここからは、AIの利活用においてプライバシーがどのように扱われているかを紹介します。急速に社会への実装が進むAIを正しく有効に活用するため、その利用原則に関する議論が、これまで精力的に行われてきました。日本を含む多くの国際機関や各国・地域で、その結果がAI利活用原則として取りまとめられています。2019年6月のG20茨城つくば貿易・デジタル経済大臣会合においては「人間中心」の考えを踏まえたAI原則が採択されるなど、「AI原則の項目については、国際的にほぼコンセンサスが得られつつ」4ある状況です。図表2に代表的なAIの利活用原則を示します。
日本では上述の「人間中心のAI社会原則」を踏まえ、AIネットワーク社会推進会議が「AI利活用ガイドライン~AI利活用のためのプラクティカルリファレンス~」を公表しています6。当該ガイドラインは、適正利用、適正学習、連携、安全、セキュリティ、プライバシー、尊厳・自律、公平性、透明性、アカウンタビリティからなるAI利活用原則を定めると共に、同原則を実現するための具体的方策について取りまとめています。
本稿の後編で、プライバシーに関する原則および具体的方策を取り上げます。
1World Economic Forum Report. Personal Data: The Emergence of a New Asset Class Feb. 17, 2011.[English]
2NIST Releases Version 1.0 of Privacy Framework Jan16,2020[English]
3NIST Privacy Framework: A Tool for improving privacy through enterprise risk management, version 1.0 Jan16,2020 P.3 Figure2: Cybersecurity and Privacy Risk Relationship[English][PDF 809KB]
4報告書2019概要 AIネットワーク社会推進会議 令和元年8月9日[PDF 1,450KB]
5OECDニュースルーム 42ヵ国がOECDの人工知能に関する新原則を採択 2019年5月22日
人間中心のAI社会原則 統合イノベーション戦略推進会議決定 平成31年3月29日[PDF 80KB]
U.S. Chamber of Commerce U.S. Chamber Releases Artificial Intelligence Principles Sep.23, 2019.[English]
European Commission Futurium Ethics Guidelines for Trustworthy AI[English]
執筆者
大井 哲也
TMI総合法律事務所/TMIプライバシー&セキュリティコンサルティング株式会社 パートナー 弁護士
平岩 久人
PwCあらた有限責任監査法人 パートナー
森田 成祐
PwCあらた有限責任監査法人 ディレクター
積極的なデータ活用を見据えた『攻め』と『守り』のプライバシー ― TMI総合法律事務所/PwC
9 results
Loading...
「法の観点から見るプライバシー」医療ビッグデータの利活用の法的問題点 ― 匿名加工情報と学術研究の例外のユースケースを解説
実臨床から収集した膨大な医療情報である「医療ビッグデータ」の利活用にあたっては、個人情報保護と研究倫理に関するそれぞれのルールに留意する必要があります。「サービスベンダーによる医療情報の外部提供」と「大学病院との人工知能(AI)の共同研究」の2つの想定事例を取り上げて、データ利活用の観点から法的問題点を解説します。
「法の観点から見るプライバシー」信用スコアリング事業の法的課題 ― 個人情報保護法、独占禁止法の交錯
個人を信用スコアで格付けするサービス「信用スコアリング事業」が、日本でも近年広がりつつあります。同時に、公正取引委員会が、デジタル・プラットフォーム事業者に対する競争法の執行を活発化する姿勢を見せています。信用スコアリング事業を展開するにあたって留意するべき、独占禁止法の観点からの法的課題を考察します。
「法の観点から見るプライバシー」信用スコアリング事業を題材としたプロファイリングの法的課題 ― 個人情報保護、プライバシーの観点から
ビッグデータと人工知能(AI)を用いて個人の性向や属性などの推測を行う「プロファイリング」は、プライバシーの侵害につながる可能性があります。日本でも広がりつつある信用スコアリング事業を取り上げながら、日本における個人情報の取り扱いの法的課題について、個人情報保護法やプライバシーの観点から解説します。
Loading...
AIおよびアナリティクス活用におけるプライバシーの論点
5 results
Loading...
「AIおよびアナリティクス活用におけるプライバシーの論点」ピープルアナリティクスで担保すべき透明性と公平性
人材マネジメントに「ピープルアナリティクス」を活用するケースが増えてきています。特に活用が期待される領域や活用事例、プライバシー上の懸念事項を紹介します。
「AIおよびアナリティクス活用におけるプライバシーの論点」ユーザー行動履歴の活用における落とし穴
Society5.0を実現する上で、ユーザーのオンライン、オフラインの行動履歴に基づいてパーソナライズされた体験を提供することが鍵となります。この行動履歴を活用するにあたっての注意点を解説します。
「AIおよびアナリティクス活用におけるプライバシーの論点」データマネタイズで実施すべき匿名化加工
企業におけるデジタルトランスフォーメーション(DX)の取り組みが加速するのに伴い、事業効率化・高度化に向けたデータ利活用が浸透してきています。本稿ではデータ利活用の新たな可能性としてのデータマネタイズ(データ外販)およびその課題に関して説明します。
「AIおよびアナリティクス活用におけるプライバシーの論点」レコメンデーションで注意すべき「放っておいてもらえる権利」
ECサイトのレコメンデーションは、消費者の購買意欲を大いにかき立てるものになっています。レコメンデーションの進化とそれに伴う弊害、今こそ企業に求められるレコメンデーションの在り方を解説します。
Loading...
最新のサイバーセキュリティ&プライバシー コラム・対談
20 results
Loading...
グローバルで本格化するAI関連法規制整備を受け、AI活用を推進するために日本企業はどうするべきか
慶應義塾大学大学院特任准教授の吉永京子氏、アレシア国際法律事務所代表弁護士の有本真由氏をお迎えし、AI活用におけるガイドラインや規制に関する世界の最新動向を踏まえつつ、日本企業に求められる戦略と実務対応について考察します。
国内で進む経済安全保障関連法整備の狙いと企業の対応
世界に先駆けて経済安全保障の包括的対策を法制化した日本。法制度の趣旨や既存法制との違いについて法律の専門家に解説いただくとともに、日本電気の実例を基に、リスクと機会を正しく捉える企業対応のあり方を探ります。
日本企業は新世界秩序と大国間の対立をどう乗り越えられるか
コロンビア大学ロースクール教授でPwC Japanグループ顧問のアニュ・ブラッドフォードが、米国の新政権誕生によって米国・欧州・中国関係が転換点を迎える今、国際貿易とデジタル規制の最新動向を分析し、日本企業がとるべき具体的な対応策を解説します。
デジタル規制、いま企業に求められること ビジネスパーソンとメディアの新たな関係
NIKKEI Digital Governance 編集長の中西豊紀氏とTMI総合法律事務所パートナー弁護士の大井哲也氏とともに、企業に求められるデジタル法規制対応のあり方を示し、実務担当者の意思決定を支えるメディアの役割について議論しました。
Loading...
