デジタル化するビジネスにおいて考慮すべきプライバシーリスク管理（前編）

2020-08-19

世界経済フォーラムが公表した報告書において「パーソナルデータは新たなオイルになる」という見通しが示されたのは2011年1月のことでした¹。それ以降に私たちが経験してきたことは、この見通しが正しかったことを物語っています。「プラットフォーマー」と呼ばれる事業者は、サービスやコンテンツを提供する基盤を構築・運営することを通じて、購買履歴などの個人に関連する膨大なデータを幅広く収集し、利活用しています。さらに、これらのデータを中心にさまざまな製品やサービスを提供する企業が連携することで巨大なエコシステムを形成し、圧倒的な競争力を生み出しています。今後は従来のウェブ上のデータに加えて、無線通信やセンシング技術の進展に伴いインターネットに接続することが可能になったあらゆるモノが生み出すデータの収集と利活用が、企業の競争力を左右すると考えられます。

一方、個人に関連する膨大なデータが収集・利活用されることによる個人情報の漏えいやプライバシーの侵害に対する不安も増大しています。重大な情報漏えいやプライバシー侵害を引き起こしてしまった企業や組織が、法令などに基づく行政指導や罰則の適用に加えて、社会的な批判を受けることで、事業からの撤退を余儀なくされる、あるいはレピュテーションに深刻なダメージを受けるというケースが散見されるようになってきています。そのため、データの利活用にあたっては、法令などの遵守はもちろんのこと、ビジネスパートナーや消費者などのステークホルダーに対して個人情報およびプライバシー保護の取り組みに関する情報を積極的に開示すると共に、説明および対話を通じてステークホルダーからの信頼を得ることが重要です。

本稿では前後編に分け、デジタル化する社会において存在するプライバシーに関するリスクと、プライバシーをテーマにした議論の動向、さらにはリスクを管理する上で有用なフレームワークを紹介します。前編ではプライバシーおよびプライバシーリスクについての基本的な考え方や、ビジネスへの実装が一層進むと考えられる人工知能（AI）の利用原則におけるプライバシーの取り扱いを概観していきます。

プライバシーおよびプライバシーリスク

プライバシーという考え方の始まりは、19世紀末に米国の2人の弁護士が発表した論文にさかのぼります。当時は、他人の私生活上の出来事や秘密を煽情的な記事にするメディアが隆盛していました。そのような中で「プライバシーへの権利（The Right to Privacy）」と題して「放っておいてもらう権利（right to be let alone）」が必要であると主張しました。20世紀の後半になると、コンピューターを活用した情報処理の進展に伴い、個人の情報を含む広範な情報が集積・活用されるようになったことから、プライバシーについてもより積極的に「自己情報コントロールする権利」と捉えられるようになりました。データの利活用を行う企業や組織においては、消費者などからデータを収集する代わりに、それを適切に取り扱うことが求められます。

しかしながら、こうした企業や組織はデータの利活用を行う上で、常にプライバシー権を侵害するリスク（プライバシーリスク）を抱えています。米国国立標準技術研究所（National Institute of Standards and Technology：NIST）が2020年1月に公開したプライバシーフレームワーク（NIST Privacy Framework： A Tool for Improving Privacy through Enterprise Risk Management²）を参照すると、プライバシーリスクは、事業目的のための製品やサービスにおける許可されたデータ処理の中で意図しない問題や結果が生じるリスクであると読み解くことができます。購買履歴などのさまざまなデータの分析を通じて個人の属性や性質を類推するいわゆるプロファイリングによって、センシティブ情報さえも推定されてしまうことなどが挙げられます。またプライバシーリスクとは別にサイバーセキュリティリスクについても言及されており、これについては、情報システムや情報資産の機密性、完全性および可用性を侵害する不正な行動によってインシデントが発生するリスクと考えられます。システムの脆弱性を突いた外部からの攻撃といった例が挙げられます。両者の関係は図表1の通りです。

プライバシーリスクとサイバーセキュリティリスクが重なり合った時に生じるのが、データ侵害です。故意または過失による個人情報の漏えいとったセキュリティインシデントが挙げられます。データの利活用は企業や組織に多くの恩恵をもたらしますが、同時にこうしたリスクと常に隣り合わせであることを自覚しておく必要があります。

AIの利用原則におけるプライバシー

ここからは、AIの利活用においてプライバシーがどのように扱われているかを紹介します。急速に社会への実装が進むAIを正しく有効に活用するため、その利用原則に関する議論が、これまで精力的に行われてきました。日本を含む多くの国際機関や各国・地域で、その結果がAI利活用原則として取りまとめられています。2019年6月のG20茨城つくば貿易・デジタル経済大臣会合においては「人間中心」の考えを踏まえたAI原則が採択されるなど、「AI原則の項目については、国際的にほぼコンセンサスが得られつつ」⁴ある状況です。図表2に代表的なAIの利活用原則を示します。

日本では上述の「人間中心のAI社会原則」を踏まえ、AIネットワーク社会推進会議が「AI利活用ガイドライン～AI利活用のためのプラクティカルリファレンス～」を公表しています⁶。当該ガイドラインは、適正利用、適正学習、連携、安全、セキュリティ、プライバシー、尊厳・自律、公平性、透明性、アカウンタビリティからなるAI利活用原則を定めると共に、同原則を実現するための具体的方策について取りまとめています。

本稿の後編で、プライバシーに関する原則および具体的方策を取り上げます。

後編はこちら

¹World Economic Forum Report. Personal Data： The Emergence of a New Asset Class Feb. 17, 2011.［English］

²NIST Releases Version 1.0 of Privacy Framework Jan16,2020［English］

³NIST Privacy Framework： A Tool for improving privacy through enterprise risk management, version 1.0 Jan16,2020 P.3 Figure2： Cybersecurity and Privacy Risk Relationship［English］［PDF 809KB］

⁴報告書2019概要 AIネットワーク社会推進会議令和元年8月9日［PDF 1,450KB］

⁵OECDニュースルーム 42ヵ国がOECDの人工知能に関する新原則を採択 2019年5月22日

人間中心のAI社会原則統合イノベーション戦略推進会議決定平成31年3月29日［PDF 80KB］

U.S. Chamber of Commerce U.S. Chamber Releases Artificial Intelligence Principles Sep.23, 2019.［English］

European Commission Futurium Ethics Guidelines for Trustworthy AI［English］

⁶総務省 AIネットワーク社会推進会議報告書2019の公表