JIPDEC IT Report 2021 Winter
「プライバシー保護規制とデータの利活用」


消費者視点のデータ利活用

一般財団法人日本情報経済社会推進協会 認定個人情報保護団体事務局
グループリーダ  奥原 早苗

1.はじめに

2020 年から本格化したコロナ の世界的なパンデミックにより私たちの生活様式はこれまでとは大きく大きく異なった。たとえば、マスク、手洗いが手放せなくなるなど、日常に支障をきたすような消費生活や、物品の購入等の消費行動にも大きな変化をもたらしている。要因の一つは、外出機会の減少により、店舗購入からオンライン経由で購入するなどの消費行動が年代を問わずに増加、拡大したことであり1 、オンラインによる消費行動は、デジタルプラットフォームを経由した取引が利用者の市場アクセスを大幅に向上させたこと等に後押しされ、生活インフラの一部になりつつある。

他方、デジタルプラットフォームに関しては取引の透明性および公正性の低さ等の懸念が指摘されている。2021年2月1日よりに「取引透明化法2」が施行された経緯からも、デジタルプラットフォームとそれを利用する事業者間における取引の不透明さは社会課題の一つと見ることができる。なぜなら、デジタルプラットフォームを利用する事業者間における取引の不透明さは、消費者取引のリスクに直結する可能性があるだけでなく、そのリスクがどのような影響を及ぼすのかを予測することが困難であり、消費者個人が容易に解決できないトラブルに直面することになるからである。

消費者相談件数の商品・サービス別では、デジタルコンテンツが年代を問わず上位を占めており、販売購入形態別では「通信販売」の割合が増加する中、特にインターネット通販に関する相談件数は2018年から2020年の2年間で1.3倍となっている3。また、66.7%にのぼる消費者がインターネット上での商品・サービス購入で心配なこととして、「個人情報が漏えい・悪用されている」を挙げており4、オンライン取引に伴い提供が求められる個人情報の取扱いに不安を抱える消費者は少なくない。

個人情報保護法の令和2年改正(以降、「改正法」という。)では、データ利活用に関する施策の在り方としてイノベーションを促進する観点から新しい概念が導入された5。改正法の全面施行と同時期に施行される成年年齢引下げ6も相まって、契約行為のみならず契約時に提供することとなる個人情報に対する若年層の認識不足も大いに危惧されるところである。本項では、進展するデジタル社会で期待されるビッグデータの活用において、国内外の法制度も概観しながら、情報の提供主体である消費者(個人)の視点で留意すべき点を整理する。

1 消費者庁「令和3年版消費者白書」【特集】第1部第2章第1節新型コロナウイルス感染症の感染拡大と消費(2)「家計支出とインターネットを利用した支出の推移」
2 「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律」経済産業省ホームページ
https://www.meti.go.jp/policy/mono_info_service/digitalplatform/index.html  (最終アクセス:12月1日)
令和2年5月27日に成立し、同年6月3日に公布された。
3 前掲1 第1部第1章第3節・第4節 最近注目される消費者問題(4)
4 前掲1 第1部第2章第2節「新しい生活様式」と消費者の意識・行動
5 個人情報保護委員会ホームページ https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/ (最終アクセス:12月1日)
6 平成30年6月13日、民法の成年年齢を20歳から18歳に引き下げること等を内容とする民法の一部を改正する法律が成立した。「民法の一部を改正する法律(成年年齢関係)」について 法務省ホームページ(最終アクセス:12月1日)

2.令和2年改正個人情報保護法 ~個人の権利の拡大~

改正法は、消費者の権利または正当な利益の拡大が伴う重要なものであることは言うまでもないが、改正の背景として、次の事項が挙げられる7。特に、①、④、⑤は、自らが権利を行使する主体として、消費者自身が「何が新たにできるようになったのか」、概要だけでも理解することが求められる。

① 個人自らの情報の取扱いに対する関心や期待が高まっており、「個人の権利利益を保護」するために必要十分な措置を整備する必要がある。
② 「保護と利用のバランス」をとるために、個人情報等を巡る技術革新の成果が、経済成長等と個人の権利利益の保護との両面で行き渡るような制度を目指すことが重要である。
③ デジタル化された個人情報を用いた多様なサービスがグローバルに展開されており、国際的な制  度調和や連携に配意した制度とする必要がある。
④ 海外事業者によるサービスの利用や、国境を越えて個人情報を扱うビジネスが増大し、個人が直面するリスクの変化に対応する必要がある。
⑤ AI・ビッグデータ時代を迎え、個人情報の活用が一層拡大し、本人が自身の個人情報の取扱いを網羅的に把握することが困難になる中、事業者が本人の予測可能な範囲内で適正な利用がなされるよう権利利益における説明責任を果たし、環境を整備していくことが重要である。

7 「個人情報保護法いわゆる3年ごと見直し制度改正大綱」令和元年12月13日(個人情報保護委員会)を元に筆者が要約。

3.プライバシーへの対応と消費者

2020年7月に、総務省と経済産業省が「DX時代における企業のプライバシーガバナンスガイドブック ver1.0」の策定を公表した8 。社会全体のデジタルトランスフォーメーション(DX)が進む中、イノベーションの創出による社会課題の解決とともに、プライバシー保護への要請が高まっていることが策定の背景である。ビジネスモデルの変革や技術革新が著しく、イノベーションの中心的役割を担うDX企業は、イノベーションから生じるさまざまなリスクの低減を自ら図っていかなければならない。企業にとってプライバシーに関わる問題に取り組むことは、消費者からの信頼を獲得し、企業価値の向上につながるとしている。

プライバシーに関する問題は、個人情報保護法を遵守していても、ビジネスモデルの複雑さや目に見えない情報やデータの取扱いによる不利益、そして、取扱われ方やリスクがどれぐらいなのかがわからないことへの不安が募り、炎上してしまうケースも少なくない。ひとたび炎上すると、批判や意見が集中し、メディアが過剰に不安を煽る現象も見受けられる。その場合、適正に情報を取捨選択し、冷静に自らのリスクを判断できる消費者はどれぐらいいるだろうか。仮に、企業が消費者を含むステークホルダーに対して、積極的に説明責任を果たしたとしても、誰もが情報を整理して一義的に理解できるわけではない。プライバシーガバナンス9に着目し、企業が能動的に消費者への説明責任を果たすことで社会の信頼獲得(向上)を図ろうと考えるのであれば、そもそも「消費者とは何か?」という重要な問いに目を向ける必要があると考える。

8 経済産業省ホームページを元に筆者が要約。
 https://www.meti.go.jp/press/2021/07/20210719001/20210715009.html(最終アクセス:12月1日)
9 「企業のプライバシーガバナンス」とは、プライバシー問題の適切なリスク管理と信頼の確保による企業価値の向上に向けて、経営者が積極的にプライバシー問題への取組にコミットし、組織全体でプライバシー問題に取り組むための体制を構築し、それを機能させることをいう。前掲7より

4.消費者の定義と脆弱性

消費者主権が成り立つ市場は、事業者と消費者に情報の非対称性がなく、消費者が合理的な判断の下で消費行動を行えるという条件が必要となる。しかし、DXが進展する社会では、情報の入手が容易になる反面、膨大な情報から自らに必要な情報を適切に収集し、判断する能力が不可欠となるため、消費者の定義は個人差によりさまざまなケースが考えられる。

わが国における消費者法では、消費者を明確に定義しているものとされていないものが混在しており、個人情報保護法でも明確に定義されていない。脆弱性の定義のうち、特に年齢については、未成年者も考慮した年齢別のルールが規定されていないため、わが国においても注視していく必要がある。 「消費者(個人)」とは一体どのような主体を想定しているのか、「消費者の定義と脆弱性」は、今後議論が進むであろう“適正な同意の在り方”のみならず欠かすことのできない要件である。この要件をめぐる国外の事例として、欧州連合(EU)と米国の法制度を紹介する。

4.1 欧州連合(EU)

GDPR10 では、すでに脆弱性要件のうち、年齢については16歳未満の子どもの個人データの取扱いにおいて親権者の同意を義務づけているが、ここではEUの欧州議会から出されている「脆弱な消費者11」より、プライバシーや個人情報の取得主体となる“消費者”について概観したい。

「脆弱な消費者」はEU指令でも規定されており、最良の取引を見つけて競争市場から利益を得ることができる、いわゆる合理的な選択をすることが可能と考えられている平均的な消費者と比較した場合、脆弱な消費者は、さまざまな理由でそうすることができないと考えられている。

脆弱な消費者を特定するには、主に2つのアプローチがあり、一つは、社会経済的地位の低さ、教育レベルの低さ、特定の言語を話す、マイノリティであるなど、脆弱になる(理論上の)リスクを高める消費者固有の特徴である。もう一つは、個々の特性間の相互作用により、すべての消費者が脆弱になる可能性があるとする見方である。

これらの見方によれば、消費者は個々の状態に応じて脆弱な消費者になったり、そうでなかったりするという状況が生まれる。EUの消費者調査(2018)によると、EU市民の43%が消費者として脆弱であると報告していることからも、消費者の脆弱性は年齢やデジタルデバイドといった事柄に固定されるものではないことがわかる。つまり、わが国でも今後議論が活発化することが期待されている同意の在り方を検討する上でも、現行法の中でビッグデータの利活用を推進していく上でも、脆弱性は一部の消費者や個人を対象とするのではなく、消費者あるいは個人の誰もが脆弱性を持ち合わせる可能性があるといった、大きな枠組みで捉えた柔軟な対応が求められる。

EU法における脆弱な消費者のイメージは、学術文献に見られるものよりも狭いとされている。消費者が製品またはサービスを購入する以前の、商品開発の企画段階で、特に子どもの情報について考慮すべきである等、事業者の消費者に対する不公正な取引方法に関する指令(2005/29/EC: OJ 2005 L149/22)(以下、表記する場合は「不公正取引方法指令」という。)で定義されている。それは、「精神的または肉体的な弱さ、年齢または軽信性のために特に脆弱である消費者」のために、特別な保護が必要というものである。この定義は、消費者を脆弱にする可能性のあるさまざまな変数を考慮に入れるが、脆弱な消費者を保護する規定は、他の消費者法や、特定のセクターに関する法律、たとえばエネルギー、金融、食品等の分野で考慮されている。

電子商取引や人工知能の開発等においても、消費者の脆弱性に対する懸念が指摘されており、データの利活用を推進する場面では重要な視点となる。EUの消費者機構(BEUC)は、オンラインでのいくつかの慣行として、「平均的な」消費者と「脆弱な」消費者の概念の再考を求めている。消費者を操作してデータを収集する場合、すべての消費者が脆弱な消費者となる可能性が高まることから、すべての消費者を平等に保護する必要が出てくると指摘している。一方、欧州議会は、脆弱な消費者を定義する上で、より広い概念を提唱し、消費者をより強力に保護してきた。

しかし、どちらの概念も、消費者法の他の分野で明示的および暗黙的に使用されており、また、定義されている平均的な消費者の基準が高すぎて(操作されてデータを取得された消費者が、必ずしも合理的ではなく、平均的な消費者基準を下回り、多くの消費者が脆弱性を伴う)、実際の消費行動に対応していない。その結果、「脆弱な消費者への適切な保護を目的として、消費者の概念を再考すべきではないか」という議論は、今後私たちにとっても有益なユースケースとなるだろう。

10 GDPR(General Data Protection Regulation: 一般データ保護規則)。
  EU域内の個人データ保護を規定する法として、2018年5月25日に施行された。
11 欧州議会 EPRS | 欧州議会研究サービス「脆弱な消費者」PE 690。619 – May 2021を元に筆者が要約。
  https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/690619/EPRS_BRI(2021)690619_EN.pdf

4.2 米国

1)カリフォルニア州消費者プライバシー法(CCPA)12
海外の法制度として、米国カリフォルニア州消費者プライバシー法(以下、「CCPA」という。)に消費者の年齢を規定したルールがあるので触れておきたい。

CCPA第1798.120条(c)項では、若者の年齢について次のように規定している。消費者が16歳未満であるという認識を事業者が実際に有していた場合、その事業者は、消費者が13歳以上16歳未満の場合には当該消費者自身が、又は消費者が13歳未満の場合には当該消費者の親又は保護者が、積極的に消費者の個人情報の販売を認めていない限り、消費者の個人情報を販売してはならない。

事業者の要件は、①年間総収益2,500万ドル超、②5万件以上の消費者、世帯又はデバイスの個人情報を商業目的で取得・売買・共有等し、③年間収益の50%以上を個人情報の販売で得ていることのいずれか一つ以上を満たす事業者(第1798。140条(c))としており、小規模事業者は除外されている。また、事業者には、事業者が提供を求められる通知および情報が、平均的な消費者により容易に理解され、障害のある消費者にアクセス可能であり、消費者とのやりとりに主として使用される言語で利用できるように提供されることを確保するために必要なルール、手続き、および例外を、成立後1年以内に、またその後は必要に応じて設けなければならないと規定している。

2)児童オンラインプライバシー保護法(COPPA)13
COPPAは、米国の大手情報通信事業者が告発され、当該法では過去最大の和解金を支払ったことでも有名となった米国連邦取引委員会による米国連邦法である。COPPAは、13歳未満の子どもから個人情報を収集するウェブサイトまたはオンラインサービスを運営している事業者を対象として、いくつかのルールを設定している。たとえば、COPPAに準拠したプライバシーポリシーの公表や13歳未満の子どもから個人情報を収集する際は、保護者に通知し、検証可能な保護者の同意を得ることを義務づけている。

1)で触れたCCPAの強化版と言われるカリフォルニアプライバシー権利法(California Privacy Rights Act: CPRA)も動き始めており、人種または民族に関する情報、生体認証情報、性的志向に関する情報、位置情報等、「機微(センシティブ)情報」というカテゴリーが個人情報に加わった。

Ⅱ章「各国のプライバシー保護施策」の「Ⅱ‐3.OECDが進めるデジタル経済政策とデータトラストへの取組み」で、OECDの取組みとして2021年に採択された「OECDオンライン上の子供の保護勧告」を紹介している。教育やインターネット、コミュニケーションツールを介して、子どもが気づかないうちに日常生活でデータの利活用が欠かせないものとなっているが、子どもをどのように保護していくのかを考慮する際、消費者教育だけで適正な利活用とリスクについて理解が深まるかと言えば、カバーできる範囲は限定的である。

12 個人情報保護委員会ホームページ https://www.ppc.go.jp/enforcement/infoprovision/laws/CCPA/
  「California Consumer Privacy Act of 2018(仮日本語訳:カリフォルニア州消費者プライバシー法(2018年))」(最終アクセス:12月1日)
13 COPPA(Children’s Online Privacy Protection ACT)FTCホームページを元に筆者が編集。 https://www.ftc.gov/ (最終アクセス:12月1日)

5.おわりに

冒頭でも触れたコロナのパンデミックは、新規変異株である「オミクロン株」が世界各地で確認される等、新たな脅威となっている。わが国でもすべての国を対象として当面の間新規入国者を原則停止することが発表され、予断を許さない状況である。今後も引き続き、人との接触を抑えるという意味でもオンラインを利用した消費行動の増加が見込まれ、取得される膨大なデータの利活用により得られるメリットは計り知れない。他方、企業は、新たな取引類型や決済手段の多様化に伴い、目に見えない取引の不透明さによる消費者取引のリスクが及ぼす影響がどのようなものか、説明責任がより一層求められることとなるだろう。消費者にとっても、自身の情報がいつどのように利活用されるのか、またはしないのかを理解し、自らどの情報をどこまで提供するのかを選択していかなければならない。

脆弱性は、製品の設計段階から始まり、利活用を終えて廃棄のフェーズを通し、顧客対応(苦情や問い合わせ)も含め、お客様の消費者としての行動のさまざまな段階で発生する可能性がある。脆弱性が発生する可能性をできるだけユースケースとして共有し、課題になり得るものは早めに潰しこむことが必要である。

今後、わが国でも「消費者」の誰もが持つ脆弱性を考慮した法整備の必要性が高まるものと思われる。ビッグデータの利活用は、個人情報の適正な取扱いによる安心・安全が担保され、その結果得られる信頼(トラスト)によって拡大していくものと考える。一義的なルールづくりではなくキメ細やかな配慮と共に、真に「“誰一人取り残さない”デジタル化」の実現を期待したい。


奥原 早苗

一般財団法人日本情報経済社会推進協会(JIPDEC) 
認定個人情報保護団体事務局 グループリーダ 奥原 早苗


美容業界の法務・お客様対応・経営企画等の各部門責任者を経て、2020年よりJIPDEC認定個人情報保護団体事務局に勤務(現職)
・玉川大学工学部マネジメントサイエンス学科 非常勤講師(「消費生活科学」担当)
・(一社) MyDataJapan 理事
・資格:消費生活アドバイザー、消費生活専門相談員、プライバシーマーク審査員
2003年より公益社団法人日本消費生活アドバイザー・コンサルタント・相談員協会に所属、2018年より理事/消費者志向推進委員会 委員長、2020年より顧問。
消費者代表として各省庁(消費者庁、経済産業省、総務省等)や事業者団体の委員会や有識者会議等に参画。金融、情報通信、サービス関連等企業の社外アドバイザーを歴任。
【著作】近著(共著) 「消費者法研究第10号 【特集】デジタル・プラットフォームと消費者保護⑵」(信山社、2021年10月発行)