【事務局レポート】JIPDECセミナー100回記念「デジタル社会に生きる」


年末放談会
「デジタル社会を進む私たちに必要な視点とは」

 2020年12月15日、JIPDECセミナー100回記念として、自由に意見を飛び交わしていただく年末放談会を開催しました。

 パネリストとして登壇いただいたのは、通信・データ活用・プライバシーと幅広く施策立案や企業のビジネス支援を行っている株式会社企 代表取締役 クロサカタツヤさん、企業の市場予見可能性を高めるため民法等の解釈を整理して公表する「電子商取引及び情報材取引等に関する準則」策定に2001年の検討開始時から関わっている英知法律事務所 パートナー弁護士 森亮二さん、そしてJIPDECからはニュース等の意味・背景がわからない時の指南役 JIPDEC電子情報利活用研究部主席研究員 寺田眞治。

 読売新聞 編集委員 若江雅子さんに、モデレータとして交通整理をしながら本音を聞き出していただき、予定調和のない、でも「同じ山の頂上に、様々なルート(分野・立場)からアタックされる方々の共通した思い」を伺いました。

 本レポートでは、当日お話いただいた内容の一部と併せて、モデレータ若江さんから放談会終了後にいただいた感想をお伝えします。

論点1:「同意至上主義」の限界は超えられるのか?

企 クロサカ氏

クロサカ  特にGDPR以降、「通知と同意」の必要性は認識されたが、一方で「同意万能」のような流れも生まれてしまっており、改めて「結局、同意って何なんだろう」とその難しさを感じる。

 さらに、「では、どうやって本当に納得してサービスを受けてもらうための仕組みを作ればよいのか」と聞かれると、コンサルタントとして非常に悩ましい。

  同意に関して、たとえばGDPRのガイドラインでも「任意でなければならない」「明白なものでなければならない」等が記載されており、他のガイドラインでもさまざまな観点から「同意の在り方」が検証されている。その結果として「有効な同意」が成立しにくくなっている。

 理由としては、「利用規約に書かれていても読んでいない」実態を改めて問題視されている点や、個人情報保護委員会から行政指導を受けた「いいねボタン」のように技術が複雑化し、利用規約の内容を読んだとしてもユーザーがそれによる影響を理解できなくなっている点が挙げられる。

 結局は、「もう無理はできない」と言うことだと思う。ユーザーに分からない複雑な方法でデータ収集する際に、同意で処理することは諦める、が一番シンプルな解決策。その代替策として、委託のための提供のような同意不要なケースを無理やり拡大するのは適切ではないし、他方で、同意という「自己決定権」をなくしてしまうということも進むべき道ではないと思う。分かりやすい説明で理解してもらえるところは同意をとれるが、それ以外は諦めるということ。

寺田  「有効な同意」=「本人が認識している」だと考えると、まず「どうやって認識しているかどうかを確認するか」、次に「山ほどある同意行為について、何にいつ同意したかを覚えていられるのか」「同意時点から刻々と条件が変わるものを有効と言えるのか」等の問題が出てくる。この部分も含めシステム的に管理(同意管理プラットフォーム:CMP)しようとすれば、今まで以上にトレーサビリティが高まり、漏えい時のリスクが大きくなる。

 ISO/IEC29184では、同意した内容をレシートとしてユーザーに都度渡すことでクリアしようとしているが、これらの取組みは企業のリスクマネジメントを一方的にユーザーに押し付けているようにも見える。そうなると、結果としてユーザーからの信頼を失いかねないので、技術だけで突き詰めるのではなく、トラストフレームワークなどの制度を社会全般で考える必要がある。

クロサカ  人間はすぐに忘れてしまうし、忘れないように確認を繰り返せば形式化してしまう弱い存在。だからといって、技術・システムで徹底的に庇護しようとするのはパターナリズムに陥る可能性もある。弱い存在であることを是認した上で、自己決定権を行使できる機会を維持しつつ、過失の際の救済措置までも含めた社会制度として真剣に検討していく必要がある。

論点2:個人情報保護vsプライバシー保護

寺田  「個人情報さえきちんと保護すればよい」という意識の企業は少なからずいるが、個人情報保護はコンプライアンスであり、あらゆる企業活動の大前提。DXでビジネスを進化させていく上では、ガバナンスとしてプライバシー保護を考え、事業の結果に対して責任を取ることが求められる。

 一方、生活者の立場からは、単に事業者のサービス利用の場面だけでなく、自治体、政府に対しても「言われたから出さなければならない」ではなく、信頼して情報を出すかどうかの自己決定を行える仕組みが必要ではないか。

クロサカ  例えば、Pマークはマネジメントシステムなので、ガバナンスの実効性を高める1つの手段として活用することは有効だが、それさえ取ればよいということではない。どうしても技術が先行すると「人間」を「モノ」として捉えがちになってしまうので、データの先にいる「人間」を再認識する必要がある。

  個人情報保護法の令和2年改正で適正利用義務が新設され、事業者は個人情報の「適正な利用」が義務付けられた。現状、個人情報保護委員会では「不適正な利用」をかなり限定的にするとしているが、何が「適正な利用」かを明確にすることは非常に難しい。

 一方で、マスコミ等では新たなデータビジネスに問題があった際には「適正利用義務違反のおそれあり」と報道されることになるのであろう。その点では、「同意を取ればなんでも受容されるのか」という問題意識が法制度に組み込まれたと取ることができる。

論点3:公益目的

  個人情報保護法令和2年改正大綱の中で、同意を不要とする公益目的利用の範囲の一部拡大が挙げられた。これに関連して、最近「公益目的なのだからみんなで利用できるようにしよう」という話を聞くが、「みんながアクセスできる仕組み=公益」ではない。

 インドでは、政府が個人の情報を一元管理し、公益目的としてスタートアップ等にも広くアクセス可能としているが、最近になってネガティブな判決も出ているように、それは純粋な公益ではなく、あくまでも個々の事業者の利益である。どうしても「公益+α」のような話が混ざりがちなので、公益目的の利用については、きちんと法律の枠組みの中で対応した方がよいと思う。

 新型コロナ対策で接触アプリCOCOA検討の際には、日本でも「もっと国が情報を収集できるようにすべき」という意見も出た。身体・生命とプライバシーを比較すれば、当然身体・生命の優先度が高いが、それは「プライバシーのことを考えなくてよい」ということではない。極限的な状況の中で、プライバシーを後退させる必要性と範囲・方法を具体的に検討する必要がある。

寺田  緊急時と平時は分けて考える必要がある。COVID-19に関連して国連から出された声明(Joint Statement on Data Protection and Privacy in the COVID-19 Response 2020/11/18)でも、データ収集・保持期間の限定、利用目的の透明化、仕組みの透明性が挙げられており、これが今後も緊急時の対応として基準となると考えられる。

 利用目的に関しては、公益・私益を分けて考え、私益の部分は利用者が自己決定できる仕組みを入れる。さらに、情報が集まるプラットフォームに関しては公益であろうと私益であろうと、透明性、アカウンタビリティが求められることになるだろう。

クロサカ  新型コロナ前に若干「公益であればOK」という雰囲気になりつつあった部分が、コロナ禍で改めて「本当にそれでよいのか」と問い直されたと思う。

 緊急時という点についても、同じ医療の現場でも「今まさに手術を受けなければならない」という場面と「新型コロナに感染しないように」という公衆衛生の場面では、対象となる人の状態が異なるので当然反応も異なってくる。そういったことが可視化されたのが今年だろう。

 トラストという点では、特定の誰かがトラストアンカーとなりそこにデータが集中するシステムは、社会全般で見ると堅牢性、冗長性が損なわれてしまう。これだけ自分たちの活動・生活がサイバースペースに依存している状況では、「GAFAだから」「政府だから」という表面上のトラストではない、さらに踏み込んだトラストのあり方を考えていかなければ、利用者は奴隷化してしまうのではないか。

  インディア・スタックのように、政府で一元的にデータ管理することは難しい。データ収集や流通には制限があるべきで、それはスーパーシティ等でも求められるところなので、今後議論されていくだろう。新たな施策、プロジェクトが立ち上がるとき、どうしても公益私益混在問題が起きやすい。デジタル・ガバメントに当たっては「政府とはそもそも何か」を考えることも重要になってくる。憲法は政府がデータを集中することへの警戒をもっている。

論点4:ファーストパーティ至上主義にこのまま向かうのか

クロサカ  GDPRやOSベンダーの自主規制により、実質的にサードパーティcookieが使用できなくなろうとする中で、エンドユーザーと対峙する企業が同意をもとにデータを取得するファーストパーティデータへの移行が、業界的に志向されている。

 しかし、サードパーティcookieによるビジネス本位のエコシステムに対するアンチテーゼとしては理解できるが、もともと、ファーストパーティとして肥大化したのがGAFAなので、この流れはデータ最小化原則やプラットフォーム規制と矛盾するのではないか、本当にファーストパーティが今後の本流となるのだろうか、という疑問がある。

  私が問題視しているのは、まさにサードパーティデータに依存したビジネス展開の部分。ユーザーには不透明な仕組みであり、データマネジメントプラットフォーム(DMP)のデータを単にターゲティング広告だけでなく、個人の状況(転職意思の有無、精神状態、政治的志向等)を把握して別のサービスに利用している現実を一度整理する必要があると思っている。

 また、ファーストパーティデータでGAFAが肥大化したのは事実だが、初期のGAFAがそうであったように、新たなサービスを開発・提供して顧客を獲得していくという健全な経済活動を日本企業が行える環境を整備する必要がある。ファーストパーティとして消費者に歓迎されるサービスを展開し同時にデータも直接取るのが理想。さらに、消費者に向かい合うファーストパーティこそがいわゆるコントロールポイント(法規制等のルールの対象)であると考えるので、私はいずれにしてもファーストパーティが大切だと思っている。

寺田  ファーストパーティはコントローラであることには同意するが、その先のデータ流通段階ではGate Keeperが生まれてくるので、そこの位置づけ・責任も含めて考える必要があると思う。そうでないと、サードパーティデータを利用していた時と何も変わらない状況になってしまう。
ファーストパーティデータを取得し使っているところ、第三者提供を受けるところ、それぞれがユーザーに対する責任や義務があると考えている。

クロサカ  今は、あらゆることが「同意」という行為に押し込められている状況に見える。同意を以てすべての責任を消費者に押し付ける、あるいはいくら同意しても認識していなければ無効として事業者が全責任を負う、という両極が語られがちだが、その間には多くのケースバイケースがある。

 大事なのは、ファーストパーティが強くなればなるほど非対称性が生じるので、多少消費者側に瑕疵があったとしても事業者が事後救済するような制度を作る、あるいは救済できる範囲でビジネスを提供した方が結果として成功するのではないか。

  巨大プラットフォーム対日本の中小企業という構図の中では、そういった考え方も理解はできるが、正面から考えれば、プラットフォーム規制の目的はあくまでも消費者保護。産業政策を考えるのであれば、安全な個人情報の流通やそもそも個人情報を流通しなくても創業できる環境を整備する等、別のアプローチがあるはず。

寺田  事業者側と消費者側の双方の権利と義務について整理をしたうえで、何が押し付けや欺瞞的行為に当たるか等を考える必要がある。同意ボタンを押した瞬間に契約関係となり権利と義務が発生するが、その同意行為の有効性を考える際にも双方に権利と義務が考慮される必要がある。

論点5:プラットフォーム規制は誰のため?

寺田  各国のプラットフォーム規制はそれぞれ思惑が異なる。EUは域内市場の保護と人権、米国は国内競争市場の保護、中国は体制保護、と明確になっているが、日本は、誰のための規制か曖昧になってしまっているように感じる。

 本来、日本では消費者保護と、中小企業保護のための規制であるべきなので、仕切り直しが必要ではないか。さらにその際には、なぜ消費者がプラットフォームを利用するのか、を可視化していかないと、規制もうまくいかないし日本のプラットフォームを立ち上げることも難しいのではないか。

  私は、プラットフォーム規制は消費者保護のため、が一義的な回答だと思う。だからこそ、同じようなことをやっている企業が他にいても、消費者に大きな影響を及ぼすところから対応する必要があり、その点で2018年のFacebookへの行政指導は正しい措置だった。

 また、国内でamazonと楽天が同程度の影響力を持つのであれば、同じように扱われるべきで、海外企業にのみ選択的に法執行するようなことがあれば、非関税障壁として問題になる。一方で、これまでは逆に、日本企業に対してのみ法執行する状況だったので、それが徐々に解消されてきたことは非常によかったと思っている。

クロサカ  プラットフォーム事業者は、事業者市場とエンドユーザー市場の接合点を握って仲介等により利益を得る「両面市場」の構造となっている。プラットフォーム規制の目指すべきゴールは消費者の利益を守ることだと仮定して、たとえば公正取引委員会の検討では、本来事業者間で適用される優越的地位の濫用を、対消費者の文脈で適用させようとしている。

 その理念は共感する部分もあるが、それは対象もアプローチも異なるのでやや飛躍があるようにも思う。実際に司法省がGoogleに対して訴訟を起こした米国でも、現段階では対事業者の話にとどまっている。本来は、何か一つを以て解決させるものではなく、消費者行政やトラストのようなアプローチも組み合わせて、最終的な消費者保護というゴールにたどり着くものなのではないか。

 この部分は今やっと議題にあがるようになった段階なので、今後深堀していく必要がある。

寺田  従来からの競争法の文脈と消費者保護としての規制を一緒にしてしまっているので、一度切り分けて整理した方が良いと思う。また対GAFAのような選択的法執行に関しては、EU等はその方向に進み始めており、理念だけでなく戦略的に考えていく必要もあるのではないか。

最後に

クロサカ  今日の話を聞きながら、高度成長期のような開発志向でこれからのデジタル社会を考えることはそろそろやめた方がよいのではないかと思った。ともすれば、行政と紐づけておけば表面上の信頼性は確保できてしまうので、雑な考え方・アプローチで進みがちだが、それは一人一人の人間の価値を見ていないということにつながる。

 開発することを一義にするのではなく、開発した基盤を利用する主体一人一人にあらかじめ目を向けていれば、それほど問題のあるデータの取扱いや流通にはならない。ビジネスとして考えると、そこに考えが及ばない企業との連携はビジネス全体のリスクとなるので、連携先にそういった視点があるか、信頼して連携できる相手かという点がシビアに見られることになっていくだろう。

寺田  現在、スマートシティ等プロジェクトでは理念の下、大規模なアーキテクチャを構築して進めようとしている。しかし、Googleでさえスマートシティではつまずいているので、昨日今日集まった企業体で進めようとしても無理がある。元来、街作りはアジャイルで進められてきていた歴史があるので、先進分野から始め、その成功実績を次の分野に活かすようなスパイラルアップの進め方がよいのではないか。

  スマートシティのような取組みで、そこに住む人たちが何を望んでいるのか、どのように利用されるのかをよく理解することが先で、ユースケースを考えずに基盤を作ろうとするのは無茶な話。産官学とよく言われるが、スマートシティに住む人たちはデータ主体であり納税者でもあるので、ぜひ産官学”民”で進めてもらいたい。

〈放談会を終えて〉

 コロナ禍でデジタル化への社会的な要請が急速に高まった2020年。これまで慎重に進められてきたデータ利活用と保護を巡る議論が一気に動き始めた印象ですが、議論をリードするのは主に政府やビジネス界を代表する方々になりがちで、個人の権利利益は置き去りにされないだろうか、という不安を抱いていました。でも今回、3人の先生方の議論を聞いて少し安心しました。特に、最近目立っている「公益であれば何でもOK」風の議論については、お三方とも一刀両断にされていて痛快でした。必要性や効果と弊害の比較衡量が重要であること、緊急時であっても透明性は欠かせないこと、公益に私益を混ぜ込んだ議論には警戒すべきこと、など非常に勉強になりました。

 同意を巡る議論も興味深いものでした。最近、「同意至上主義」あるいは「同意疲れ」などといった言葉をよく耳にしますが、ユーザーの立場からすれば、同意の機能不全を強調して、同意を必要とする場面を狭めようとしているのではないか・・・などと疑心暗鬼になっていました。今回のお話で、ビジネス界も、サービスや技術が複雑化する中でどうすればユーザーを守り、サービスの信頼性を高めることができるのか、悩んでいるということがよくわかりました。ただ、そうであればなおのこと、まずは、わかりにくい説明や、正しく動かない「なんちゃってCMP」を改めるなど、ユーザーに正しく伝える努力をしてからにしてほしいという思いも拭えません。端末識別子を単体では個人情報として保護しない、あるいは取得時に本人の同意を必要としない、などの現行の個人情報保護法が、わかりにくさを助長している面もあると思います。今後の検討では、まず今の仕組みが、本当にユーザーを理解させるつもりで作られているのか、という点からも見直してもらいたいと感じました。

 ファーストパーティ主義も俎上に載りましたが、ユーザーには当然の帰結と感じるということは、ビジネス界の方々に是非知っていただきたいと思っています。ユーザーには基本的に、直接やりとりしているファーストパーティしか見えません。伝統的な商売と同様、私たちは責任感のある相手を取引相手として選びたいし、第三者に勝手に情報を渡す相手とは取引したくありません。それを考えたら、ファーストパーティには、閲覧履歴を第三者に渡すかどうか、渡すならだれに渡すのか、しっかり説明して同意をとってもらうことしかあり得ないと思いませんか?

 今まで、サードパーティの手法が通用したのは、私たちユーザーが無知だったからです。これからはそうはいかないでしょう。サードパーティの利用を狭めると、たしかに、短期的にはGAFAなどのメガプラットフォーム事業者にデータを集中させる結果となるかもしれません。そこは悩ましいところですが、今回のお話で出たように、通知と同意のルール整備や、SSI(Self Sovereign Identity)、情報銀行などの工夫によって、ユーザーの自己決定権と社会の適切なデータ活用の両立を目指すことが可能ではないか・・・。3人の先生のお話をうかがっていて、そんな思いを強くしました。(若江)

本内容は、2020年12月15日に開催されたJIPDECセミナー100回記念「デジタル社会に生きる」での年末放談会「デジタル社会を進む私たちに必要な視点とは」の内容を事務局が要約したものです。