講師コラム

サイトマップサイトマップ よくあるお問合わせよくあるお問合せ リクエストリクエスト セミナー会場セミナー会場へのアクセス リンクリンク
セミナーのメニュー
  ヘルスケア系
ライブ配信
8月
9月
10月
11月〜

化学・電気系 その他各分野
ライブ配信
8月
9月
10月
11月〜
出版物出版物
新刊図書新刊図書 月刊 化学物質管理Gmpeople
通信教育講座通信教育講座
LMS(e-learning)LMS(e-learning)
セミナー収録DVDDVD
電子書籍・学習ソフトDVD
セミナー講師のコラムです。講師コラム
  ↑2020/7/30更新!!
お申し込み・振込み要領お申込み・振込要領
案内登録案内登録
↑ ↑ ↑
新着セミナー、新刊図書情報をお届けします。

※リクエスト・お問合せ等
はこちら→ req@johokiko.co.jp



SSL GMOグローバルサインのサイトシール  


講師コラム:寺川 貴也 氏


『それで、データ・プライバシーとは何ですか?』



コラムへのご意見、ご感想がありましたら、こちらまでお願いします。

第14回 ベルギーの処分事例が教えてくれること(2020/7/30)



1)通信講座の準備を終えて

 この原稿が掲載される時には告知が出ていると思いますが、6月の中旬から1か月ほどかけて情報機構さんで11月に開講する通信講座の原稿を書いていました。テーマはデータ・プライバシー・マネジメントです。データ・プライバシーにかかわってきた方はもうよく理解されていると思いますが、データ・プライバシー対応で重要なのは法律そのものだけではありません。どのようにオペレーショナライズするかという視点が大切です。特に、様々な法規制が生まれている今日では、新たな法規制に柔軟に対応できる体制の構築が必要です。

 プライバシー・マネジメントとは、データ・ガバナンス、データ・エシックスを意味し、プライバシー文化を組織内に醸成することが最大の目的です。IAPPのCEOであるJ. Trevor Hughes氏は「我々の仕事は信頼についてのものだ」(“We are professionals of trust.”)といっています。この講座では、プライバシー・マネジメントを実現するための要点をかなりしっかりと取り上げています。管理者と処理者の区別の方法やデータ・ディスカバリの意義と弱点等、実務上正しく理解しておく必要がある内容についても取り上げています。個人的にはこの2月に出版した「データ・プライバシーの教科書」よりも一歩進んだものができたのではないかと考えています。

 この通信講座の内容はオンライン・セミナーでも同時に提供する予定です。日程は未定ですが、テキストに加筆して書籍化することも予定されています。データ・プライバシー対応をガバナンスに焦点をあてて解説する貴重な機会なので、ぜひご参加ください。


2)専門家のコミュニティ

 実は、通信講座を執筆している時期は、私自身の仕事もかなり忙しいときと重なっていました。そのため、日中は会社の仕事をして夜中に執筆を進めるという日が何日もありました。
 夜中に仕事をすることの面白いところは、地球の裏側の仲間がリアルタイムで声をかけてくれることです。これはオフィスでの雑談のようなもので、新しい情報や、ホット・トピック、十分学びきれていなかった分野とさまざまなことを知ることができます。当然、このやりとりはgive & takeで成り立ちますが、データ・プライバシーのような新しい分野で仕事をするのであれば、こういった交流が欠かせません。

 今回は、そんなコミュニティでのやり取りから教えてもらった情報から興味深い裁判事例をご紹介しましょう。



3)ベルギーのDPA v.s. Google

 2020年7月14日に、ベルギーのDPAが、ベルギーのDPAとして史上最も高額となる制裁金60万ユーロをGoogleに課すと発表しました。問題となったのは「忘れられる権利」です。
 ある個人が、Googleの検索履歴12件を削除するようGoogleに申し立てました。請求されている検索履歴は、会社のCEOである個人が特定の政治政党と結びついていることを示唆するものや、2010年に取り消されたハラスメント裁判に関するものについてでした。Googleは、検索からの削除を種々の理由で拒否しました。(e.g. ページが存在しない、アクセス不能である、削除の基準に満たない) この対応に対してDPAに苦情が申し立てられた、というものです。


4)Googleの欧州主要拠点と主監督機関

 この件にはいくつか興味深い点があります。まず、主監督機関の考え方です。Googleは欧州の主要拠点をアイルランドとしており、主監督機関はアイルランドのDPAです。Googleの主張によると、GDPRにおける処理(e.g. 検索履歴や検索結果の調整)の「管理者」はアイルランドのDPAでした。従って、この件はアイルランドのDPAが取り扱うべきとGoogleは主張していました。しかし、結局この件はベルギーのDPAが扱うこととなりました。何故でしょうか?

 Googleは係争が進む中で、「サーチ・エンジンのインデックス化」の「管理者」がアイルランド拠点ではなく、米国本社であるGoogle LLCによって行われていることを認めました。GoogleとアイルランドのDPAとの間では、係争が終了する以前に、Google LLCが管理者となる処理については、主監督機関ではないDPAによって調停されることが合意されていました。この合意に基づいて、ベルギーのDPAは今回の係争を担当したということです。

 この決定が意味することは、ワンストップ・ショップは万能ではないということです。欧州の主要拠点を指定してさえいればワンストップ・ショップのメカニズムで欧州のすべての問題を解決できるというのは誤りです。主監督機関の考え方は、欧州の主要拠点が「管理者」として処理を行っているものに適用され、そうでない処理に関しては苦情申し立てがあった各加盟国の監督機関が対応することになるということです。

 主要拠点の決定は、ビジネス上の効率を含めて行っていると思います。したがって、欧州で事業を行う事業者はグループ内での責任所掌を再整理し、意図せぬ結果を招かないようにすることが必要でしょう。


5)管理者は誰か

 もう一点係争で問題となったのは、裁判の「被告」が誰であるかです。すなわち、管理者が米国のGoogle LLCであっても、Google Belgium SAを「被告」として裁判を行えるかです。Google Belgium SAはGoogleのサービスを展開するための”consulting service”を提供している存在でしかありません。処理の責任を負うべきは管理者であり、「被告」は管理者でなければ対象とならないはずです。
 コンサルティング・サービスを行っているGoogle Belgium SAは「サーチ・エンジンの検索から除外する」という処理の「管理者」足り得るのでしょうか?

 法廷はこの点を検討するにあたって、CJEUが下したGoogle Spainに対する「忘れられる権利」についての判決(i.e. いわゆる” Costeja”裁判)とCNILが課したGoogleへの制裁金を無効とした裁判の考え方を適用しました。

 In such circumstances, the activities of the operator of the search engine and those of its establishment situated in the Union are inextricably linked since the activities relating to the advertising space constitute the means of rendering the search engine at issue economically profitable and that search engine is, at the same time, the means enabling those activities to be performed, the display of the list of results being accompanied, on the same page, by the display of advertising linked to the search terms (see, to that effect, judgment of 13 May 2014, Google Spain and Google, C−131/12, EU:C:2014:317, paragraphs 56 and 57).

 (そのような状況では、サーチ・エンジンの運営者及びEU域内に設置された拠点は不可分にリンクしている。なぜなら広告スペースに関する活動は当該サーチ・エンジンが経済的利益をもたらすための手段を与え、当該サーチ・エンジンは、同時に、行われる活動、すなわち検索語にリンクした広告を同一ページに表示することで付帯する結果の一覧を表示することを、可能とする手段であるからである。C−507/17, EU:C:2019:772, paragraphs 50)

 この考え方を適用する場合、Google Belgium SAは「Googleサーチ・エンジンおよびベルギー国内でのサーチ・エンジンの検索結果から除外するという機能のフレームワーク内で行われるデータ処理の管理者と同一の方法で扱われることが可能である」とみなされます。

 注意したいのは、実際の処理がベルギーで行われているのか欧州域外の米国Google LLC社員が行っているかはこの場合関係がなかったということです。(Case C−210/16, EU:C:2018:388)
 管理者であるかどうかは、処理が「不可分にリンクしているか」で判断されるということであり、各国拠点の監督機関は、この観点から常にデータ処理を監督しているという点を覚えておきましょう。

 管理者がだれか、というのは正確な分析が必要です。処理を正しく理解し、意思決定が誰によってなされているのか、その文脈はどのようなものかについて、整理することを忘れないようにしてください。EDPSが出しているガイドラインも参考になります。


6)欧州データ保護法が持つ一貫性

 この原稿を書いているうちに2020年7月16日が来てしまいました。いわゆるSchrems IIケースと呼ばれるデータ・プライバシーで最近最も注目を集めていた裁判の判決が出ました。この裁判では欧州からアメリカへのデータ移転の適法性が検討されました。
 結果は、読者の皆さんはご存じでしょうが、プライバシー・シールドは無効となり、SCCs (管理者-処理者)は有効というものでした。しかし、ここには条件が付帯されており、SCCsを締結しているところで、その移転が個人の自由と権利を欧州人権憲章と同等のレベルで正しく守ることができない場合、データ移転は直ちに停止すべきものであるという条件付きです。

 この決定は潜在的に大きな問題をはらんでいます。データ輸出者や監督機関は、SCCsを使う際DPIAを行う必要があるでしょう。特にアメリカ、中国、ロシア、ベトナムへのデータ移転については監督機関へのコンサルテーションを行うことが必要になるといえそうです。

 欧州はデータ保護というスキームの中で、2015年の決定から変わらずたった一つのこと、すなわち、個人の権利と自由を欧州人権憲章と同じ水準で遵守することができる時にだけデータ移転を許容するということを伝え続けています。欧州というシステムがこの思想に基づいて構築されているため、この姿勢は至極自然なものですが、今回のような大きな影響のある決定でも少しも揺るいでいない点には正直敬意さえ抱きました。一方で、プライバシーというスキームで動く米国にとっては、欧州の要求は時に受け入れられない部分も生じることでしょう。米国が欧州の決定を受けて重要な法律を変えるということは考えにくいため、両者の対立はすぐには解消しないでしょう。この辺りの話は次回のコラムで書きたいと思います。ここ数日は毎日、各国の専門家と意見交換をする日々です。少しずつ、専門家の間でもコンセンサスが形成されつつあります。次回のコラムを掲載するころにはおおまかな方向性が示されていることでしょう。




【書籍出版のお知らせ:】

データ・プライバシーの教科書 -GDPR対応を中心とした基本編-
GDPR対応をもとにしてデータ・プライバシー対応に必要な作業を具体的に解説した書籍です。
各種テンプレートやPrivacy Noticeの例も提供しています。

発刊  2020年2月  定価  38,000円 + 税
B5判 約280ページ  ISBN 978-4-86502-183-7
https://johokiko.co.jp/publishing/BC200203.php


【データ・プライバシー情報サイト】
テクニカ・ゼン株式会社では世界各国の最新のデータ・プライバシーに関する動向を日本語で発信しています。ぜひご登録ください。
会員制データ・プライバシー情報サイト




第13回 ハッキング事例から学ぶ(2020/7/15)



1)情報セキュリティとデータ・プライバシーの相違点

 情報セキュリティとデータ・プライバシーとの相違点は何でしょうか?
 答えは、両者ともデータを保護することを目指すものの、情報セキュリティの目的は「組織」を保護することにあり、データ・プライバシーの目的は「個人(データ主体)」を保護することにあることです。

 情報セキュリティとデータ・プライバシーとは相互に関係していますが、起源が異なることを理解しておくことは重要です。「組織」の保護を目的とする場合、私たちは ”I” 視点での保護を検討するだけで十分です。情報セキュリティでは「わが社にどのような危害があるか」を検討し、「わが社に危害がない」状態を作り出せば目的が達成されます。

 対してデータ・プライバシーでは基本的人権という集団的な権利保護を目指すため、 ”We” の視点での保護が求められます。本質的に、「私たちの社会をどのように損ねる危険があるか」という視点がデータ・プライバシーにはあるのです。従って、「義務は果たした」という態度では利己的との批判を受け、「義務さえ果たしていない」とみなされる宿命にあります。

 近年、情報セキュリティとデータ・プライバシーの境界があいまいになり始めました。デジタル化があらゆる場面で進み、両者が密接に関係するようになったからです。しかし、だからといって情報セキュリティとデータ・プライバシーが融合することはありません。両者は異なる目的を持つものだからです。人が成長して”I” 視点から”we”視点へと移行するように、情報セキュリティが成熟してデータ・プライバシーの要素を網羅することは可能でしょう。しかし、そもそもの目的が異なる両者が融合することは非常に難しいといわざるを得ません。

 デジタル化が加速する現場では、セキュリティに通じた担当者とプライバシーに通じた担当者双方の視点が必要です。換言すれば、開発の現場にセキュリティ担当者の他、法務担当者やコンプライアンス担当者が加わる必要が生じています。製品開発プログラムも時代と共に変化することが求められるのです。同時に、法務担当者やコンプライアンス担当者も、自分の専門に安住することを許されない時代になりました。アメリカではカーネギー・メロン大学を中心にプライバシー・エンジニアリングという分野が生まれていますが、これはプライバシーの言語とIT技術者の言語を橋渡ししようとする動きの現れです。世界は常に流動していることを感じさせる動向です。

 以上を述べたうえで今回は、スマート・カーのもつリスクをご紹介しましょう。スマート・カーではセキュリティ・リスクが人命に係わるため、セキュリティ、データ・プライバシー、機能安全といった従来住み分けていた領域の境界が非常に希薄となっています。IoTの導入、AIの活用が活気づく今日、スマート・カーにSecurity by DesignやPrivacy by Designの考えを導入する方法を考えることは格好の練習材料となります。その最初の一歩はリスクシナリオを把握することです。
 読者の皆さんがスマート・カーの開発に関与するのであれば何を検討項目として挙げるでしょうか。有事にはどのように対応するでしょうか。事例をもとに考えてみてください。


2)スマート・カーのハッキング

 スマート・カーがハッキングされると何が起こるのでしょう?まさか車のコントロールを奪われることはないだろうと思っているでしょうか?残念ながら、ハッキングは車のコントロールを奪うことが可能なようです。その様子を詳しく報告したWIREDの記事があります。この記事は、ENISAという欧州のサイバーセキュリティ当局が出した”ENISA GOOD PRACTICES FOR SECURITY OF SMART CARS”というホワイトペーパーでも紹介されています。初めてこの記事に触れた時、私は不安を感じずにはいられませんでした。

 記事によると、スマート・カーをハッキングすると次のようなことができます。言葉で読んだだけではピンとこないでしょうから、動画でもぜひ見てください。リスクの物質化する様子を目の当たりにすると、ここで羅列したことが意味するものを真剣に考えようという気持ちになるかもしれません。

 ・ダッシュボードに触れていないのに通風孔から最大風量で冷気が吹き出す
 ・ラジオが他のチャンネルに勝手に切り替わりを大音量で鳴り始める
 ・音量ボリュームを下げる操作をしても音量が下がらない
 ・ディスプレイに見知らぬ画像が表示される
 ・フロントガラスのワイパーがオンになりワイパー液が噴出する
 ・アクセルが作動しなくなる
 ・エンジンが完全に停止する
 ・突然ブレーキがかかる
 ・ブレーキを完全に無効にする
 ・ドアロックを勝手に解除する
 ・GPS座標を追跡する
 ・速度を測定する
 ・地図でルートを追跡する


 記事が書かれたのは2015年です。それから5年がたっているので状況は改善していると期待したいところです。少し現状を調べてみたのですが、自動車業界はやはりこの問題に積極的に取り組んでいます。残念ながら対応する法規は現在もまだ整備されていません。車に関するサイバーセキュリティの問題は、開発中のISO/SAE 21434や将来策定されるであろうUN/ECE規則で処置されることとなっています。ちなみにUN/ECEとは欧州の型式認証を取得するために適用しなければならない規格です。
 GDPRやCCPAのような法律がないということは即ち、自動運転車や自動運転技術の安全は現時点では各メーカーの自助努力にゆだねられているということです。もちろん、自動運転技術やつながる車の技術は各社生き残りの必須条件となるため、しのぎを削っていることでしょう。しかし、車メーカーはやはり車メーカーで、そうそう簡単にセキュリティ・ノウハウを習得できるわけではありません。この原稿を書いているちょうどその日にも、トヨタのレクサスがテンセントのホワイトハッカーによってハッキングされたというニュースが出ていました。現在、私たちはより大きなリスクを抱きながら車に乗っていると考えたほうが良いでしょう。

 少し話がそれましたが、スマート・カーには上に述べたようなリスクがあることがわかりました。これをもとに少し演習をしてみたいと思います。次の3つの質問に対する答えをできるだけ具体的に考えてみてください。Security by Design / Privacy by Designやデータ侵害対応の演習となります。


 質問1:(Security by Design / Privacy by Design)
 皆さんがスマート・カーの要件仕様を決める上流工程でのディスカッションに呼ばれたとしましょう。安全で安心な車の開発を行うために検討すべき項目にはどのような項目が挙げられるでしょうか?検討すべき項目をリスト化してみてください。

 質問2:(Incident / Data Breach Response Plan)
 スマート・カーでデータ侵害が発生した場合、あなたの組織における理想的なデータ侵害対応計画を説明してください。責任者やデータ侵害対応チームのメンバーは定義されているでしょうか?会議への参加者、頻度、報告事項、マトリックスは定めているでしょうか?データ侵害対応で行うべきことはマニュアル化されているでしょうか?

 質問3:(Emergency Communication Plan)
 スマート・カーでデータ侵害が発生した場合、社内外の誰に対してどのようなコミュニケーションを行いますか?コミュニケーションの統制はとれているでしょうか?メッセージを発信する人は誰でしょうか?メッセージを発信する媒体には何を使用するでしょうか?社内に対するコミュニケーションのルールと社外コミュニケーションのルールは定めているでしょうか?


 【回答のヒント】
 質問1:
 スマート・カーの場合はENISAのGood Practices for Security of Smart Carsで取り上げられているものをまずはレビューするとよいでしょう。その他アメリカのDOT(運輸局)が出しているガイダンスもあります。Security by DesignやPrivacy by Designに関する活動では、自社の業界に関連したガイドラインを参照することが役に立ちます。日本国内で発行されていない場合は欧米の資料を参照して、検討のたたき台として利用してみてください。車のケースでいえば、各国の省庁が出しているガイドラインの他、ISO/SAE 21434やUN/ECEのドラフト版を入手して検討項目を確認することも役に立ちます。

 質問2:
 データ侵害対応計画の確認では、ISMSやPマークで定めた計画が実際に運用可能であることを確かめます。多くの会社のデータ侵害対応計画はコンサルティング会社が提供したテンプレートそのままです。テンプレートは汎用性を持たせるために一般化されており、具体的な行動にまで落とし込めていないことが多くあります。単に認証用にそろえている程度であれば、これらのテンプレートは更新されていないでしょう。テンプレート内に記載された役割を具体的にだれが担うのか、どういった文書を用意するのか、リスクの判断を行うための評価表はどこにあるのか、だれがリスク評価を行うのかといったことを含めてテーブルトップ・エクササイズを行い、活用できるものへとテンプレートをアップグレードしておくことが大切です。

 質問3:
 情報の発信は多くの日本人が思う以上に重要です。グローバルでビジネスを行う場合は特に丁寧な説明を、社内外に行う必要があります。言葉にしていなければ、それは説明していないとみなされます。言葉を発していいなければ、組織は考慮できていないとみなされます。それは即ち巨額の民事訴訟へとつながります。自分たちが何を把握していて何を把握していないのか理解しておく必要があります。
 日本のデータ侵害時のプレス・リリースによくみられる「必要な対応は完了しています」という表現は不十分です。結果報告のみを行うのではなく、具体的に何をし、なぜ問題を封じ込められたといえるのかを論理的に、透明性をもって説明しなければ説明と受け止められないでしょう。こういった説明の仕方には特別な技術が必要です。要すればPR会社を採用して対応することも検討したほうが良いでしょう。
 また、メッセージには一貫性を持たせましょう。一貫性に欠いたメッセージは隠しごとをしているのかもしれないという不要な憶測を呼ぶため注意が必要です。データ侵害時はただでさえ一刻を争う状況であり現場は大混乱状態となるのですから、できるだけかく乱要因は生み出さない方がよいでしょう。当然、記者会見等を行う前には想定質問を用意しておくことも不可欠です。

3)データ侵害が起きたとき

 個人データを含むセキュリティ・インシデントをデータ侵害(Data Breach)と呼びます。データ侵害は個人へのプライバシー・リスクが物質化した状態となるため、迅速な対応が必要です。対応が早ければ早いほど、個人への危害は減らすことができます。

 データ侵害が発生した時最初にすべきことは、個人(データ主体)を保護することです。間違っても会社を守ろうとしないでください。個人への危害が最小となるよう最大限の努力をしてください。当然、関連する個人データ処理は停止すべきです。

 データ侵害の程度が甚大な場合は監督機関に報告する義務が生じることもあります。監督機関によって課されている義務は法域ごとに異なるため、組織としては要件をまとめたリストを用意し、データ侵害を受けたデータを把握したうえで、どこの監督機関に何を報告しなければならないか迅速に特定できるようにしておくことが大切です。個人に直接的な被害が及ぶ場合は個人への通知も必要となります。通知用の文章やレターはあらかじめ文面を用意しておく方が賢明でしょう。データ侵害発生時に作成されたレターのチェックなどしたい人はいないはずです。切迫した際に行わなければならない業務はできるだけ少なくしておくことです。動きをできるだけシンプルにすることは、状況をコントロールするためにも必要な準備といえます。

 社内外のコミュニケーションについても、計画に従い、必要な頻度で行います。ネットに掲示するだけで済ますこともできますが、データ侵害の程度によってはより丁寧な説明が必要となることもあるでしょう。コールセンターの開設が必要となるかもしれません。データ主体が自身の影響を確認するための特設サイトを用意する必要があるかもしれません。特別なセッティングを行えば、そのセッティングが被害者に確実に伝わるように広報を行うことも組織の義務となります。

 このようにデータ侵害が発生した時にやるべきことは数多くあります。データ侵害対応の責任者は、これを把握しておく必要があります。ISMSやPマークではこの役割を別の者に委任できるとしていますが、私は責任の所在とリーダーシップを明確にするためにも、責任者が把握しておくことが大切だと考えています。指揮官率先といいますが、考えないリーダーはいない方がましだからです。データ侵害については拙著でも章を割いて取り上げていますので、興味のある方は参照してください。


4)“I” (私)視点ではなく”We” (私たち)視点でビジネスを行う

 冒頭で、情報セキュリティは”I”の視点でデータ・プライバシーは”we”の視点であることをご紹介しました。データ侵害対応を行うときには、特にこの点を心にとめておいてほしいと思います。

 「自分のやりたいことをやるにはどうすればよいか」、「自分たちを護るためにはどうしたらよいか」という”I”の視点では、プライバシー対応で最も重要な「信頼(trust)」を得られません。お客様は、自分のことだけでなくお客様のことを考えてくれる人の方が好きだからです。データ侵害に遭ってはお客様と組織は運命共同体のような存在です。お客様のデータを自分ごととして対応できるリーダーが、データ侵害時には求められます。

 継続的にビジネスを行うためにも、信頼を失うようなことは慎むべきです。”We”の視点、個人データを扱う企業として責任を真摯に果たす姿勢を忘れないようにしましょう。個人データを取り扱う企業は今、”I (私)”の視点ではなく”We (私たち)”の視点でビジネスを行う、成熟した「大人」としてふるまうことが期待されています。



第12回 映画『I AM JANE DOE』が問いかけるもの(2020/6/30)



1)ドキュメンタリー:I AM JANE DOE

 ドキュメンタリー映画『I AM JANE DOE』は、アメリカで行われている児童買春を追った作品です。児童売買はbackpage.comという全米で二番目の規模を誇る広告サイト(classified site)が運営する、アダルト部門で行われています。子供が被害に遭った親たちは、同様の悲劇が起こらないようbackpage.comの責任を追及し、アダルト部門を閉鎖するよう求めて訴訟を起こしてきました。ところがbackpage.comは通信品位法第230条(通称CDA section 230、以下「CDA 230」)という法律を盾に免責を訴え、アメリカ司法はこれを認めます。CDA 230はインターネット創世記に制定された法律で、第三者の投稿内容から生じる訴訟からサイトを護るものです。第三者による投稿のコントロールが困難なプラットフォーム、換言すればメッセンジャーに過ぎないパブリッシャは、投稿内容に対して免責されるというのが法律の趣旨です。この法律には合理性があります。例えばFacebookで誰かを貶めるような投稿がされ、これを阻止しなかったFacebookに責任があるということになった場合、Facebookは膨大な量の訴訟に対応しなければならなくなり事業を継続できなくなるでしょう。CDA 230はインターネットのパブリッシャを保護するための法律です。
 法律は当初の意図に反し悪用されます。あるアナリストによると、現在アメリカで行われている児童買春の80%がbackpage.comで行われているといいます。backpage.comはアダルト部門がもたらす膨大な広告収入を手放すわけにはいかないようで、表向きは児童買春阻止に向けた取り組みを行うように見せつつ、児童買春を助長していることがわかってきました。backpage.comはモデレータを雇用して投稿の検閲(チェック)するという対策を導入しますが、投稿に使用してはいけない「禁止用語」を回避するための「隠語」(e.g. 水滴の絵文字やno 傘マークは「コンドームなし」を意味する)の使用を許可し、むしろ隠語を使うことで違法性を隠蔽するよう誘導していた形跡もあるようです。こういった隠語は、コミュニティに属す人であればだれもが理解できるといいます。

 2015年、オンラインでの児童買春の状況にしびれを切らしたシカゴの警察が、backpage.comと取引を行っている大手クレジットカード会社複数社に対して「不法行為を行っている企業と取引をしている」と警告しました。その結果クレジットカード会社は反社会的な企業と取引ができないという理由でbackpage.comとの取引を停止しました。この措置に対し、backpage.comは公的権力による言論の自由の弾圧と警察を訴えアメリカの司法はこれを認めます。根拠となったのはまたしてもCDA 230でした。CDA 230は、社会から不信の目を向けられている企業を保護し続けているのです。

 児童買春の被害者の多くはホームレスとなって人生を終えます。たとえ救出されても子供たちの人生が完全に狂わされます。ドキュメンタリーの中では、被害に遭った子供とその親たちの苦しみも伝えられています。児童買春を積極的に助長するビジネス活動が法的なロジックの問題で放置されてしまうことは大きな害悪を野放しにしているようなものです。
 アメリカでは上院議員が超党派でこの問題に取り組んでいます。CDA 230は今、改正に向けて議論が進んでいます。児童買春以外にも、殺害された被害者の写真がCDA 230を理由に削除されない、ストリーム配信しながら無差別殺人を配信する事件が発生するといった様々な問題に直面し、時代にそぐわないものであることをごまかしきれなくなったためです。

 ドキュメンタリーで伝えられているのはアメリカの問題ですが、日本にもプロバイダ責任制限法があり、CDA230に該当する保護をパブリッシャに与えています。児童買春を許すのも、人が殺されている写真を削除しないのも、殺人の生中継を許可するのも、企業に一任されているのが日本の現状といえます。YouTubeやTikTokが如実に示すように、ビジネスでは注目を集めることに金銭的インセンティブが働きます。自社の利益のために「暴力」や「不法行為」を「所詮他人事」としてビジネスに精を出すのか抑制するのかは、結局企業の価値観の問題に収斂してしまいます。現代は企業に高い倫理観が求められる時代になってきました。

 倫理観というとピンとこないなら、被害者が自分の子どもだったらどうでしょうか?目にしている相手が、自分の兄弟姉妹だったらどうでしょうか?ビジネスの倫理観とは、案外こんな感覚で正しく判定できるものです。
 社会の問題に対して「価値観はそれぞれだから」と傍観者を決め込むことは乗りこんだ船底に大洋の真ん中で穴をあけるような行為です。社会の価値観の崩壊を招き、ひいては自分たちの生活にまで悪影響をもたらします。傍観することは、社会全体が傷つく行為です。ドキュメンタリー映画『I AM JANE DOE』が問いかける根本的な問いは、日本にとっても他人事ではありません。この映画は今、NETFLIXで見ることができます。


2)忘れられる権利とパブリッシャ

 パブリッシャを保護する法律は、データ・プライバシーに対しても問題をもたらしています。その一つが、「忘れられる権利」に関する問題です。
 “I AM JANE DOE”に登場する児童買春被害者の親は、backpage.comに対して娘の性的な写真を削除するように要求していますが、backpage.comはこの要求に応じていません。アメリカには包括的なプライバシー法がなく、忘れられる権利が整備されていないためです。削除するかどうかはパブリッシャ(情報公開する場を提供するもの、プラットフォーム、パブリッシャ)の判断にゆだねられます。訴訟を起こした相手に対して、嫌がらせの意味を込めて削除に応じていないということが容易に推測されます。日本でもだまされてAV撮影された女性がその画像の差止を行うことは容易ではないといいます。日本には個人情報保護法があるものの、ネット上の情報の削除はプロバイダ責任制限法の枠組みで対応することとなっているためです。本当に消してほしければ裁判に訴える必要がありますが、裁判に訴えたからといって必ずしも認められるわけではありません。裁判に要する金銭や時間、勝つことができる可能性を考えれば泣き寝入りすることがほとんどでしょう。

 データ・プライバシーには「忘れられる権利」という考え方があります。人には過去を忘れられる権利があります。若気の至りの行為やちょっとした逸脱行為は誰もが経験するものです。人の価値は過ちを犯したことがないことにあるのではなく、過ちを犯しつつもより人が幸福になる社会を形成することに貢献することにあるはずです。また、人は過去を忘れなければ前に進めない側面もあります。忘れるということは、人が生きていく上で大切な行為です。
 過ちの定義が時々刻々と変わっていることにも注意が必要です。新たな価値観は古い価値観では誤りと判断されるものです。(e.g. 同性での結婚は認められるべきだ、メールではなくチャットシステムで仕事をする) 同様に、古い価値観は新しい価値観の下では誤りとみなされることも往々にしてあります。 (e.g. 女性は男性にだまって従うものだ、従業員は会社に対し滅私奉公するものだ) このように、私たちが生きる社会は流動的なものです。「正しさ」なんて所詮その時点での「正しさ」であって、10年後に通用する保証はないのです。過去を問いすぎないということは、私たちの社会が柔軟に機能していくために欠かせない要素といってよいでしょう。

 繰り返しになりますが、「忘れられる権利」は現実問題として民間のパブリッシャの判断にゆだねられています。次の項で説明しますが、現代、検索結果に公表したくない情報が現れる時、これを削除することは困難です。未来のことなど気にしない時代に投稿した写真が就職活動時や仕事を行う上で災いとなることはよくある話です。人は間違いを犯す存在なので、その意味で、現代は間違いが許されない非常に生きにくい時代になりつつあるといえるかもしれません。


3)プライバシーと言論の自由

 パブリッシャはなぜ個人の削除請求に対応しないのでしょうか。
 その理由は人の基本的人権のひとつである「言論の自由」に見つけられます。

 1948年12月10日に採択された世界人権宣言には、第12条でプライバシー権が謳われています。同19条には表現の自由についての権利が謳われています。人権という意味では、プライバシー権も表現の自由(言論の自由)についての権利も同列です。同第29条第2項では、個人の権利は絶対ではなく、バランスを考慮しなければならないとも記載されています。
 一民間企業に過ぎないパブリッシャは、個人の請求に応じて「忘れられる権利」に応じることで不要な係争(削除することで「言論の自由」を侵害されたという訴えに直面する)に巻き込まれることを警戒します。そもそも一民間企業は「プライバシー」と「言論の自由」を比較し衡量する立場にありません。司法が明確な指針を提示しなければなりません。しかし、「プライバシー」と「言論の自由」のバランスはケース・バイ・ケースでしか考えられないという矛盾があるのです。

 例えば欧州GDPRでは「忘れられる権利」が適用される条件として次のものを挙げています(GDPR 第17条):
 ・ 取得した当初の目的又は処理の目的に対して不要である場合
 ・ 個人が同意を撤回し、その他に適法な個人データ処理の根拠がない場合
 ・ 個人が個人データ処理に異議を唱え、個人データ処理を正当化する適法な根拠を見いだせない場合やダイレクト・マーケティング目的で個人データ処理を行っており個人が異議を唱えた場合
 ・ 個人データ処理が不法に行われていた場合
 ・ 子供のデータがSNS等で取得されていた場合
 GDPRは同時に、「忘れられない権利」が適用されないケースについても提示しています:
 ・ 表現及び情報の自由に関する権利の行使に必要な場合
 ・ 欧州法や加盟国法が要求する法的義務への準拠するためや当局から依頼されて公共の利益又は公権の行使を行うために必要な場合
 ・ 公衆衛生に関連した公共の利益のために必要な場合
 ・ 公共の利益、科学的調査、歴史的調査の目的でアーカイブが必要な場合等
 ・ 法的主張の確立、執行、防衛のために必要な場合

 法律とは概念しか示さないものです。具体的な指針が与えられていない中、パブリッシャが判断に迷い、「何もしない」ことを選択するのは致し方ない部分があるかもしれません。


4)最後は社会のプレッシャー

 “I AM JANE DOE”の中には、高名な判事が「車の広告掲載とエスコート・サービスの広告掲載で区別する必要がある理由が見いだせない」といって告訴を棄却する場面があります。「児童買春」という社会的に許容できないモラルの問題が、アカデミアで完全に欠落してしまう様子を描いている場面です。アメリカでは上院議員がこの問題に対処するために動いていることを紹介しましたが、象牙の塔に住む人々が頭で考えた世界と私たちが生きる世界との間にバランスを取り戻すためには、政治による積極的な関与、リーダーシップが必要となります。政治とは民衆が住みたい社会を実現することだからです。
 これは、「政治家」の仕事ではなく、国を形成する民衆の仕事でもあります。官僚は官僚の常識で世間ずれしていますし、政治家は利権に目がくらみ、保身に走りがちです。「政治家」が動くのは意見を訴える民衆を無視できないからです。

 皆さんは日本という国をどういう国にしたいでしょうか?皆さんは、自分の愛する人や子供たちが幸福に暮らすためには、この国がどうなり、どのような人が権限を持つべきと考えているでしょうか?
 世の中にはなんでもわかる「エライ」人なんていません。メディアに頻繁にでて発言している人たちも「エライ」から発言しているのではなく目立って面白いからメディアに出ているにすぎません。(もちろん素晴らしい意見を述べられている方もいます。)誰もが感じていることをアウトプットし、政治家や官僚、メディアにプレッシャーを与えることが大切です。どんな意見も抑圧することだけはしてはいけません。発信こそが、社会を動かす駆動源です。

 日本は、この点少し希望が持てます。改正個人情報保護法には個人からも数多くの意見が寄せられました。その意見には洞察に満ちたものも多く、専門家の私も感銘を受けました。何よりも勇気づけられたのは、人々が声を上げるようになっていることです。現行の個人情報保護法に違和感を持つ人が、意見公募という機会を逃さず声を上げたというのは本当に素晴らしい動きだといえます。

  “I AM JANE DOE”はこのドキュメンタリーを次の言葉で締めくくっています。
 「どういう社会であるべきか?」

 私たちも同じ問いかけをしたいものです。私たちが社会にもっとも影響を与えることができる場所は、自分たちが働く企業です。できれば、皆さんの企業が採用するプライバシー・ポリシーをはじめとする各種ポリシーが、よりよい社会を形成するドライブとなるように働きかけてほしいと思います。データ・プライバシーとは人が幸福に暮らせる社会を実現することです。すべての人が、この活動に関わる資格があると思います。



第11回 ロケーション・プライバシー(2020/6/15)



1)Future of Privacy Forum (FPF)

 アメリカのFuture of Privacy Forum(FPF)は、IAPPと並ぶ世界のプライバシー界をリードするNPOです。IAPPは専門家のコミュニティとして、トレーニングやツール、情報の提供を行うのに対し、FPFは新しいテクノロジーの課題をプライバシーの観点から調査研究し、対策の提案を行っています。FPFの活動の成果の一つとして有名なものに、一種のアメリカの教育用ソフトウェア業界認証といえるK-12 School Service Provider Pledge to Safeguard Student Privacy(K-12教育現場向けサービス提供業者による、生徒のプライバシーを安全に保護するための宣誓)があります。K-12とは幼稚園から高校までの子どもたちを指します。この宣誓はFPFが2015年にSoftware and Information Industry Association(ソフトウェア及び情報産業協会)と共に開発したもので、ホワイトハウスが承認しました。宣誓に反する運用を行うと、FTC(Federal Trade Commission, 連邦取引委員会)法第5条に抵触し、「不公正又は欺瞞的な行為」(unfair or deceptive trade practices)とみなされ処分されます。これまでAppleやat&t等大企業を含む414社が署名し、全米で広く認知されています。現在は2020年版の作成に向けて作業が進められています。余談ですが、FPFのようにNPOの活動が社会に大きな影響力をもつのはアメリカの強さであり、バランス感覚の良さといえます。政府や行政に対する健全なチェック機能が働くからです。アメリカの持つ公共性をはぐくむ在り方やそのためのリソース配分の行い方、価値観には見習うべきものがあります。

 今回は、FPFの特集であるPrivacy and Pandemic(プライバシーとパンデミック)で紹介されている内容をベースに、コロナウィルス対応で大きな懸念を生じているデータ・プライバシー上の問題についてお話していきます。今回取り上げるのはロケーション・プライバシー(location privacy、位置情報に関するプライバシー)です。


2)COVID-19対策とロケーション・データ

 COVID-19(コロナウィルス)対策で最も重要な対策は、感染者との接触を減らすことです。欧米ではSocial Distancing (社会的距離を保つこと)と言われますが、実際はPhysical Distancing(物理的な距離を保つこと)で感染の可能性を低減できます。日本の非常事態宣言で首相が強調したことも、人との接触を8割低減することで感染拡大を阻止できるということでした。実際、中国はこの対策を徹底することで感染拡大の封じ込めに成功しています。

 この対策で活用されるのがロケーション・データといわれる、個人の位置情報データです。携帯電話やその他テクノロジー会社から得られるデータを利用することで、ウィルスに罹患した患者の追跡を行う、罹患者の近くにいた可能性のある人や感染拡大が進んだ地域に滞在した人々に警告を送るといったことがされています。イスラエルでは携帯電話の位置情報を活用できるようにした緊急時規制が成立し、欧州でも携帯会社に対し、匿名化しているにせよ、位置情報を集約したデータを提出するように求めています。韓国ではウィルス罹患者の分布を示す地図を公表しました。

 こういった活動には、どのような問題が潜んでいるのでしょうか。


3)ロケーション・データとは何か、誰が取得しているか

 ロケーション・データとはその名の通り位置情報です。位置情報と一口で言っても、日本の大阪府といった大まかな位置情報(IPアドレスから割り出すことのできる情報)から、どこのビルのどの部屋という精緻な位置情報(Wi-FiやBluetoothネットワーク情報と携帯電話のMacアドレスから得られる情報)まで幅広いものがあります。COVID-19で活用される位置情報は個人レベルを特定できるレベルのものであるため、後者が活用されます。

 位置情報を把握する原理はシンプルです。私たちがネットワークに接続する際、アンテナや基地局を通じて接続しています。アンテナの場所や基地局は固定した場所にあるため、電波の発信源がどのアンテナや基地局を通じてやりとりしているかを確認すれば、どのあたりにいるかを大まかに推定できます。(i.e. 電波が届く範囲にいると推定ができる。)

 精度を高めたい場合は、より細かい情報を、頻繁に確認します。
 インターネットに接続する機械には固有の識別番号(MACアドレス)があります。今はWi-Fi化が進んでいるため、街中にいればどこにでもインターネットに接続する機器があるといってよいでしょう。そのため、Wi-Fiへの接続機器の位置情報を記録しデータベース化すると、かなり正確な位置情報(e.g. 大阪駅のグランフロントに通じる通路の上)が特定できます。(Wi-Fiよりも電波の届く範囲が限定的なBluetooth情報を使えば、その精度は更に高まります。)
 時々刻々と発信される電波を用いて頻繁に位置情報を更新すれば、ある個人が移動している様子をリアルタイムに把握することも可能です。実際、携帯電話やスマートフォンの普及が進んだおかげで(日本では普及率が85%以上)、携帯電話を持つ限り、私たちの位置情報はほぼリアルタイムに、高精度で把握可能となっているのです。

 携帯電話の所有者名がわかれば、特定個人を追跡することが可能です。通常はMACアドレスまでしかわかりません。こういったデータは人の移動をモニターするために使用されるため、個人を特定しない「集合データ」(aggregated data)としてのみ利用されています。

 ロケーション・データにアクセス可能なのは携帯電話会社、モバイル・オペレーティング・システム(Android(Google)やiOS(Apple))の提供業者、アプリやアプリのパートナー会社(「位置情報を有効にしますか」という表示に代表される、アプリでの位置情報取得とこの情報をパートナー会社が提供するSDKを通じて送信する)、位置情報分析業者(携帯電話を含むIoTデバイスの発信する電波をもとに店のどのコーナーに人が集まったか、訪れた客が興味を示した商品はどれか、どの時間帯にどれくらいの待ち時間が生じているかといった情報を取得する)といった存在です。


4)ロケーション・データの取得方法

 ロケーション・データというとGPSを思い浮かべるかもしれませんが、ロケーション・データにはGPS以外にもいくつかの取得方法があります。ここでは、GPS、携帯電話の基地局、Wi-Fiネットワーク、Bluetoothのビーコン(beacon)について紹介しましょう。


5)GPS

 スマートフォン等のデバイスにはGPSチップが入っていて、人工衛星によるGPSで位置検出が可能です。GPSの欠点は精度にばらつきがあり、天候や物理的な障害物によって影響を受けることです。特に遮蔽物が多い都市部では精度が低下する傾向があり、大きな建物の中に入ると位置の検出ができません。最近では、GPSとそれ以外の信号(e.g. Wi-Fi、Bluetooth)を組み合わせることで、位置の同定精度を向上しています。


6)携帯電話の基地局

 携帯電話の基地局は携帯サービスを提供するために各携帯電話会社が設置するものです。携帯電話会社からはどの携帯電話がどの基地局にアクセスしたかが見えるため、携帯電話の所有者の大まかな位置をつかむことができます。携帯電話の基地局は常時電波(基地局ID)を発信しており、各基地局のIDが複数の公的機関、民間機関によってデータベース化されています。このデータベースを利用すると、より詳細なロケーション・データを得ることができます。


7)Wi-Fiネットワーク

 モバイルデバイスの近くにあるWi-Fiネットワークを確認することでロケーション・データを得ることができます。Wi-FiルータのMACアドレスと正確な位置を対応させた大規模なデータベースが構築されており、含まれているデータ数は数百万から一億データと言われています。このデータベースは商用利用されているため、opt-outすることもできます。(e.g. GoogleではSSIDの後に”_nomap”を追加する)


8)Bluetoothビーコン

 最近は子どものランドセルに小指ほどの大きさのタグをつけると、子どもが学校の校門を出た時に親に連絡メールが届くサービスがあります。こういったタグはビーコンと呼ばれ、Bluetooth信号等の無線信号を発信しています。このビーコンを店の商品棚に設置することで、Bluetoothへの接続を有効としているアプリと通信したデバイスの場所を推定でき、更に近くの店をプロモーションすることもできます。

 これらの取得方法は独立して使われることもありますが、最近ではより正確なロケーション・データを得るために組み合わせて使用されるようになっています。例えば、iOSやAndroidは、ユーザが許可した場合、複数のセンサーの情報を組み合わせることで高精度の位置情報を提供する「位置サービス」を備えています。こういった情報は渋滞予想情報の提供や事故情報の提供で活用されています。


9)ロケーション・データが孕むデータ・プライバシー上の問題点

 ロケーション・データは正確な個人の位置情報を取得可能となる可能性があるため、取扱いに注意が必要なデータと認識されています。実際、アメリカでは2018年にFCCがロケーション・データの不正開示に2億ドルの罰金を課しています。特にCOVID-19対策で使用するロケーション・データは、高精度な位置情報を必要としているため、政府とテレコム会社が連携すると発表した際は、私たちのプライバシーがかなり侵害される状態になりつつあると認識すべきです。

 名前を識別子に変えたところで、デバイスが停止する時間の長い場所が「自宅」であることは容易に想像がつくため、データは「匿名化されている」という説明はあまり意味をなしません。(i.e. データ・プライバシーとは文脈から侵害される可能性もある)政府や協力している会社に対しては、ロケーション・データを機密データとして扱うよう要請するのが良いでしょう。本来は個人情報保護委員会が独立機関として注文を付けてほしいところですが、個人情報保護委員会の議事録はただ「承認した」と述べているだけであり、どこまで議論をしたのかの透明性に欠いています。日本にも行政を監視するオンブスマンが必要だと感じます。管理方法、管理に際して採用する技術、不正な処理に対する法的措置の整備、アクセス制限のレベルといったことを厳しく監視する必要があります。また、スマートフォンの保有率が85%を超えているといっても、スマートフォンは高価なものに変わりはありません。そのため、スマートフォンを持たない(持てない)人々のデータがロケーション・データから抜け落ちる可能性もあります。こういった格差が原因となって対策に地域差が生じるようなこともあってはいけません。特に日本は移民を推進し始めたところなので、公平性の観点からも、こういった移民の方が等しく利益を得られるような運用を行う必要があります。最後に、政府や政府機関が取得したロケーション・データを別の目的で再利用することがないように監視する必要もあります。例えばCOVID-19の追跡目的で利用していたロケーション・データがいつの間にか数理モデル構築のためのデータとして使用されるということは十分あり得ることです。このデータが公になることで、故意ではないにしても個人の位置情報が不正開示される可能性も考慮し、慎重なリスク・アセスメントの実施を要請する必要があるでしょう。



第10回 子どものインターネット・リテラシー(2020/5/29)



1)CyberSafety.org

 私はデータ・プライバシーのコンサルタントとして仕事をする傍ら、子どもたちがインターネットと賢く付き合えるように学ぶための活動をしています。この活動はアメリカのサイバーセキュリティ法の創設に貢献した弁護士Parry Aftab氏がイニシアチブをとって行っている CyberSafety.org(ウェブサイトは製作中)で、アメリカ、インド、ポルトガル、オーストラリア、日本ですでに活動が始まっています。
 現代の子どもたちはデジタル・ネイティブといわれ、高いデジタル・リテラシーをそなえています。その一方で、オンラインとリアルとの区別が十分ついていないため不用意に自身の写真や画像を共有しトラブルに巻き込まれるケースが数多く発生しています。私たちは、ネット環境の利点と危険を区別し、子どもたちがインターネットという素晴らしいツールから安全に最大限の利益を得られるように、子どもたちと共によりよいネットとの付き合い方を学ぼうとしています。

 CyberSafety.orgでは2020年3月16日から3月18日にかけてオンライン・サミットを行いました。オープニングをインターネットの父と言われるヴィントン・サーフ氏がオープニングの言葉を述べ、世界中の子どものオンライン・セーフティの活動家、弁護士、セキュリティやプライバシーの専門家、警察、規制当局の責任者といった高い専門性を備えた人々が、特にセクスティングをテーマにパネル・ディスカッションを行いました。セクスティングとは性的なテキストメッセージまたは写真を携帯電話間で送る行為をいいます。

 日本でも株式会社マモルCEOの隈有子様、北浜法律事務所の生田美弥子先生、アンダーソン毛利友常法律事務所の中崎尚先生の3名の方に参加いただき、この問題についてパネル・ディスカッションをおこないました。

 オンライン・サミットの様子はcybersafetylive.comで見ることができます。特にお子さんのいらっしゃる方にはぜひ見ていただきたいと思います。(私たちが行ったパネル・ディスカッション以外はすべて英語です。)
 また、CyberSafet.orgの日本での活動のスポンサーとなってくれる企業や共に運営をしてくれる仲間も募集しています。関心を持っていただいた方は、ぜひご連絡をいただければ幸いです。(cybersafety-jp★technica-zen.com、★を@に変更)


2)子どもを取り巻くリスク

 私の世代や私よりも少し上の世代だと、「倫理」というと「お説教」だったためこういった話題は窮屈に感じる方が多いかもしれませんが、子どもを取り巻くインターネットのリスクというのは「あるべき」論ではなく、身を守るためのものなので、少し性質が違います。

 子どもを取り巻くインターネットのリスクにはどのようなものがあるのでしょうか。
 パネル・ディスカッションで株式会社マモルの隈さんが紹介してくださった情報と総務省が2017年に出しているインターネットトラブル事例集をもとに子どもを取り巻くリスクについて説明しましょう。

 オンラインでの子どもを取り巻く犯罪は大きく4つに分類されます。一つ目は「いじめ」に関するものです。グループ・チャットで一人だけ仲間外れにされる、誹謗中傷を受ける(学校が違う相手に対してばれないだろうと「なりすまし」て「〇〇は万引きをした」等書き込む)、脅迫される(「〇月〇日に待ち伏せて痛い目に合わせる」と書き込む)といったものです。

 事例:
 クラスの仲良し数人でやっているグループトークでAさんは、「〇〇の話っていつも面白くない」という書き込みの最後に 「?」 をつけ忘れたまま、スマホを置いてお風呂に入ってしまった。お風呂上りにスマホを見ると、「ひどい!」などの書き込みがあり、誤解を解こうとしても、反応がない。Aさん以外のメンバーが別グループを作り、Aさんを外していたことがわかった。

 二つ目は「個人情報の漏洩」です。住所や学校、使っている駅等をオンライン上で特定され、ストーカー行為の被害にあうというものです。

 事例:
 無料通話アプリで、学校の友人からバトンが回ってき、Aさん(女性)は軽い気持ちで名前や年齢、学校名などを答えた。その結果、ネットで知り合った男性に待ち伏せされた。以前その人に無料通話アプリのアカウントを教えていたため、Aさんの情報が見られていた。

 三つ目は「児童ポルノ」や「性犯罪」です。下着姿や胸や下半身の写真を送信させられる、付き合っている相手だからと許した性的な写真を別れた後に腹いせでばらまかれる、またはそういった写真を削除するために性行為を強要されるといったものです。

 事例:
 ネットで知り合った女性(実際は男性)に、体についての相談にのってもらったところ、「相談に必要だから顔、胸、性器等の写真を撮って送ってほしい」などと言われた。言われるがまま、自分の性器等を撮影し、送信してしまった。その後、実は相手が男性であることを知らされ、連絡がとれなくなってしまった。

 四つ目は「金銭トラブル」です。オンライン・ゲームのアイテムを購入し高額請求が届く、オンライン・ショップ購入して支払いが済んだのに品物が届かないといったものです。

 事例:
 探していた製品を扱うサイトを見つけたAさんは、品質に難ありといった口コミや、代金振込後発送のみといったことは不安だったが商品を購入した。しかし、その後、いくら待っても商品は届かなかった。購入の際にあった連絡先にメールで問い合わせても返信はなく、電話もつながらなかった。

 今回、サミットではこういったリスクの中で、特に三つ目の犯罪にフォーカスを当てました。セクスティングは、被害者の尊厳を奪い、時に命まで奪うからです。
 日本でのセクスティングは、2019年の警察の報告によると584人が被害にあったといいます。これは統計上の数字でしかなく、泣き寝入りしたケースも数多くあることが予想されるため、実際の被害はこの数倍あると考えたほうが良いかもしれません。日本ではオンラインに流出する画像の30パーセントが自撮りといわれています。世界では60パーセントが自撮りにより送信されているという報告もあります。残念ながら、犯罪の被害にあうのは主に女性です。親しくなりたい異性の気を引くため、好きな人に送るように言われたから、送ってもらったからお返しをしないといけない、といった理由で、子どもたちは写真を送ってしまうようです。デジタル・ネイティブの彼らは、デジタルを通じたコミュニケーションが当りまえであるため、リアルでのコミュニケーションとデジタルでのコミュニケーションの区別が明確でないといいます。軽い気持ちで送信してしまうのでしょう。


3)テクノロジーについていけない親

 気軽に画像を送信できてしまう環境が整っていることも一因です。Skype、Twitter、Line、Cacao Talk、SnapChat、Instagram、TikTok、YouTube、WhatsAppと、子どもたちが無料で使えるツールがデジタル世界にはあふれています。ところが大人は、SnapChatやTikTok、Cacao Talkといわれてもピンとこないかもしれません。急速に進化するアプリの世界についていくのはなかなか大変です。

 アダルトサイト等不適切なサイトへのアクセスを遮断するためにはフィルタリング技術を使えば大丈夫と思うかもしれませんが、フィルタリング技術は正しく使わなければ回避できてしまいます。携帯回線のみにフィルタリングをかけているとWiFi環境には制限がかかりません。また、フィルタリングを回避可能なブラウザーもあります。有害サイトフィルタリングツールを提供しているi-フィルターのサイトによると、iPhone、iPad、iPod touchなどのiOS端末では『ブラウザー型フィルタリング』をインストールして、「Safari」と「App Store」をオフにする必要があり、Android OS搭載のスマホ、タブレット端末では 『ブラウザー型フィルタリング』をインストールする必要があるといいます。ブラウザー型フィルタリングをインストールしても、iPhoneではLineやTwitterを通じてサイト閲覧が可能といいます。このようにフィルタリング技術といっても万能ではないのです。

 今述べたような説明を知っている親はどの程度いるでしょうか。白状すると、私も最近までフィルタリングの分類や正しい設置の仕方については知りませんでした。私と同じような親はきっと多いことでしょう。毎日のことに忙しく、新たなテクノロジーについていけないのです。調べる能力はあるかもしれませんが、実際にはなかなか調べないというのが現実じゃないでしょうか。そんな時、私たちが取りがちの行動は「子どもに使わせない」です。これはせっかくのツールが少しもったいないと思います。


4)どう解決するか?

 子どものインターネット・リテラシーについては従来の学校型のモデルは成り立たないように感じます。従来の学校型モデルは、大人の方がより知識があり、その知識を子どもに分け与えるというスタイルです。大人がより知識があるからこそ成り立つモデルです。デジタル・テクノロジーに関していえば、子どもたちの方がはるかによく知っているという状況が生まれています。子どもたちの方が大人よりもたくさん使っているからです。だから、大人が教えられることは限られているといってよいでしょう。ひょっとすると、私たちは従来の「大人が教えて子どもが学ぶ」というスタイルを放棄しなければならないかもしれません。

 このことを述べたうえで、子どものインターネット・リテラシーをはぐくむために大人ができることについて考えてみましょう。三つ提案したいと思います。まず、テクノロジーを使うこと。大人にインターネット・リテラシーがあることが大切です。仕事で「素人は嫌だ」と感じる方は多いでしょう。子どもだって、「素人は嫌だ」と思います。大人が「素人」でいたらそれこそ話もしてもらえないかもしれません。まずは、大人が最新のツールをどんどん利用して、インターネット・リテラシーを高めることが大切です。二つ目は、事例や事件について子どもたちと話すことでしょう。答えありきではなく、何が問題で、どう思うのか、相手を一人の人間として尊重しながら話を聞くことが大切です。前提として、子どもが信頼して話をしてくれる関係を築いておくことも大切ですね。家族のコミュニケーションが、今まで以上に大切な時代になっているといえると思います。三つ目は、段階を踏んでインターネットの世界に子どもたちを触れさせることでしょう。水泳の練習をベビープールから始め、次は浮き輪をつけ、ビート板を使い、そのあと一人で浮かぶようになるように、少しずつインターネットという大海になれていくというアプローチをとることが大切でしょう。サバンナでも猛獣が狙うのは子どもです。ネットの犯罪者たちは、弱い子どもを狙います。十分対応できるようになるまで、子どもをリスクにさらすことは賢明ではありません。

 CyberSafety.orgでは、大人が子どもに教えるという枠を超え、子どもが子どもに教えられるようなリーダーの育成も考えています。子ども同士の方が受け入れられやすい場面もあるかもしれないからです。
 いずれにせよ、インターネット・リテラシーはこれからの時代、欠かせないものとなることでしょう。未来の世代を、この新たなスキルにどう導くのかを考えるのは、現在世代の大切な責任の一つだと思います。




【書籍出版のお知らせ:】

データ・プライバシーの教科書 -GDPR対応を中心とした基本編-
GDPR対応をもとにしてデータ・プライバシー対応に必要な作業を具体的に解説した書籍です。
各種テンプレートやPrivacy Noticeの例も提供しています。

発刊  2020年2月  定価  38,000円 + 税
B5判 約280ページ  ISBN 978-4-86502-183-7
https://johokiko.co.jp/publishing/BC200203.php


【データ・プライバシー情報サイト】
テクニカ・ゼン株式会社では世界各国の最新のデータ・プライバシーに関する動向を日本語で発信しています。ぜひご登録ください。
会員制データ・プライバシー情報サイト





第9回 プライバシーとは何か?(2)(2020/5/15)



 今回も前回に引き続き、プライバシーとは何かを検討していきましょう。
 今回は少しアプローチを変えて、答えのないケースで、プライバシーのもたらすジレンマを考えていただこうと思います。私から正解を提示することは行いませんので、あなたがデータ・プライバシーの担当者だったらどのような対応を行うかを考えてみてください。なお、今回紹介するケースは、私が昨年参加したIAPPのリーダーシップ・ミーティングで世界を代表するプライバシーの専門家たちとともに検討したものを日本語にしたものです。全部で3つのシナリオから構成されます。


1)ケース1:遺伝子情報を利用するフィットネス・アプリ

 あなたはロード・ランナーというフィットネス・アプリを開発している会社のプライバシー責任者とします。日本でも増えてきた、ランニング愛好者向けのアプリです。
 このアプリはiOS上とアンドロイド上で動き、ランナーの活動履歴、歩数、心拍数、栄養状態をトラッキングできます。会社はこの度、ロード・ランナーの世界中のユーザのうちopt-inした人にコヨーテという、ユーザの電話に接続できる新製品を送付するといいます。
 コヨーテは唾液サンプルからDNAを分析し、ユーザの遺伝情報を読み取ります。コヨーテはその情報をローカル・デバイス上に保管し、遺伝情報に合致したユーザの運動方法や食事を提案します。
 また、会社の研究所のスタッフは遺伝情報へのアクセス権を付与するということです。研究所では遺伝情報を用いてA/Bテスト(サービスの比較テスト)を行うことや、「長距離ランナーの遺伝子マーカー」と題したホワイトペーパーを発表すること、ネーチャー誌に投稿するための学術論文の執筆を計画しています

 アプリ・ユーザの遺伝情報と運動習慣や食習慣はBeepという安全なクラウド・サーバーに送信されます。送信される遺伝情報は生データではありません (e.g. アルツハイマー患者に共通してみられる突然変異の可能性が1.6%見られる、といった分析結果情報のみが送信される)。運動習慣や食習慣についても個人を特定不能として送信します(e.g. 毎週9マイルはしり一日当たり2200カロリー平均して消費する、といった情報が送信される)。これらの情報は世界中のトップクラスの学術研究所の研究者に公開されます。もちろん研究所はNDAおよびデータ・セキュリティ契約を締結します。データは、腫瘍、胃腸病、肝臓の領域での科学的研究の進歩のために使用されます。

 会社はこのプロジェクトを画期的なものだといいます。それによると、コヨーテは、十分プライバシーに配慮しつつロード・サイド・ランナーだけではなく、科学の進歩と社会の改善にも寄与することになるということです。

 プライバシーの責任者のあなたは遅まきながら、このプロジェクトの存在を知らされたわけです。プライバシーの責任者としては何を行い、何を検討する必要があるでしょうか?


2)ケース2:フィットネス・アプリが異分野に進出

 コヨーテ・プロジェクトは無事ローンチされ、市場にも受け入れられた様子です。コヨーテ・プロジェクトを発表した数か月後、会社は新たな発表をしました。デート・アプリを開発する会社と提携するというのです。この提携の結果、コヨーテを使用するユーザはデート・アプリ会社の開発するアプリで「遺伝プロファイル上相性がいい相手」や「類似のライフスタイル」を持つユーザとマッチングされるようになるそうです。

 デート・アプリ上では、ベジタリアンやグルテン・フリー・ダイエットの愛用者同士がマッチングされるため、嗜好の異なるカップルの家でしばしば発生する、家庭内の無用な争いが解消されます。また、肥満傾向のあるユーザが、健康で幸福な生活を実現してくれるようなパートナーに会うこともできるという利点もあります。適切なパートナーと出会ったユーザは、食生活を改善することでより健康な生活を営めるようになり、健康で幸福な暮らしが実現できるというわけです。

 フィットネス・アプリとデート・サイトの連携は業界の枠を超えた画期的な取り組みです。会社はマーケティング戦略上もこの提携は非常に好ましいものと考えています。

 今回もまた、プライバシーの責任者のあなたはすべてが整えられた後に声をかけられたことになります。あなたはため息をつきながら必要な対策を講じます。さて、あなたはどのような対応を行うでしょうか?


3)ケース3:デート・サイトとの提携が炎上

 何か新しいことに取り組むと、必ず想定外のできごとが起こるものです。
 デート・アプリとの提携発表後数か月した時のことです、Wall Street Journalにデート・アプリのマッチングに問題があるという記事がでました。この記事によると、マッチングの判断基準に人種や民族的背景についての情報を含めていなかったにも関わらず、デート・アプリのマッチング結果が同じ人種の間でのものとなる傾向があることがわかったという報告があったということです。報告の主はBeepにアクセス可能な研究者の一人でした。それによると、白人と非白人とのマッチングは、全体の2%未満でした。その一方で、黒人、アジア人、ラテン人に関しては人種間でのマッチングがより多く行われたとのことです。
 さらに、少なくないケースで、家族のメンバーがマッチングされたという報告があります。とどめは、少なくないユーザが、異性愛者にもかかわらず同じジェンダーの相手をマッチングされたと主張していることです。遺伝子マーカーによる意思決定ではないことは確かなのですが、このようになった理由は定かではありません。
 Wall Street Journalはアルゴリズムを改修して民族間、文化的背景の相違を超えたマッチングを実現すべきだとしています。この記事はツイッターで話題になり、同性愛の促進と社会的偏見の固定化をもたらしていると批判されました。

 もはやプライバシーの問題を超えつつありますが、プライバシーの責任者であるあなたはこの対応を任されてしまいました。ユーザや社会に対して合理的な説明が必要です。あなたなら、何を検討し、どのような説明を誰に行い、どのような対策を講じるでしょうか?


4)プライバシーの問題には専門家が必要

 いかがでしたでしょうか?興味深かったのではないかと思います。私がこのケーススタディに参加した時はプライバシー界のオール・スターといってもいい人たちが次から次にお手本となるような回答を提起し、同じテーブルで意見を求められるような状況で、幸福で眩暈がするようなひと時でした。その一方で、プライバシーの専門家たちも、このケースに関してはあまりの展開の過激さに苦笑していました。
 注意したいのは、日本でも靴とセンサを組み合わせた製品やセンサの埋め込まれた着衣で自動採寸するシステムが導入されているように、ここで出てきたような話は現実化しつつあります。実際に対応を考える必要があるものとなっているといってもよいのではないでしょうか。

 このケースで考えるべきことはプライバシー・リスク、セキュリティ・リスク、ステークホルダーとの関係性、アカウンタビリティ、透明性、適法性等多岐にわたります。特に法律に関してはかなり専門性も高くなりますし、プライバシー・リスクやセキュリティ・リスクもカタログから選べば対応できるようなものではありません。素人が片手間で行うにはリスクが大きすぎると判断されるでしょう。状況を検討した上で、訓練を経た思考を伴った判断が求められるからです。プライバシーの専門家が必要とされる理由はここにあります。

 デジタル化が進み、時代は急速に変化しています。社会も時差を置きながらも新しい現実を認識しつつあります。個人情報保護法の3年ごとの見直しに対するパブリックコメントには887件もの意見があつまり、個人情報保護委員会が示した個人保護を強化する指針に多くの賛同が示されたことは、時代の変化を実感させるものでした。企業も積極的に(正しい教育を受けた)プライバシーの専門家との対話を開始し、コンプライアンスとしてのデータ・プライバシー対応から脱却するときが来ているように感じます。



第8回 Facts Uncovered(2020/4/30)



1)無知と偏見

 Caroline Criado Perez氏が出版した”Invisible Women”という本があります。この本では、私たちが暮らす社会がいかに男性中心(men as the human default)で形成されているかが示されています。携帯のサイズ、薬の処方、都市計画、政策、etc.と、あらゆるものが男性をデフォルトとして設計され、「残りの50%(other half of humanity)」が見過ごされているというデータは、公然と存在する不平等を目の当たりにする不快感をもたらします。
 私たちが「そういうものだ」と信じている常識は未来の「非常識」であることがしばしばあります。米国で1950年代から1960年代に起きた黒人の公民権運動は、肌の色に関わらず人は平等だという「常識」を社会に認識させました。人権に対する無知が偏見を生み出していた例です。アメリカでハリウッドの大物プロデューサーがセクハラで有罪判決を受けたニュースが大きく報じられましたが、女性に対する偏見もまた、男性が女性以上に価値があるわけではないという事実に対する無知が偏見を生み出し、著しい不平等を生み出している一例です。
 無知と無知が生む偏見は実害をもたらし、それによって著しい不利益を受ける人が生まれます。不快なのは、加害者はいつも無感覚であるということです。現状を受け入れた人々は、いつも変化を望みません。それどころか、変化を抹殺しようとし、また抹殺してきました。希望があるとすれば、この世界には不正に立ち上がる人が常にいて、大きな問題をはらみながらも不正の克服を積み重ねてきたということでしょう。困難の克服はいつも容易ではありません。大きな勇気と、執念、戦闘が必要です。“Invisible Women”の扉に素晴らしいエールの言葉が書かれています。

“For the women who persist: keep on being bloody difficult”
(執念深い女性たちへ:挫けることなく煩わしいくらい偏屈であれ)


2)ゲーム・チェンジャー

 もちろん、この原稿はデータ・プライバシーに関するコラムなので、話はデータ・プライバシーにつながります。どうつながるか―コロナウィルスです。

 前回はリスク管理という観点からコロナウィルスについて取り上げました。今回はデータ・プライバシーとコロナウィルスについて取り上げましょう。実際、コロナウィルスはゲーム・チェンジャーでした。多くの大企業が在宅勤務に切り替え、日本の仕事の常識−一律同じ時間に出社し、オフィスで8時間以上過ごすものだという常識―をひっくり返してしまいました。それで仕事が停滞するかといえば、製造現場以外では特に停滞することはないでしょう。そもそも「オフィスに毎日出社しなければならない」という考え方に疑問が呈されます。

 報道を見ていて興味深いのは、「在宅では従業員が怠けるのではないか」という「不安」を臆面もなく述べる企業担当者が複数いることです。(そして、その発言に抵抗がないように報道するメディアがあることも…) 従業員を信頼できない日本企業の弱さとナイーブさが透けて見えます。更に興味深いのは、在日の欧米人の間では、「これで日本の生産性も少しは上がるだろう」という意見が出ていることです。在宅勤務ではアウトプットがすべてとなるため、アウトプットがない従業員が淘汰されるということでしょう。生産性が低いとは、即ち時間当たりのアウトプットが少ないということなので、今回の件を通して組織のスリム化実現に期待をしたいところです。

 在宅勤務をさらに進めると、組織の従業員は時間で給与を支払われる必要がなくなるという考え方にもたどり着きます。これは、ある意味、従業員が私のような独立事業者に近づくことを意味します。労使関係にあらたな緊張感をもたらすこととなるこの動きは、歓迎すべき動きでしょう。

 今述べたようなメリットや方向性はコロナウィルスが発生する前から指摘されてきていました。欧米では実際に取り入れられ、機能することも確認されていました。ところが、「監視しなかったら従業員はサボるものだ」、「テレワークは機能しない」という前提のもと、リーダー層の無知と偏見が日本の労働環境を停滞させていました。そのせいで多くの若い労働者が命を絶ちました。これは社会的殺人といってもよい現象です。

 事態は、コロナウィルスの大流行という重大事件で初めて動き始めました。これまでの非常識が常識となりつつあります。コロナウィルスは、企業と従業員との関係を再定義するかもしれません。


3)従業員のプライバシー

 従業員も人間です。従業員には基本的人権がありますし、プライバシーを護られる権利があります。
 コンサルティングを通じて数多くの企業と接して感じるのは、日本企業の従業員はプライバシーがないと感じていることです。実際、日本社会はプライバシーに対する感度が低いといえます。2019年7月に発生したリクナビの内定辞退予測はそれを端的に現しています。閲覧履歴を無断で分析し、勝手に行動を予測し、妥当性も検証せずに未来の行動をゲームでもするかのように決めつけ、雇用予定者にその情報を数百万円で提供したというのは、新卒の大学生を企業の所有物とでも思っていなければなかなかできるものではありません。マネタイズが大好きな日本企業の負の側面が前面にでた事例です。

 日本の雇用環境では、当然のように従業員のプライバシーを侵害している場面が見られます。例えば年に一度実施される定期健康診断がそうです。従業員は会社に当然定期健診結果を提出する義務を負いますが、これは世界に視点を移すと異常なことです。個人の健康データは個人を絶対的弱者としての立場に追いやる可能性があるものであり、本当に必要な場合以外は取得を制限すべきものとみなされるからです。個人を中心に据えるのであれば、力関係の均衡が崩れやすい雇用関係で健康データを雇用主が取得するというのは、望ましいこととは言えません。
 これが可能となる背景を理解するには、日本社会に潜むロジックを探るとよいでしょう。日本の企業は「家族」のようだといわれます。「終身雇用」という仕組みの中、会社や政府が従業員の「親」(保護者)のようにふるまうことが認められてきました。従業員も「子」のように会社や組織、政府に所属し、持ちつ持たれつの独特な関係性が形成されています。人間関係で相手に対する尊敬が最も失われやすい場所は、家庭です。距離が近すぎるあまり、家族の一人ひとりの間にある境界を見失うのです。日本の労使関係は、家族的になりすぎた余り、尊重すべき人と人との間の境界を見失っているようです。
 例えば、今回のコロナウィルス対応で「テレワーク中ずっとビデオ・チャットをオンにすることを義務付けている」企業が出てきたことは、子供がさぼらないように見張っている親のような感覚で行われたのでしょう。企業は従業員管理という自らの利益だけを考え、従業員という個人の家庭でのプライバシーや行動を監視されない権利を想像すらできなかったのでしょう。従業員の方も、給料をもらっているから見張られるのは当然だ、とでも思ったのでしょうか。私はこの報道を見た時、ウォルポール(Horace Walpole(24 September 1717 - 2 March 1797))の次の言葉を思い出しました。

 “The world is a comedy to those who think, a tragedy to those who feel.”
 (世界は考える者にとっては喜劇であり、感じる者にとっては悲劇である)

 日本の従業員のプライバシーの状況は大いに改善の余地があります。これも、従業員が会社の所有物ではなく尊重すべき個人であることに対する無知が生み出した、従業員への偏見がもたらすプライバシー侵害の一例です。


4)テレワークとプライバシー

 いろいろと日本の状況の負の側面について書いてきましたが、だからといって日本がひどい国というわけでもないでしょう。どの国や文化にも不完全な部分はあるものです。日本には日本の不完全な部分があり、欧州には欧州の不完全な部分があるので、深刻になる必要はないでしょう。大切なのは、自分たちの「当然」を相対化し、無知から生じる偏見を少しずつ正すことです。私たちの社会は、そんな風に前進するもののような気がします。

 前段で、コロナウィルスはゲーム・チェンジャーで、日本の企業と従業員の関係を再定義する可能性があると述べました。コロナウィルスは、データ・プライバシーについても進歩をもたらしたように感じます。テレワーク、ホームオフィス、BYOD (Bring Your Own Devices)といった新技術の活用によって、セキュリティやデータ・プライバシーへの認識がより進んだのではないでしょうか。
 例えば、今回、会社のネットワーク環境から切り離されたネットワーク環境で、会社の情報資産を会社と同じレベルで保護する方法についてより深い検討がされたことでしょう。通信プロトコルの定義、大量の外部端末が会社の情報へアクセスする場合のセキュリティ、アクセス権の再定義、暗号技術の導入等ファイルの保管方法、ウィルスへの感染チェック等より頑強なセキュリティ・システムが検討されるようになったかもしれません。性善説に基づいて従業員の監視を放棄した企業があることも複数報告されています。このような動きは従業員モニタリングの在り方について改めて議論を呼び起こすことでしょう。私の家にはアレクサが二台ありますが、スマート・スピーカーの側で仕事を禁止する企業も増える可能性があります。家庭用のWiFiへの接続を禁止し、企業がセキュリティ設定を管理したモバイル・ルーターを活用する企業も増えるかもしれません。

 日本の企業全体がテレワークという新技術に一斉に取り組んだのは大事件というべき出来事です。新技術は、使ってみなければ便利さも問題点も明らかになりません。今回のように多くの人が新技術に触れることで、日本社会は新技術についての経験を一度に加速させ、新たな技術とその使い方に対する蓄積を得たことになります。コミュニケーションの在り方やチーム・ビルディングの在り方も変わることでしょう。経験は、停滞気味だった日本の企業を前進させてくれます。テレワークや在宅勤務はデジタル技術があるからこそ実現可能だったものであり、必然的にセキュリティとデータ・プライバシーへの関心を高めることでしょう。コロナウィルスは恐ろしい病原体ですが、同時に日本に革新の芽ももたらした、と希望を持つことは楽観的過ぎるでしょうか?その答えは、コロナウィルスの流行を抑え込んだ時にわかることでしょう。




第7回 リスク管理(2020/4/15)



1)リスク管理の難しさ

 中国から発症したコロナウィルスは、日本でも瞬く間に広がっています。こういった場合、犯人捜しをしたくなるのは人情ですが、そのようなことをしても感染拡大が生じている事実が変わるわけでもなく、誰かの留飲を下げるくらいの功しか奏しません。
 コロナウィルスの日本での感染拡大は、リスク対応の難しさを如実に示しました。もちろん数多くの不手際もみられ、官僚組織の弊害やリーダーシップの不在という日本特有の問題点もあらためて表面化しましたが、それを脇においてもリスク管理とは難しいものです。16世紀の政治思想家ニコロ・マキャベッリも次のように言っています。
 危険というものは、それがいまだ芽であるうちに正確に実態を把握することは、言うはやさしいが、行うとなると大変に難しいということである  

(塩野七海著「マキャベリ語録」(新潮文庫)p.111)

 このコラムの第5回、第6回ではプライバシーの定義をプライバシー・リスクから検討しましたが、第7回ではこのリスクを管理することについて考えていきましょう。リスク管理とは何を目指し、なぜ今回のように機能不全に陥るのでしょうか。そして、データ・プライバシーでは、このリスク管理をどのように行うのでしょうか。
 ここで述べることは、私の考えであり、教科書的な解説を意図するものではない点をご承知おきください。


2)リスク管理とは何か

 まず、リスク管理という言葉の意味から定義しましょう。リスク管理とは、簡単に言うと「死なないための予防」です。極端と思うかもしれませんが、私たちにとっての究極的なリスクとは「死ぬ」ことです。「死ぬ」とは人が死ぬことも指しますが、象徴的な意味も持ちます。有事が発生した結果組織が解散せざるを得なくなること、都市機能が停止すること、原発が制御不能となること、パンデミックが制御不能となること、といったことはすべてリスクです。そのような状態を回避することがリスク管理の目指すところです。

 リスク管理は「死なないための予防」といいました。リスク管理が目指すのは、リスクをコントロール(管理)することで、リスクがない状態ではありません。私たちは「死ぬ」存在であり、「死ぬ」ことを避けることはできません。私たちができることは、望まない形で「死ぬ」ことをさけることです。リスク管理に関してはいまだにリスク・ゼロを信じている人が多数いるようです。しかし、リスク・ゼロということは「人が死なない」というのと同じぐらい、非現実的なことです。

 今述べた考え方は、リスク管理の考え方に慣れていない方にとっては不自然に感じるかもしれません。少しでも危険が残っているのであれば、それを世の中に出すのは間違っていると思う人もいることでしょう。しかし、私たちの生活にリスクがない状態は存在するでしょうか?たとえば、道を歩かない人はいないと思います。道を歩いているときに不審者に襲われる可能性はゼロではありません。大地震に遭遇して家族を失う可能性はゼロではありません。つまり、私たちの暮らしは、程度の多少はあれ、リスクとともにあるものなのです。

 私たちは、「仕方ない」と受け入れられる範囲でリスクを受け入れ、生きているというのが実態であることを忘れないようにしてください。リスクを意識しすぎると生きていけませんが、リスクがないようにふるまって生きていくのは、賢明な生き方とは言えません。


3)リスク・ゼロの弊害

 リスク管理の考え方はとても大切なので、もう少し説明を続けましょう。リスクがない状態を目指すことが、反ってリスク管理を行うよりも危険な状態をもたらすことも指摘しておきます。  リスクがない状態を目指す姿勢を完璧主義と呼びましょう。  完璧主義は非現実的なだけでなく有害な考え方です。残念ながら、まだまだ広く信奉されています。
 完璧主義にはどのような弊害があるのでしょうか?

 まず、完璧主義は検討項目を増加させ、その結果膨大な作業による人為的なミスを増大させる側面があります。完璧主義で行われる行為は検討項目が増えても、検討にかける期間を変更しないためです。
 次に、完璧主義はミスを許さないため、誤りがあったことを認めなくなります。今回のダイヤモンド・プリンセス号の問題で厚労省が「対応に問題がない」と正当性を主張していますが、このような主張は完璧主義が支配する組織でしばしばみられます。「リスク・アセスメントを行ったうえで、リスクのレベルが政府として十分低いと判断されたため、複数の選択肢の中から現実的かつ乗客の方やご家族の心情を斟酌したうえで対応を行った」とでもいえば、まだ納得性は出ますが、誤りが許されない環境では常に「正解」しか出せないため、断定的な発言が増えます。これは、結果的に誤りを隠蔽し、状況を悪化させます。第二次大戦以前の日本の陸軍がそのような組織でした。
 最後に、これは二つ目の弊害に関連しますが、完璧主義は「怒られないこと」を価値の上位に持ってくるため、言い訳をするための業務も増え、組織の創造力を奪います。組織全体が無責任主義に陥り、ガバナンス体制が崩壊します。東芝の粉飾決算は、この一例でしょう。

 完璧主義は品質向上につながるという考え方もあります。確かに日本の製造業界は長く完璧主義のもと、品質向上を果たしてきました。ところが、一般に目につきにくいところ、特に産業用機械では機能の完璧主義が追求された結果、作業者への安全への配慮が十分されていないケースがしばしばみられます。これは皮肉な話です。日本の工場は、安全第一という号令の下作業者を徹底して管理する傾向があるのに、その作業者が利用する機械での安全性の配慮が欠けているのですから。複雑な状況で検討から重要事項がもれる実例の一つといえます。現場の人間がそれに気づかないわけはありません。しかし、産業機械の場合は、作業者はプロだから自分で身の安全を護り生産に貢献するものという精神論も残念ながら現場には色濃く残っています。欠陥を指摘できないため、精神論で補うしかなくなるのです。この意味で、完璧主義は、精神論を醸成する土壌ともなります。精神論は、使い方を誤れば人を不幸に導きます。第二次大戦中の日本の社会(「欲しがりません、勝つまでは」)や日本の異常な残業習慣はそのことを実例で示しています。


4)現実的なアプローチ

 リスク管理は、こういった副作用を見据えたうえで、より実効性の高い方法、人が幸福であれる状態でリスクに対処しようというものです。具体的には、生じ得るリスクを可能な限り把握し、リスクが実現した(materialize)場合の危害の大きさと、そのようなリスクが発生する可能性(probability)から優先度をつけて対応する、という方法をとります。

 リスクといっても、歩道を歩いていてこけて膝をすりむくという程度のものからストーカー被害にあって殺害されるといった極度のものまであります。こけて膝をすりむく程度であれば歩行者にこけないように注意を促すだけでよいでしょうが、道に穴が開いていて、自転車で通った人が穴で躓き骨折するような事故が発生する可能性があるのであれば穴を埋めることを考えたほうが良いでしょう。もし、このような穴が国中の道路にあいていて、国に予算が十分なくて穴を埋める工事も十分にできないのであれば、人通りの多さをもとに優先度をつけて工事を進めることになるでしょう。たとえば、一日100人以上の人が通る場所の穴をまず埋めるけれども1年に10人も通らないような場所の穴は埋めずに置いておく、といった取捨選択が行われます。

 リスク管理とは、端的に言えば今述べたようなことを行うことです。リスクが現実化した場合の危害を検討し(膝をすりむくのか、それとも骨折するのか)、起こってほしくないリスクができるだけ現実化しないような対策(人通りの多いところの穴は埋めるが人通りがほとんどないところの穴は埋めない)のみに注力します。反対に対策を行わないリスクについては、問題がないと判断し、リスクを受容します。

 ダイヤモンド・プリンセス号の例では、日本は陰性だった乗客を公共交通機関で帰宅させましたが、日本は国として、公共交通機関で帰ることによって生じる感染の拡大のリスクは受容可能と判断したということです。
 一方、アメリカ、カナダ、韓国、オーストラリア、イスラエルは14日間完全隔離するという対応とっています。これらの国はダイヤモンド・プリンセス号の乗客が起点となる感染拡大のリスクを受容できないと判断したようです。
 国の判断はその国民の判断でもあるので、私たちは感染に対して楽観的なスタンスを選択したということになります。その背景には、高い医療水準への自信があるのかもしれません。リスク受容には良し悪しはありません。パンが好きな人がいれば寿司が好きな人がいるように、国や組織、企業によって考え方や姿勢が異なるという「違い」の問題でしかありません。自分の国を導いている政治家や官僚を信じるのであれば、他の国とは違うからと心配する必要はありません。メディアや野党は政府の対応を批判していますが、リスク管理という意味では説明責任の不在を追求すべきでしょう。なぜなら、陰性だった乗客を公共交通機関で帰宅させる際にどのようなリスク・アセスメントをおこなったのか、政府は全く説明していないのですから。


5)説明責任

 リスク受容の結果影響をうける立場の人間としてはなぜそのような判断をしたかの説明が欲しいところです。私たちは水槽の中の金魚ではありません。飼い主(政府)の匙加減一つで全滅してしまうようなことは断じて許容できません。

 リスク対応で透明性(transparency)が重要なのは、その影響を受ける第三者がいるからです。この透明性を高めるために必要なものが説明責任です。私たちに影響を与える誰かが、何を考え、どう判断し、いつ何を行ったのかを明確にされたとき、私たちは初めて、その妥当性や検討の欠如を指摘できます。
 これを記録として残し、衆目に付すことを、説明責任といいます。しごく当たり前なプロセスですが、カルロス・ゴーン氏の事件や最近の企業不祥事をみるにつけ、日本の政府や企業はどうもこの辺りが苦手なようです。

 リスク・アセスメントも人がやる活動ですから、残念ながら誤りから逃れることはできません。検討の欠如はその後の検討に活かすことで、継続的な改善をもくろむことになります。リスク・アセスメントはリスクをゼロにする活動ではなかったことを思い出してください。結局、欠陥を内包していることを理解しつつ、「いまのところ最もまし」な手法として採用されているものだ、という認識は持っておくと役に立つかもしれません。「説明責任さえ果たせば何をやってもいい」というわけではないのです。


6)リスク管理が機能しない理由

 リスクが発生した状態を有事とよび、リスクが少なくとも表面化していない状態を平時と呼びましょう。リスク管理には二つの要素があります。一つ目は有事を発生させないこと、二つ目は有事に適切に行動することです。

 リスク管理は、有事に対しては機能しないことがしばしばあります。少し前に、日本で東電の旧経営陣三名に無罪が言い渡されました。この裁判では「大津波を想定できたか」が一つの争点となりました。彼らは「当時の法規制などは絶対的安全性の確保まで前提にはしていなかった」との理由から無罪となりました。
 リスク管理は、そもそも想定されなかったことに対しては機能しません。

 原発は、規制が非常に厳しい業界で有名です。監査も数多くあり、その必要性は不明ですが言葉遣いの一つひとつまでチェックされます。当然非常時のマニュアル等も整備されています。有事に適切に行動することが計画されていたのです。しかし、福島ではこれが機能しませんでした。原発はメルトダウンを起こし、福島の人々の生活を崩壊させることとなりました。有事とは、想定外の出来事の連続だからです。気付かないうちに当然あるものとして想定していたものが失われたとき、リスク管理は機能しなくなります。

 リスク管理の成熟度とは、想定外がどれだけないのか、また想定外の出来事に対して対応できるしなやかさがどれだけあるのかによって決まります。
 リスク管理は機能しない場合もありますが、それでも重要です。リスク管理によってリスクが物質化する前に抑制できている問題が数多くあるからです。この見えない部分を評価するのを忘れてはいけません。大切なものは目に見えない部分に隠れていることがたくさんあります。


7)データ・プライバシーとリスク管理

 データ・プライバシーでは、プライバシー・リスクにたいして、プライバシー影響評価 (Privacy Impact Assessment, PIA)を実施します。この方法は拙著で詳述しましたので参照してください。個人データを処理することによって生じるプライバシー・リスクを評価したうえで、必要な対策を定めるという意味で、リスク・アセスメントと同義です。GDPRではDPIA (Data Privacy Impact Assessment)という言葉を用いています。PIA/DPIAはすべての個人データ処理に対して行うのではなく、特にプライバシー・リスクが高いと考えられる場合に実施するように推奨されています。特にプライバシー・リスクが高いものについては法律で定められている場合もありますが、一般にAIを用いた個人データ処理や信用スコアや金融情報を扱った個人データ処理、子どものデータを扱った処理、大規模な監視データを扱った個人データ処理といったものが該当します。当然説明責任も求められるため、PIA/DPIAの結果は文書として残します。昨年のある調査結果によると、DPIAの実施数が5件以下という組織調査対象の5割程度でした。現時点ではそれほど頻繁に行うものではないという認識のようです。

 リスク管理という考え方は今、特に国外では一般的な考え方となってきています。そのポイントは分析を行い、分析結果について説明責任を果たすことです。「説明できればいい」と開き直るのではなく、自分たちの行う行為がどのような結果をもたらすかを考えたうえで、施策を選択するようにしたいものです。



第6回 コロナウィルスとデータ・プライバシー〜(2020/3/30)



1)監視社会の功罪

 WHOは3月12日にコロナウィルスの世界的流行をパンデミックと認定し、コロナウィルスは予断を許さない状況となっています。WHOによると子供や若い人の場合、感染しても重症化することはあまりないということです。ただ死者が出ているように、重体になることもあり、5人に1人は病院での治療が必要となる可能性があるといいます。
 日本でも感染者数が増え、学校が閉鎖される、企業が在宅勤務を進める、テーマパークが閉鎖する等目に見える形で影響が出ているため、大きな不安を感じます。人の流れが停滞することによって生じる経済への影響も甚大なものです。東京五輪の開催も危ぶまれています。
 そんな中、中国はいち早く抑え込みに成功したと発表しました。日本のメディアは「いつもの嘘にきまっている」とでも言いたいような様子で報道していますが、中国に在住する中国人や中国人以外の友人の話を聞いていると、確実に鎮静化している雰囲気が伝わってきます。中国は8万人を超える感染者と3000人を超える死者を出しました。増え続ける数字を横目に見ながら、中国政府は都市の封鎖を行い、春節の休暇を延期し、徹底して人の往来を管理しました。これが功を奏したようです。中国は今、国内の感染拡大抑制ではなく、国外からの感染者の流入を懸念しています。対策が新たな段階に入ったということでしょう。非常事には強いリーダーシップが有効だということを目にした思いです。
 中国のリーダーシップは、管理社会、監視社会といわれる社会だからこそ実現したものともいわれます。強権による支配は快適ではありません。管理社会や監視社会は平常時、人の幸福を奪うものとして忌避されますが、非常時には役に立ち、中国の人々もそれを評価している様子です。
 では、私たちは、こういう非常時を想定し、管理社会、監視社会を可能とする世界に生きるのが良いのでしょうか。これは、答えるのが困難な問いです。
 今回はコロナウィルスを足掛かりにプライバシーのジレンマについて話をしていきましょう。


2)平常時と非常時

 政府はパンデミックが収まるまで、人々の通信やISPデータを監視、管理する権利を持つべきでしょうか?政府は感染拡大を抑止する多国間連携のために、例えば入国者に対して、その人物の行動履歴が国境で共有されることは合理的な判断といえるでしょうか?空港、職場での症状を監視する、または都市全域で外出禁止違反がないように監視を行うといったことは許されることでしょうか?ワクチンや治療法開発のため、診療データを組織や研究者に開放すべきでしょうか?

 これらは、非常時であれば仕方ないと理解を示される可能性もあります。非常時の行動は平常時の考え方と異なる論理が必要となります。今回はコロナウィルスでの対応は、非常時の行動がいかに平常時の行動からかけ離れたものとなるかを照らし出しました。

 パンデミックが発表される1週間ほど前の3月6日、世界に5,5000人の会員を擁するプライバシーの専門家のためのNPOであるIAPP「公共の利益とプライバシーのバランス」と題した記事を公開しました。この記事によると、2018年、国連のグローバルパルスというイニシアチブを率いていたRobert Kirkpatrick氏が、「データの誤用(misuse)を防ぐと同時に飢饉、疾病、戦争対策で活用できるのに活用できなかったというデータの未使用(missed use)があってもならない」と指摘していました。

 中国ではドローンを飛ばして監視する、薬やマスク、解熱剤を買う際には実名と国民番号を登録させる、バスやタクシー、電車に乗る際には国民一人ひとりにQRコードを読み込ませ移動データをもとに国民一人ひとりが色分けされた一意のQRコードを持つようになる、といったことがされているそうです。シンガポールでも、コロナウィルスのケースをダッシュボードで管理し、感染者の住んでいた場所や職場、診察を受けた病院、時系列でのケースの発生履歴を視覚化しているサイトがあり、コロナウィルスに関するデータを詳細に管理、公表しています。これらは個人データを公衆衛生のために最大限有効活用した事例と理解できます。中国に住む複数の友人は、「中国は今、世界で一番コロナウィルスに対して安全な場所となっている」と肯定的にとらえていました。平常時の考え方から言えば、QRコードによる個人の感染リスク分類の正確度がどのように担保されているかという点は慎重に検討する必要がある内容でしょうし、感染者の分布をウェブサイトで公表することがその地域に住む人々に悪影響を及ぼす危険を伴います。迅速に実行に移されることは通常はありません。それでも実行されるのが非常時です。

 しかし、これらのことが恒常的に許容されるものではないことも忘れてはいけません。データ・プライバシーは公共の利益と個人の尊厳、自由との間のバランスを常に問うものだからです。


3)個人データの倫理的利用とリーダーシップ

 個人データは倫理的に利用されなければなりません。ドローンを飛ばして監視するにしても、個人の私的空間を監視しないルールが必要となります。薬の購入履歴を国家が実名で監督することはそもそも行うべきことではないでしょう。QRコードの色分けで個人を分類する場合は、その正確性に対する確認や分類による個人への実害を防ぐ配慮が必要です。非常時の対応は、例えば期限付きで実施するための暫定法を立案する等、迅速かつ限定的な対応をしたいところです。
 その一方で、今回のコロナウィルスの事例が示した通り、行き過ぎた感のある試みが高い実効性を持つことも確かにあります。その場合、「行き過ぎ」といわれる行動であってもcapabilityとして持っておくことが賢明という判断もあり得ます。AIの分野ではSandboxという試みがされていますが、法的に保護された範囲内で新たな試みを行い、技術の可能性を模索する必要もあるといえるでしょう。

 いずれにせよ、こういった判断は複雑で、緻密なものとなるためリーダーの資質に依存し、一般化しにくいものです。中国では感染の疑いがないものまで公安に呼び止められ隔離されるということが起きていましたが、これは避けられない帰結でしょう。複雑な命令を大規模に上意下達で行うことは不可能だからです。命令は組織の末端に行けば行くほど単純化され、重要な要素が抜け落ちていくものです。従って、リーダーが行う判断は注意深いものである必要がありますし、より緻密で、かつ一般に展開可能なものである必要があります。リーダーの発信するメッセージがポイントを抑えていれば、組織の末端に至った時に起こる情報の希釈も大切な要素を損なわないからです。
 データ・プライバシーも最後はリーダー次第といえます。優れた倫理感と果敢な判断力、行動力を備え、かつ明確なメッセージを発することができるようなリーダーが必要なのです。私たちは、組織にも、国にも、賢明で聡明で勇敢で、高い倫理観を備えたリーダーを養成しなければなりません。



第5回 プライバシーとは何か?(1)(2020/3/13)



 これまで4回にわたってプライバシーにまつわる話題を取り上げ、プライバシーが身近な問題であることを伝えてきましたが、今回と次回はプライバシーとは何かについて少し詳しく考えてみましょう。プライバシーの多面性が見えてくることと思います。


1)Facebookにあげた写真

 ある若い男性のケース・スタディです。男性には素敵なガールフレンドがいます。二人は夏、ビーチに出かけ思い出にたくさん写真を撮りました。写真の中のガールフレンドは露出の多いモデルのようなビキニ姿です。男性はその写真をFacebookにあげました。
 休暇が終わり職場に戻った男性は、仲の良い同僚の席を見て驚きました。友人は男性がFacebookにあげたガールフレンドのビキニ姿の写真を印刷して壁に貼っていたのです。男性は同僚に言います。
 「これ、何?なぜ僕のガールフレンドの写真をはっているんだ?」
 同僚は答えます。
 「なぜって、君はFacebookに公開していたじゃない?皆が見て楽しめるように。すごくいい写真だから印刷して壁にはったんだ」
 男性は憮然としてガールフレンドの写真をはがし、捨てるように言いました。同僚は「怒らせるつもりはなかった」と弁解しながら写真を廃棄してくれました。
 次の日、男性が職場に行くと、同僚のパソコン上にガールフレンドの写真へのショートカットがあるのを見つけました。男性は同僚の顔をまじまじと見つめながら言います。
 「悪い冗談はやめてくれ。昨日の話を忘れたのかい?」
 同僚は驚いた顔をして答えます。
 「何を怒ってるんだ?僕は何もしてないじゃないか?写真はFacebook上にあるものだよ」
 男性はかんかんになって言います。「とにかくやめてくれ。リンクを消すんだ」
 同僚はまた、「君を怒らせるつもりはないんだ」といいながらリンクを消してくれました。
 翌日、男性は同僚が自分のFacebookを見ているのを目にしました。男性にはこれ以上何も言うことはできませんでした。


2)文脈としてのプライバシー

 Facebook上にあげた写真は確かに友達や知人と共有するためかもしれません。理屈(「公開されているものを、気に入った雑誌の写真を切ってはるように印刷してはっただけだ」)からすると、職場の同僚がしたことは、筋は通っています。しかし、褒められた行動ではなかったことは確かです。Facebookで情報を公開しているからといって、それに対して何を行ってもよいというわけではありません。公開された情報の裏にある、暗黙の期待を裏切らないことこそがプライバシーの本質なのです。
 コーネル技術大学のヘレン・ニーゼンバウム教授(Dr. Helen Nissenbaum)は、これを「文脈上の誠実さ」(Contextual Integrity)と呼んでいます。Nissenbaum教授は次のように言っています。

 “What people care most about is not simply restricting the flow of information but ensuring that it flows appropriately”
 (人が最も気にかけるのは、単純に情報の流れを「制限」することではなく、情報の流れが「適切」であることだ)

 この視点は非常に重要です。InstagramやTwitterが流行するのは、私たちが自分たちのことを共有したいからです。1890年に著名な論文”The Right to Privacy”でプライバシーとは「一人でいられる権利」(right to be left alone)と定義したのはルイス・ブランダイス教授(Dr.Louis Brandeis)とサミュエル・ウォーレン教授(Dr.Samuel Warren)でしたが、私たちは一人でいたいと思うと同時に、何かを共有したい存在でもあることを忘れてはなりません。思春期の頃、仲の良い友達と秘密を共有して楽しんだ思い出は誰もがあることでしょう。私たちは自分のことを共有することが大好きなのです。プライバシーというとき、私たちは誰もが、共有した情報が適切に扱われることを期待していることを忘れてはなりません。


3)プライバシーへの期待

 プライバシーの在り方には文脈が関係しているということは、換言すれば、提供した情報に対する期待が文脈によって異なっているということです。このプライバシーへの期待の在り方を分類した研究者がいます。2013年に亡くなった方ですが、コロンビア大学のアラン・ウェスティン教授(Dr.Alan Westin)です。ウェスティン教授はプライバシーへの期待を大きく四つに分類しました。その分類をあえて翻訳すると、孤立(solitude)、親密(intimacy)、匿名(anonymity)、確保(reserve)となります。
 孤立(solitude)とは”right to be left alone”と同義です。個人が一人だけでいること、集団から離れて一人だけであること、他の人の目を気にする必要がないことを指します。英語でautonomy(自分だけの領域)ということがありますが、autonomyを保証されている空間です。
 親密(intimacy)とは親密な間柄だけにとどめることです。個人は小さなグループや集団の一部であり、信頼関係の下、情報の共有が行われ、秘密の約束がされる空間です。「二人だけの秘密」や入会制限の厳しい会員制コミュニティが該当します。
 匿名(anonymity)とは公共の場で身元の特定や監視されない状態のことです。個人は公共の場に参加しつつ、特定されないことを望みます。インターネット空間のコメント欄が代表例でしょう。
 確保(reserve)とは他人に土足で踏み込まれないための心理的な「逃げ場所」を作ることができることです。個人は大きなグループの一員でありつつ、コミュニケーションを停止することや、やり取りを停止する自由を選択できる状態を指します。

 冒頭のFacebookの例では分類四つ目の「確保」(reserve)が失われたため、男性のプライバシーを侵害したといえるでしょう。プライバシーとは、個人がもつ自分の情報への期待である、という点を忘れてはいけません。プライバシーを大切にするということは、個人の期待を裏切らないこと、即ち、信頼を裏切らないことです。

 参考までに、データ・プライバシーにかかわるときには、処理に対する個人の期待も織り込んでオペレーションやシステムを設計しなければなりません。ウェスティン教授の分類は、プライバシーに対する個人の期待を検討する際に役に立つものです。


4)プライバシーとリスク

 プライバシーの侵害は突き詰めると、個人への危害につながります。現代のデータ・プライバシーの問題は、リスクのマテリアル化/物質化(materialize)を予防することに収れんしているため、プライバシーとリスクとを結びつけて考えるアプローチも数多くされています。このアプローチで最も有名なのが、ジョージ・ワシントン法科大学のダニエル・J・ソルブ教授(Dr.Daniel J. Solve)です。ソルブ教授のプライバシーの分類(taxonomy of privacy)では、プライバシー違反を生じる活動やメカニズムを軸にプライバシーを定義しています。
 ソルブス教授が軸とした活動は(1)情報の取得(Information Collection)、(2)情報の処理(Information Processing)、(3)情報の拡散(Information Dissemination)、(4)侵害(Invasion)です。ソルブス教授はこれらの主要な活動を更に小分類に分類しながら、各活動が内包する問題とその活動がなぜ問題となるのかについて分析しています。(詳しくは拙著「プライバシーの教科書」を参照ください)
 少し専門的な話をすると、プライバシー・リスクの分類は、データ・プライバシー対応でプライバシー・リスクの評価をする際に評価基準として活用できます。

 ワシントン法科大学のライアン・カロ教授(Dr.Ryan Calo)はその論文”The Boundary of Privacy Harms”(「プライバシーによる危害の境界」)でプライバシーによって生じる危害を「主観的危害」(subjective harm)と「客観的危害」(objective harm)に分類しています。
 主観的危害とは、望まぬ観察にさらされている状態をいいます。個人は不安や羞恥心、恐れといった心理的な負担を強いられます。日本の入管が行っているビデオ監視はこの主観的危害に該当します。
 客観的危害とは個人に関する情報を意図せぬ形または強制的に使用される状態をいいます。IDの盗難や飲酒運転の検査でアルコール検知器を使用することといったことが含まれます。
 プライバシーとは何かを直接的に定義するものではありませんが、プライバシー侵害によって生じる危害という観点からプライバシーへの配慮を行う上では役に立つ視点を提供してくれます。こちらも、プライバシーにまつわるリスクを評価する際に、評価基準として活用できるものです。


5)プライバシーの難しさ

 ここまで様々な視点からプライバシーとは何かについてみてきましたが、いかがでしたでしょうか?よけいわからなくなったという人も多いかもしれません。プライバシーとは一義的に定義するにはあまりにも多くの側面を持っているように感じます。ニーゼンバウム教授が指摘するように、プライバシー保護のためには個人を切り離せばよいというわけではありません。情報の「適切」な共有をこそ、私たちは求めているのですから。
 では、情報を「適切」にコントロールできれば良いのでしょうか?
 冒頭のFacebookの例では「友達」だけに共有するというコントロールをしていたかもしれませんが、「印刷することを禁じる」、「直接リンクすることを禁じる」というコントロールがなかったために不十分なプライバシー保護状態となっていました。しかし、「共有範囲を定義し、印刷の可否も定め、直接リンクをはることも禁じる」というような緻密なコントロールは現実的な選択肢とはいえません。多くの場合、私たちは詳細な設定などせずにデフォルト設定をそのまま使ってしまうことでしょう。

 プライバシーの難しさは、多面性とコントロールの困難さにあります。ひとつだけ救いがあるとすれば、プライバシーはすべて「個人」に結びつくということです。「個人」が危害を被ることはしない、という指針さえあれば、プライバシーの問題の多くは対応可能なのです。

 私たちプライバシーの専門家は今、「技術的に可能だからといってやっていいというわけではない」ということが増えてきました。デジタル化の躍進が目覚ましい今日、衣服とネットがつながる、AIと婚活が連動する、位置情報と広告が連携する等、デジタル技術を駆使した様々な試みが行われています。それをイノベーションと呼び持ち上げるのは自由ですが、同時に人間的な視点がなければ気候変動のように大きな害を人類にもたらすことでしょう。できることならデジタル技術をうまく活用して明るい未来を築きたいと思います。
 今回の続編(プライバシーとは何か?(2))はそんなことを考えるケース・スタディを用いてプライバシーとは何かについてもう一度考えてみたいと思います。

 尚、次回からの3回については下記を予定しております。
  第6回 コロナウィルスとデータ・プライバシー *3月30日公開予定
  第7回 リスク管理 *4月15日公開予定
  第8回 Facts Uncovered *4月30日公開予定

 よって「プライバシーとは何か?(2)」は第9回(*5月15日公開予定)となります。



第4回 AIとデータ・プライバシー(2020/3/2)



1)弱いAI(“weak” AI)」と「強いAI(“strong” AI)

 2001年にスティーブン・スピルバーグ監督が公開した映画『AI』ではロボットが人間のように話し、動いていました。いわゆる意識を持ったロボットです。日本でも「鉄腕アトム」や「ドラえもん」でなじみのある、人間のようなロボットをAIだと認識している人は多いのではないでしょうか。ところが、最近新聞をにぎわしているAIは少し異なった意味で使われています。今回の連載ではまず、AIとは何かについて整理することから始めましょう。

 AIという言葉はとても広い意味を持っています。一例として、アメリカが法令に成文化した定義を見てみましょう。(Section 238(g) of the John S. McCain National Defense Authorization Act for Fiscal Year 2019, Pub. L. No. 115-232, 132 Stat. 1636, 1695 (Aug.13, 2018)(codified at 10 U.S.C §2358, note)

 (1) Any artificial system that performs tasks under varying and unpredictable circumstances without significant human oversight, or that can learn from experience and improve performance when exposed to data sets.
 (多様でかつ予測不能の状況で、人間が積極的に監督することなくタスクをこなす人工システム、またはデータ・セットを与えられれば経験から学びパフォーマンスを改善することができる人工システム)
 (2) An artificial system developed in computer software, physical hardware, or another context that solves tasks requiring human-like perception, cognition, planning, learning, communication, or physical action.
 (人間に近い知覚、認知、計画、学習、コミュニケーション、物理的行動が必要なタスクをこなす、コンピュータ・ソフトウェア、物理ハードウェア、または類似のものに組み込まれた人工システム)
 (3) An artificial system designed to think or act like a human, including cognitive architectures and neural networks.
 (認知アーキテクチャ、ニューラル・ネットワークを含む、人間のように考え行動するように設計された人工システム)
 (4) A set of techniques, including machine learning, that is designed to approximate a cognitive task.
 (認知タスクを近似するように設計された、マシン・ラーニングを含む技術)
 (5) An artificial system designed to act rationally, including an intelligent software agent or embodied robot that achieves goals using perception, planning, reasoning, learning, communicating, decision-making, and acting.
 (知覚、計画、合理化、学習、コミュニケーション、意思決定、行動によって目標を達成する、知性を持ったソフトウェア・エージェントまたは実態のあるロボットを含む、合理的に行動するように設計された人工システム)

 このように、AIには「人間の監視なしでタスクをこなす」というシンプルなものから「合理的に行動するように設計された人工システム」まで幅広いものがあります。
 アメリカの哲学者であるJohn Searl博士は、AIを「弱いAI(“weak” AI)」、「強いAI(“strong” AI)」と分類しています。「弱いAI」とは、ある特定のタスクを自動でこなせるものを指し、「強いAI」とは、認知能力をもち一般的なタスクをこなすことができるものを指します。たとえば迷惑メールのフィルタリング、アマゾン等のショッピングサイトで提示されるオススメ商品の表示、自動運転といったものは「弱いAI」に該当し、冒頭で紹介したロボットは「強いAI」に分類されます。現在世の中にあるのは「弱いAI」であり、「強いAI」はまだ開発されていません。


2)AIは人間の意識の反映

 「弱いAI」の特徴は、ビッグ・データによってトレーニングされることです。
 トレーニングとはプログラムに「学習」させることです。では、AIは何を「学習」するのでしょうか。それは、ビッグ・データに織り込まれたパターンです。AIはインプットされたビッグ・データをプログラムに従って分析し、パターン化します。パターン化された結果はプログラムの判定の「基準」として学習され、新たなデータをインプットされた際、AIのプログラムは自ら作成した「基準」に基づいて判定を行います。
 AIが行っていることは、かなり粗っぽく言えば以上のような内容になります。
 プログラムを組んだことがある人やシミュレーションを作ったことがある人ならわかると思いますが、プログラムやシミュレーションの結果は作った人の意図をかなり反映できます。今話題になっているAIが「弱いAI」であるということは、AIを作成した人が「妥当」とみなした結果を正としている、という点も見落としてはいけません。

 具体例を見てみましょう。例えば顔認識技術についての興味深い研究があります。この研究では、欧米でトレーニングされたAIはアジア人の顔の誤認率が高いけれどもアジアでトレーニングされたAIはアジア人の誤認率は低いという報告がされています。これが意味することは、第一にビッグ・データといえども情報の偏りがあることです。AIとは偏りのあるデータをもとに学習し、偏りのある基準をベースとしてものごとを判定している可能性があるという点を忘れてはなりません。第二に、「十分トレーニングされた」という判断基準が、欧米とアジアでずれているということです。つまり、AIによって文化の違いや「正しさ」のブレが強化される可能性があるということです。AIによって自動化された意思決定は、ビッグ・データによって条件付けされた「正しさ」を促進することでしょう。しかし、それはひょっとすると私たちの社会が持つ多様性を排除する要因となるかもしれません。


3)AIとデータ・プライバシー

 AIとデータ・プライバシーとはどのように関係しているのでしょうか?この話をするためには、プライバシーとは何かについて考えなければなりません。

 プライバシーとは何か、というのは非常に大きな質問(big question)です。今回はAIが主題なので簡単に触れるだけとしておきますが、回答はいくつかあります。
 まず、プライバシーとは、一人でいることができる権利(“right to be left alone”)と定義できます。一人でいることができること、誰にも干渉されることなく何かを決められることは、生きていくためには思っている以上に大切です。誰かにずっと見られているという状態では人は委縮し、本当の自分でいられなくなります。少し前の日本の農村がそうでした。私の大学の教授は、「田舎とは自分の成績が見せたわけでもないのに就業式の当日に知れ渡っている場所だ」といっていました。これでは息が詰まります。
 別の答えとしては、プライバシーとは自分が公表した自分に関する情報をコントロールできること、というものがあります。例えばオンライン・ショップでの購買履歴を公表する範囲は購入したショップだけとし、オンライン広告業者には開示したくないというのも、プライバシーの一つです。または、昔公表していたブログやSNSに掲載していた内容を完全に削除できることや、見ることができる人を限定することができるといったことも大切なことでしょう。人は時とともに考え方や関心を変えていきます。そのため、自分について公表したいことも変わるものです。自分が公表したいことだけが世の中に出ているというのは、人が最善の自分でいられるために大切な条件の一つです。
 もう一つだけ紹介しておきましょう。これは、最近ケンブリッジ・アナリティカの問題で明らかになったものですが、人は情報の与えられ方で思想や行動をコントロールされる存在です。プライバシーとは、偏ったソースに依ることなしに意思決定ができる自由だともいえます。

 AIがもつデータ・プライバシーと関連した問題は多くのものが報告されていますが、今回は二つ紹介します。
 まず、AIが行う意思決定の問題です。AIの意思決定はビッグ・データとして与えられたデータ・セットに条件づけられた判定基準によって行われるため、ビッグ・データによって色づけられた結果しかないことになります。この場合、AIによって行われる意思決定の対象となる個人はAIを設計した人々の意図に従った決定に従うような圧力をうけることとなります。人は公平に扱われる権利があります。不当に偏った判定基準に従うというのは、人の権利と自由を著しく損なうことといってよいでしょう。

 もう一つの問題は、AIによる監視です。
 今欧米では顔認識技術が大問題となっています。NYタイムズ紙が2020年1月18日に行った報告によると、AIがある殺人事件をわずか20分で解決してしまったといいます。この事件は2019年の2月にアメリカのインディアナ州で発生しました。犯人は犯罪履歴のない人物で、また、運転免許所ももっていなかったといいます。このような場合、従来は捜査に時間がかっていたそうです。しかし、たまたま目撃者が犯人の顔写真を撮っていたため、AIを使用してSNS等ネット上で公開されている写真をスキャンし、人物を特定できたということです。
 今回のケースは殺人事件でしたが、これが思想警察による捜査だったらどうでしょうか?私たちはまさに、ジョージ・オーウェルの1984年の世界に住むことになります。今はIoTや監視カメラの普及によってあらゆる場所がインターネットを通じてつながるようになっています。このネットワークにAIが加わることで、巨大な監視システムが生まれることになります。AIは、私たちが常に国家や権力によって「見られている」状態を生み出しつつあるのです。国家や権力は、不都合な事実が生じた場合、国民を躊躇なく「消す」ことが可能です。共産主義国でよく起きていた、家族や人物が「蒸発」するということが身近に起きる世界にはたして読者の皆さんは住みたいでしょうか。AIとインターネット網の発達は、私たちが大切にしている民主主義の根本を揺るがす脅威をもたらしつつあるといっても過言はないでしょう。


4)批判的な視点を常に持つ

 私たちは常に批判的な視点を持ちながら技術や出来事に接する必要があります。新技術のすばらしさや出来事のすばらしさ、効用が喧伝される際には(特に華々しく持ち上げられている場合には)情報を流す人々の意図を忘れてはいけません。新しい技術を使用すべきではないというのではなく、新しい技術の持つ問題点をまず把握したうえで、現時点でできる対策を行ったうえで利用するということが重要です。残念ながら現在のIoT製品はセキュリティ対策、通信方法、プログラムの更新可能性等といった面で多くの問題を抱えています。2019年に発生したリクナビの事件とその後のリクナビの弁明をみてわかるように、現在の日本の企業はデータ・プライバシーについて、根本的な欠陥を抱えています。
 市民は製品を提供する市民に対して厳しい監視を行う必要があるでしょう。一方、企業はSecurity by DesignとPrivacy by Designといったコンセプトを取り入れることで、少しでも安全な製品/システム開発を行うよう仕事の仕方を変更する必要があります。データ・プライバシーやセキュリティについての事故は企業の信頼(Trust)の問題となるため、Security by DesignやPrivacy by Designはもはやコンプライアンスの問題ではなくビジネス・リスクとしてとらえることが妥当でしょう。もちろん、各企業にセキュリティの専門家やデータ・プライバシーの専門家を配備しておくことが重要なことは言うまでもありません。世界の市場での競争力を失わないためにも、時代の要望に迅速に対応をしていきたいものです。



第3回 信頼(Trust)と懸念(Concern)(2020/2/14)



1)Thanks for being my friend!

 以前私の会社でアルバイトをしてくれていた留学生がいます。名前を仮にJudyとしておきます。Judyは母国での仕事を辞めて日本の社会人大学院に留学してきました。2年間で晴れて卒業し、今は東京の会社で就職しています。今でも連絡を取っていて、東京出張の折に時間があった時は一緒にランチをしたりしています。
 ある日、彼女に”I enjoy talking with you. Thanks for being my friend!” (君と話していると面白いよ。友達でいてくれてありがとう!) と、メッセージを入れました。実際、Judyは知的好奇心が強く、デジタル・マーケティングの世界で仕事をしながらプライバシーの問題を含めて様々な話題を提供してくれます。私にとっても刺激をもらえる貴重な話し相手です。
 私のメッセージへのJudyの返信は”You made my day!” (感動!)でした。

 人を勇気づけるポジティブなメッセージ(encouraging message)は、たった一言二言でも大きな違いをもたらすことがあります。「ありがとう」という言葉でも、「話せてよかった」という言葉でも、「本当にそうだね」という一言でも、時に言葉は大きな力を持つものです。

 こういった言葉は口にだして言いにくいものです。だから人は、昔からメッセージ・カード等を使って伝えてきました。映画『ラブ・アクチュアリー』のマークがジュリエットに送ったメッセージ・カードのシーンは感動的ですが、私も妻にクリスマス・プレゼントと一緒に感謝の気持ちをメッセージ・カードに添えて渡したことがあります。その後、カードは捨てられるかと思いきや数年たってもリビングの収納の一画に飾られています。

 今はインターネットのおかげでメッセージ・ツールやemailをつかえば簡単に言葉を送ることができます。身近な人や仕事をする仲間に、こんなメッセージをより手軽に、いつでも思いついたとき送付してみたらどうでしょうか。欧米の人たちと仕事をすると、”thank you” (ありがとう)や”agree (そうだね)”といった肯定的な言葉が多く飛び交います。せっかく手軽にメッセージを送ることができるのですから、彼らに倣ってできるだけ相手が元気になるような言葉を選んでメッセージを送りたいものです。

 「憎しみのあるところには愛を、いさかいのあるところには赦しを(where there is hatred, let me sow love / where there is injury, pardon)」といったのは聖フランシスコですが、ぜひ身近な人に感謝や愛情を伝えてください。「きれいだね」、「よくできたね」、「素晴らしい」、「頼んでよかった」といったそんな言葉が相手の一日を気持ちの良いものに変えてくれるのですから。


2)Alexa、録音しているの?

 私の家にはAlexaが2台もあります。出張時に子どもたちとの電話代わりに使う他、普段は音楽を流すために使っています。その他、AlexaではAmazonで買い物をすると配送物と配送予定日が通知されます。クリスマス・シーズンには配達内容物を伝えないようにする配慮もあって、なかなか粋なはからいもしてくれます。
 Alexaを使っていると急に「すみません、よく聞き取れませんでした」とAlexaがいうことがあります。とくに会話をしていると反応する可能性があるため、家で会議をする場合はマイクをオフにしておかなければなりません。

 マイクが常にオンになっているというのは少し気持ちが悪いものです。もしマイクが拾った音声をすべて第三者が聞ける状態になっていたとしたら、家というプライベートな空間での会話の内容がすべて筒抜けということです。常にだれかが話を聞いていると考えると自由に話すことができないと考える人も多いでしょう。
 Alexaにこう聞いてみました。

 「Alexa、録音しているの?」

 回答はこうでした。
 「ボタンを押して私に話しかける時だけ録音しています。私はウェイクワードを聞き取った時だけ音声データをアマゾン・クラウドに送っています。詳しくはAlexaプライバシー規約をご参照ください」

 Alexaをはじめとするスマート・スピーカーと呼ばれるデバイスは、音声でコントロールするため、常にマイクがオンとなっています。そして、「Alexa」だとか「okay google」といった「ウェイクワード」というものを聞き取った時に録音機能を開始してやり取りを記録します。Alexaのプライバシーに関するFAQによると、記録した音声情報は次のように活用されるということです。

 『機械学習を通じた音声認識および自然言語認識機能のトレーニングに利用されます。幅広いお客様からの日常生活を通じたリクエストを用いてAlexaをトレーニングすることは、お客様によって異なる会話のパターン、方言、アクセントや単語およびお客様がAlexaをご利用される際の音響環境に対してAlexaが正確に応答するために必要となります』(Alexa、Echoシリーズ端末及びプライバシーに関するFAQ)

 ここからは読み取れませんが、Amazonに関しては音声データをアマゾンの従業員が聞いてタグ付け等をしていると報じられています。すべてのデータではありませんが、Alexaで録音されクラウドに保管されたデータは見知らぬ誰かが聞いているようです。実は、Amazonに限らずAppleやGoogleも同様の作業を行っていることがわかっています。
 残念ながらタグ付けをすることで精度を向上させるというのは、機械学習結果を向上させるためには欠かせないプロセスです。(文字での検索結果についてもGoogleは人の手によるタグ付けをして調整を行っています。)変化と競争が激しい時代、各社はスマート・スピーカーの精度向上を目指してしのぎを削っています。開発スピードを向上するための企業努力が行われるというのは理解できることです。
 データ・プライバシーでは、そういう時代背景を理解しつつ個人が許容できるバランス・ポイント(happy balancing point)を模索しています。


3)信頼(Trust)と懸念(Concern)との間で

 データ・プライバシーとは私たちの得る利益と私たち個人の幸福との間でのバランスをとることです。
 冒頭のテキスト・メッセージのように、テクノロジーは私たちに新たな可能性ももたらし、うまく使うことでよりよい世界を生み出すことさえも可能です。二つ目の話題として取り上げたAlexaにしても、スピーカーと会話ができるというのはなかなか愉快な発想です。私の子どもたちはAlexaと会話を試みてトンチンカンな回答を聞いて大笑いしたりしています。
 忘れてはいけないのは、Alexaにしても、前回取り上げた睡眠アプリにしても、私たちは問題があると知っていても使い続けているのです。

 結局、私たち消費者にできることとはデータを使用する企業や組織、政府を信頼(Trust)することだけです。悪意を持ったことはしないだろうと思うから、企業や組織、政府に自分のデータを渡すのです。ところが、データを使用する側はしばしばその期待を裏切り、「行き過ぎた」ことをしてしまいます。しかも、その「行き過ぎた」行動をそうとは認識していないことがよくあります。アウシュビッツの監囚が家庭では良き父親であり母親であったということはよく知られていますが、当事者になると状況に慣れてしまい、何が「良いこと」で何が「行き過ぎたこと」であるのかが判断がつかなくなるのです。企業の不正会計やコンプライアンス違反のほとんどは「こんなものだ」、「これくらい大丈夫」という感覚でなされ、大した罪の意識もなく行われていることを忘れてはいけません。

 消費者が使用する側の逸脱に対してとれる行動は懸念(Concern)を示すことでしょう。残念ながら身を護るためには使用する側を規制しなければならないのです。方法の一つが、私たちが選んだ代表からなる政治家による立法です。法律によって使用する側を規制することで、私たち個人の幸福を確保するのです。GDPRをはじめとするデータ・プライバシーの法律はこういった文脈で理解しなければ正しく理解できません。
 この文脈を正しく理解したならば、データを使用する側が最も重視すべきものは消費者の信頼(Trust)となることは当然の帰結かと思います。データ・プライバシー対応は、したがって「コンプライアンス」対応という画一的なものとなるべきではありませんし、「セキュリティ」対応という技術面を重視したものであってもいけません。データ・プライバシー対応は、消費者から信頼を得るために何ができるかを問い、実行するための行動となっているのがあるべき姿です。個人的には、GDPR対応以来の日本の企業や弁護士さんたちには、この点を再検討する余地があるように感じています。


第2回 気付かぬうちに失うプライバシー(2020/1/30)



1)私の寝息を録音するのはだれ?

 2019年5月のことです。アメリカのポッドキャストを聞いていると奇妙な相談が寄せられていました。それは、アップル・ウォッチでダウンロードした睡眠アプリについての相談でした。睡眠アプリには「オーディオ記録」というメニューがあり、開くとメールの未読数を通知するメッセージとよく似た表示で「音声ファイルが298件あります」というメッセージが表示されたそうです。音声ファイルの再生ボタンを押すと「プレミアム会員のみ」の機能であることが通知され、「各睡眠セッションでの重要なオーディオ記録を聞いてみましょう。今すぐプレミアム会員に登録」というメッセージが現れたといいます。

 睡眠アプリは、ベッドの中でユーザーの眠っている間の音を録音し、しかもユーザーは、自分の睡眠中の音を聞くために料金を払わなければならないというわけです。


2)気付かぬうちに失うプライバシー

 自分が何をしているかわからないもっとも無防備な睡眠中の音声を録音されるというのは、受け入れがたいプライバシーの侵害です。

 「録音されたファイルは誰がもっているのだろう?」
 「誰か録音を聞いた人がいるのだろうか?録音を聞くことができるのはだれだろう?」
 「何が録音されたのだろう?恥ずかしい内容や聞かれたくないことが録音されていないだろうか?」

 たとえば、こんなことを考えただけでも落ち着かなくなります。

 アプリ業者は、「音声ファイルは安心なところに保管しています。誰も聞くことはありませんし、中身を知られることもありませんから安心してください。」と言うかもしれません。しかし、これではまるで業者に「人質」を取られているようです。録音されている音声は自分のデータなのですから、ユーザーの立場からすると、そもそも勝手に録音をしないでほしい、ということになります。

 百歩譲って、音声データを業者が持つことを認めるとしましょう。
 業者は、ユーザーが要求すればファイルを完全に破壊してくれるでしょうか?
 残念ながら、それも定かではありません。データの削除さえ業者次第なのです。

 この状況では、ユーザーは自分自身の情報について完全にコントロールを失ってしまっています。睡眠中の音声は、間違いなく個人のプライバシーの領域です。ユーザーは、アプリを使うことでいつの間にかプライバシーを失っていました。同様のことは睡眠アプリにかかわらず、あらゆるアプリ、IoTデバイスで発生していると考えられます。
 プライバシーの侵害はもはや有名人の特権ではありません。私たち一般人の生活の中でも生じるものなのです。データ・プライバシーとは、他でもない私たちに関わる問題です。


3)説明はしたし、同意の上でやっている

 それにしても、なぜこのようなことが起きてしまったのでしょうか?知らないうちに眠っている間の音声を録音されることを防ぐ方法はあるのでしょうか?それを理解するには、プライバシー・ノーティス(Privacy Notice)について説明することから始めなければなりません。

 データ・プライバシーには透明性(transparency)の原則というものがあります。これは、組織が個人データを処理する場合、具体的にどのように取得、使用、開示、保管、廃棄するのか説明しなければならないというものです。簡単に言えば、個人データを使うからにはしっかり説明しなさい、ということです。

 個人データの処理方法を説明するために使われるツールを、プライバシー・ノーティスといいます。プライバシー・ノーティスは通常、ウェブサイトの下部(フッター)にリンクが貼られていて、どのページからもアクセス可能となっています。ウェブサイトによってはプライバシー・ポリシー(Privacy Policy)と記載されていることもありますが、プライバシー・ノーティスと同じ意味で使われています。

 さて、先ほどの睡眠アプリに戻りましょう。アプリが睡眠中の音声を録音することは、プライバシー・ノーティスに書かれていなければなりません。アプリのダウンロード・サイトについているリンクから実際のプライバシー・ノーティスをみてみましょう。(アプリの名前と運用会社名をそれぞれXYZ、ABCと置き換えています。)

<引用はじめ>
 モーションセンサー&マイクデータ
 XYZを睡眠のトラッキングに使用する場合、お使いのデバイスのモーションセンサーとマイクにより記録されたデータへのアクセスが求められます。そのデータへのアクセスを許可した場合、XYZはデータを処理し、その結果をXYZを実行しているデバイス上に睡眠分析レポートとして保存します。

 XYZでオーディオ記録機能を有効にすると、XYZの使用中、XYZがデバイスのマイクで記録された音声を処理する場合があり、1つ以上のオーディオ記録がデジタルオーディオファイル形式でデバイスに保存されます。このデータの処理はすべてXYZを実行しているデバイス内でのみ行われます。XYZがモーションセンサーデータおよび生のオーディオデータを、ABCまたはその他のサードパーティが所有する外部サーバーに保存および送信することはありません。”

<引用終わり>

 果たして説明がされていました。このアプリは、「マイクへのアクセス」を許可し、「オーディオ記録機能を有効」とすると「XYZがデバイスのマイクで記録された音声を処理する場合があり」、「オーディオ記録」を「デジタルオーディオファイル形式」で「デバイスに保存」するということです。もっとはっきりと「プレミアム会員であるかないかに関わらず睡眠中の音声を録音し保管する」と書いていればいいのですが、そこは大人の事情で類似の内容で代替しています。
 もう一つ注意したいのは「マイクへのアクセス」です。マイクへのアクセスを許可しなかった場合、「睡眠分析レポート」は生成できないことになります。マイクへのアクセスは、「睡眠分析レポート」生成の前提条件となっているため、アプリを利用したいのであればユーザーに選択肢はありません。ユーザーはアクセスを許可するしかないのです。
 このノーティスのグレーな部分は、「XYZがデバイスのマイクで記録された音声を処理する場合があり」という部分でしょう。「処理」とは具体的に「眠っている間に音声を録音する」ことですが、はっきりとそうは書いていません。また、「場合があり」という言葉をつけていることで、常に「処理」しているわけではないような印象をユーザーに与えます。しかし、データ・プライバシーでの「処理」とは録音する他にも音声を「検知」することも含まれているため、厳密には常に「処理」を続けています。
 用語の曖昧さも気になります。「デジタルオーディオファイル形式」とはmp3などの音声ファイル形式を意図しているのでしょうが、わかりづらい表現になってしまっています。

 このように、世の中のプライバシー・ノーティスは「嘘ではないけれども本当でもない」わかりづらい内容となっていることが数多くあります。睡眠アプリに戻れば、アプリ会社はプライバシー・ノーティスで処理の内容を説明したし、マイクで記録されたデータにアクセスすることについてもユーザーの「同意」を取ったと主張することでしょう。確かにそれらしい説明はして、「同意」らしきものも取っています。(念のためコメントしておくと、今回のようにユーザーに選択肢がない同意は無効となるため注意してください。)しかし、プライバシー・ノーティスは会社を護ることを目的に作成され、アプリを通じて合法的にマネタイズすることを可能とするためのツールとして使用されているのですから、現状ではユーザーもよほど注意して付き合わないと言わざるを得ないでしょう。

 今回の睡眠アプリ会社に関していえば、先に録音して、録音したファイルをユーザーに見せ、料金を請求するという方法をとっている点が狡猾です。こういう悪質なマネタイズ手法をダーク・パターンと呼んでいますが、研究によると、インターネット上には実に1818種類ものダーク・パターンが確認されています。インターネット企業は気付かないうちにデータ利用をユーザーが許可するよう巧妙にウェブサイトやアプリを設計し、課金を実現するための仕組みを作り上げているのです。


4)プライバシーを護るためにできること

 このような時代、私たちはどのように自分のプライバシーを護ることができるのでしょうか?
 残念ながら、私たちにできることはそれほど多くありません。それでもあえて挙げるのであれば、次の三つのことに気を付けるとよいでしょう。

 一つ目は、アプリをダウンロードする前、インターネット上に自分の情報を入力する前に、プライバシー・ノーティスを確認し、自分の情報をどのような目的で処理し、誰に開示しているかを確認することです。納得がいかない場合は、そのアプリやサービスを利用すべきではありません。二つ目は、むやみにアプリをダウンロードせず、自分の端末へのアクセスも許可しないことです。スマートフォンには各アプリがどのような情報にアクセスするか(e.g.位置情報や写真情報)を確認できる方法があるので、定期的に確認して意図しないアクセスがない状態を実現することです。三つ目は、声を上げること。残念ながら、企業や組織は圧力がなければ動きません。日本であっても個人情報保護委員会に苦情を申し立てることができます。苦情申し立ての窓口に連絡することで企業の欺瞞的な行動への取り締まりが強化され、よりプライバシーを重視する環境を整備できます。Noということは、今の時代とても大切なことです。

 私たちは、優れた企業や組織を称賛することで自分たちの生きたい社会を形作ることができます。問題は何をもって「称賛」するかです。今の日本では「ビジネスを成長させた会社」や「成功」した人を称賛する傾向が強いですが、優れた価値観を示し、実行した人を称賛することで形成できる価値観があることも忘れてはなりません。データ・プライバシーとは、最終的には倫理の問題に行きつきます。私たちが今取るべき行動は、単に経済的に成功したからとAIベンチャーやネット企業を成功者としてほめそやすことではなく、新たな技術の上手な活用の仕方と誠実な取り組みを促進している企業や組織を称賛することだと思います。日本のインターネット社会にバランスの取れた倫理観をもたらすのは、官僚でも弁護士でも企業でもなく、私たち市民です。自分たちが住みたい社会はどのようなもので、未来世代に何を残したいのかを考え、ぜひ賢明な行動をとっていただきたいと思います。


第1回 インターネットはいいもの?悪いもの?(2020/1/15)



1)私たちが生きる時代

 1999年10月、世界で初めてインターネットでのストーカー被害による殺人が起きました。この時殺害された女性、エイミー・ボイヤー(Amy Boyer)の家族はウェブサイトを立ち上げ、次のように綴っています。

 「インターネットは瞬く間に普及し、日常生活の大きな部分を占めるようになりました。今、私たちは立ち止まって、一歩下がり、自分たちが何を創り出したのか、この技術が私たちをどこへ連れて行こうとしているのか考える時が来ているのではないでしょうか」

 この事件から20年がたち、インターネットはビジネス界だけではなく日常生活にも深く浸透しました。インターネットは私たちの生活に欠かせないものとなっています。AIの活用、「つながる車」(connected car)の実用化、IoT製品の普及は、この傾向をさらに加速することでしょう。しかし、「この技術が私たちをどこへ連れて行こうとしているのか」私たちは本当に考えてきたのでしょうか?SNSを通じた犯罪の発生や企業が人々のデータを人権侵害といえる方法で利用している事例が報告されるのを見ていると、残念ながらまだまだ検討すべきことは数多くありそうです。

 私たちは個人的な空間を必要とする存在です。それは一人だけの場所かもしれませんし、心を許した相手との時間かもしれません。自分だけの「スペース」があることで気持ちに余裕が生まれるのです。私が専門にしているデータ・プライバシーは、わずか25年ほどで実現したインターネットでつながる世界に、人が人らしく生きる上で必要なバランスを取り戻すことを目指しています。

 現代はだれもがネット上でのストーカー被害(cyber-stalking)やいじめ(cyber-bulling)といった犯罪にさらされる可能性のある時代です。犯罪でなくても、インターネット技術の発達によって、利用しているサービスや家電製品を通じて公表するつもりのないことを気付かないうちに誰かに知られてしまっています。そんな時代には、自分だけの「スペース」を持つことは特別な努力なしには不可能です。

 このコラムでは、私たちの問題としてのデータ・プライバシーを日常の視点から紹介し、必要な対策や私たちにできることについて紹介します。コラムを通じて、私たちが直面している課題を知り、どのような社会に生きていたいのかを共に考えていただければ幸いです。


2)インターネットはいいもの?悪いもの?

 20年以上連絡を取っていなかった相手に中国で再会できたという友人がいます。友人は知人が中国に移住したらしいと噂で聞いていました。そこで中国で仕事が入った際、試しに相手の名前を検索してみたのです。果たして同じ名前の人物が見つかり、友人はその会社の代表連絡先にメールを送りました。会社の担当者から知人に連絡が行き、二人は孫文が通ったという北京のレストランで20年ぶりの再会を、紹興酒を手に果たしたのです。

 これは、私が大学生の頃の話です。あの頃はトム・ハンクスとメグ・ライアンが主演をつとめた『ユー・ガット・メール』(You’ve Got Mail, 1998)がヒットした時代でした。だれもがインターネットについて楽観的で、その可能性に胸を膨らませたものです。インターネットは出会いを、時にはロマンスさえももたらします。閉鎖的になりがちな私たちの生活に風穴を開けてくれる存在です。

 現在、私はTwitter、Facebook、LinkedInといったSNSを利用していますが、ここでは世界中の友人とつながることができます。日本では見られないようなダイナミックな活動をしている人とつながることもできます。思わず笑ってしまうようなジョーク、元気をくれる言葉、かわいらしい動物の写真、美しい風景の写真といった心のサプリメントを得ることもできますし、つながっている仲間との情報共有も可能です。遠く離れた、会ったこともない相手と新規プロジェクトを立ち上げることさえあります。

 インターネットが素晴らしい場所だということは、疑いの余地のないことでしょう。しかし、インターネットには負の側面が存在することもよく知られています。たとえば、ネット上に出た情報を削除することはほぼ不可能です。これが大きな問題になることもあります。アメリカの政治家が顔を黒塗りメイクで大きな非難を浴びることがありますが、人として未熟な時代に思慮を欠いた行動を行ってしまうことは、程度の多少はあれ、だれもがあるものです。今は就職活動で採用担当者がSNSで候補者を検索する時代なので、過去に行ったネット投稿が思いもよらない形で採用担当者の目に留まり仕事の機会を失うことも起こり得ます。インターネットが、チャンスを奪いかねない凶器となる瞬間の一つでしょう。今回のコラムの冒頭で紹介したサイバーストーキングは命を奪われるという、あってはならない事件となってしまいました。学校ではネット上の陰湿ないじめで不登校になる子どもや自ら命を絶つ子どももいます。ビジネスの世界では、詐欺メールで億単位の資金を失う事件ハッキングによる風評被害を招く事件が報道されています。
 事件性はなくても負の効果をもたらすこともあります。携帯電話やラップトップがあればどこでも仕事ができる時代となったおかげで、帰宅後もe-mailをチェックしまうことはないでしょうか?そのような状態になると週7日24時間仕事をしている状態となり、心が休まりません。インターネットでつながっていることが、心理的ストレスをもたらすこともあるのです。

 インターネットは文明の利器なのでしょうか?それとも人類にもたらされた凶器なのでしょうか?

 答えは人によって異なるでしょう。
 私は、インターネットは自動車のようなものだと思っています。自動車は私たちに移動や物流の面で大きな恩恵を与えてきた反面、交通事故のリスクももたらしました。しかし、私たちは自動車を使い続けています。大切なのは、リスクをコントロールすることだからです。
 実際、社会は長い時間をかけ、様々な痛みを伴いながらリスクのコントロールに成功してきました。日本の2018年の交通事故による死者数は3,532人でピーク時の1万6,765人(1970年)から比べると約5分の1となっています。一方で、日本の自動車の保有台数は1970年の1,758万台だったのが2018年ではその約4倍、7,829万台です。自動車の数が4倍に増え、死亡事故が5分の1に減少しているのですから、車社会の成熟と自動車そのものの安全性能が格段に向上したことが推測できます。
 注意したいのは、リスクがゼロに近づいたというわけではないことです。交通事故は依然として多く発生しています。統計によると2018年の日本の交通事故数は43万0,601件で、1分に1件の交通事故が発生している計算となります。重大なリスクを抑え込むという面では成果を出しているものの日常的なリスクに関してはまだまだといわざるを得ません。

 インターネットの世界でも同様の道をたどることでしょう。私たちはもう、文字を打ち込むだけで情報を検索でき、コミュニケーションを行えるこの素晴らしい技術を手放すことはできません。取り組むべきは、リスクをコントロールすることです。自動車がたどったように、まずは重大な事故が発生する確率を低下させ、安全性を格段に向上することです。リスクをゼロにすることはできませんが、許容できるレベルまで低減することならば可能なはずです。そのためには、私たちはインターネットに潜むリスクを理解し、有効な対策を行う必要があります。

 インターネットはまだ生まれたばかりの技術であり、社会はその発達のスピードに追い付けていないというのが現状です。仕組み、制度、法律とあらゆる面で社会的基盤の整備が遅れています。
 YouTubeにビル・ゲイツにデービット・レターマンがインタビューをしている番組の録画が残っています。ここではインタビュアーのデービット・レターマンが「インターネットで野球の試合が見られるって?」と質問をしています。この番組が録画されたのは、わずか25年前の1995年のことでした。100年前、自動車ができた時に、「馬がいないのに荷台が勝手に動くというのかい?」と質問した人がいたかどうかはわかりませんが、自動車が社会に浸透するスピードと比べるとインターネットの普及に要した時間はわずか4分の1程度でしかありません。車社会が安定しているのは、100年という時間をかけて社会が技術に適応したからでしょう。
 私たちは、インターネットのある世界に社会をあわせる途上にあります。GDPRやCCPAといった斬新なデータ保護法も、その一環と理解できます。今年改正される予定の個人情報保護法も同様です。私たちは、新たなスタンダードの下で運営される社会を創造しつつある過程にあるのです。私たちがどのような社会に生きていたいのか、どのような社会を子どもたち、そして将来の世代に残したいのかを考え、形にしていくことが、私たちの世代の責任であり、仕事だと私は考えています。これは読者の皆さんを含め、今という時代を生きるすべての人の大切な仕事なのです。



【寺川 氏のご紹介】

寺川 貴也(てらかわ たかや )氏

世界のデータ・プライバシー対応を専門とするコンサルタント。プライバシー・マネジメント・プログラムの導入や、世界のデータ保護法動向、プライバシーとテクノロジーとの接点に関して強みを持つ。世界最大のプライバシー専門家協会であるIAPPが発行する欧州法の専門家認証CIPP/Eおよびプライバシー・マネジメント・プログラムの専門家認証であるCIPMを保有する他、JETROの専門家として中小企業を中心に50社以上にデータ保護法に関するアドバイスを提供してきた。また、子どものオンライン上での安全を護るために必要な知識とノウハウを普及するNGOであるCyberSafety.orgの国際アドバイザーも務めている。
会員制データ・プライバシー情報サイト:https://m.technica-zen.com/
2020年には情報機構からデータ・プライバシー対応の基本を解説した『データ・プライバシーの教科書』を出版予定。

注目の新刊

雑誌 月刊化学物質管理

粉砕メカノケミカル

滅菌バリデーション

分散剤

IPランドスケープ動画

データ分析の進め方

生物学的安全性試験

化粧品処方

分野別のメニュー

化学・電気系他分野別一覧

  植物工場他

  機械学習他

ヘルスケア系分野別一覧

  海外関連

  医療機器

各業界共通
マーケティング・人材教育等

「化学物質情報局」

特許・パテント一覧 INDEX
(日本弁理士会 継続研修)

印刷用申込フォーム    

セミナー用

書籍用

会社概要 プライバシーポリシー 通信販売法の定めによる表示 商標について リクルート
Copyright ©2011 情報機構 All Rights Reserved.