【コラム】データプライバシーを全世界的に標準化すれば、それは真の意味で人類の進歩となるはずだ

中国は2021年8月、初めて抜本的なデータプライバシー法を可決した。今後、中国の個人情報保護法(PIPL)の対象となる中国の住民(中国の人口は世界で最も多い)と関わるであろうグローバル企業や意欲的なスタートアップ企業は、オンラインで売買やサービスの提供を行う際に影響を受ける可能性がある。

この法律自体は2016年に導入されたEUの一般データ保護規則(GDPR)と類似し、目新しいものではない。衝撃的なのは、GDPRが導入された際は企業に2年の準備期間があったのに対し、PIPLは2021年11月1日に施行されるということである。

PIPLを受けて、関連する企業はコンプライアンスの遵守を確立するために奔走することになる。また、データプライバシーの重要性と緊急性が世界規模で高まっていることも明らかになった。中国は、GDPR類似のプライバシー法を制定した17番目の国となるが、さて、いまだにプライバシー法を制定していない世界の超大国はどこだろうか?

米国は、消費者に焦点を当てた国家レベルのデータプライバシー法をいまだに採用していない。国民はオンライン上の個人データの管理強化を望んでいるにもかかわらず、である(複数調査による)。データプライバシー法の不整備は、特にテクノロジー業界に大きな影響を及ぼす。

さまざまな事象が急速に進む現在、データプライバシーの発展は明らかに重要な分岐点に達している。私たちのとる行動によっては世界中の何十億、何千億もの消費者に影響を与える可能性があり、また、小さなスタートアップ企業から巨大なグローバル企業まで、さまざまな企業の発展にも影響が生じる。今こそ慎重な検討が必要だ。

この記事では、最初に米国におけるデータプライバシー法の進展、およびこれが世界にとって何を意味するかを検討し、次にデータの最小化(「必要」かつ「適切で、関連性があり、限定された」個人データのみを処理する原則)の取り組みでこれらの問題に対応できるかを確認して、データプライバシーという難問に挑んでみる。最後に、データプライバシーという問題の解決に欠かせないこれらの要素を比較した上で、人々が自分のデータを確実に管理できる、世界規模のデータプライバシー基準を提唱することで締めくくりたいと思う。

米国におけるデータプライバシー

米国のデータプライバシーを取り巻く状況は複雑だ。連邦レベルでは、(動きがあるものの)包括的なデータプライバシーポリシーは存在しない。その代わりに医療保険の相互運用性と説明責任に関する法律(HIPAA)、消費者金融商品を対象としたグラムリーチブライリー法(GLBA)など、業界ごとのプライバシー規制がある。

13歳未満の子どもを保護するための児童オンラインプライバシー保護法(COPPA)も存在する。また、連邦取引委員会(FTC)も、FTC独自のプライバシーポリシー(連邦取引委員会法)に違反しているアプリやウェブサイトを積極的に取り締まっている。

しかしながら、米国政府は、消費者のデジタルプライバシー権を保護するための包括的な法案を可決しておらず、各州が独自に対応している(例:カリフォルニア州のCCPA、バージニア州のVCDPA、コロラド州のColoPA)のが現状だ。このため多くの米国人のプライバシー権が侵害され、企業は何をすべきかを決めることができずに混乱している。

これが本来あるべき姿だと主張し、停滞した議会では意味のある消費者プライバシー法案を可決することはできないと警告する人々もいる。彼らは、仮に国家レベルのプライバシー法が可決されたとしても、内容は骨抜きにされ、慎重に構想された各州の法律にも悪影響を及ぼすだろうと考えているらしい。

それと同時に、50の州で異なるデータプライバシー法が存在することになる可能性も否定できない。どれも類似しているものの、それぞればらばらで、異なっている……正しく法を遵守しようとする企業にとっては悪夢のようなシナリオだ。この状況を世界規模に拡大してみよう。

データの最小化は唯一の解決策ではない

データプライバシーの問題に対処するための1つの方法として、データ最小化の原則が挙げられる。これは、企業が具体的な目的のためだけに個人情報を収集・保持することを認めるものである。

データ最小化の原則では、基本的には企業が収集するデータの量を減らすことが求められる。これには、マーケティングチームが収集するデータ量を減らしたり、データ保持のスケジュールを設定して使わなくなったデータを消去したりすることが考えられる。

これにメリットを感じる人もいるだろうが、現実的ではない。消費者に強く配慮する企業であっても、マーケティング担当者に対して潜在顧客の個人情報の収集を減らすように提案することはないだろうし、データを収集する正当な理由を探し出すことは間違いないだろう。

そして、たとえ目的が純粋なものであったとしても、個人情報や嗜好を調査して製品を開発し、ビジネスを成長させているスタートアップ企業にとって、この原則は有害なものになりかねない。この点で、データの最小化は、思わぬところでイノベーションを阻害する可能性がある。

さらに率直に言えば、消費者が自分自身のデータの取得・利用方法について選択できるようにすれば、データを最小化する必要はないと思われる。パーソナライズされたオーダーメイドの体験を好む消費者は、個人情報を共有しても問題ないと考えているケースもある。たとえば「Stitch Fix(スティッチフィックス)」「Sephora(セフォラ)」のようなブランドは、よりショッピングを楽しんでもらうために事前にたくさんの個人的な好みを質問しているが、多くのユーザーがそれを問題視していない。

世界規模のデータプライバシー基準の必要性

筆者は、このような複雑で微妙な問題が表面化し、企業や消費者を悩ませてしまうのは、皆が同じ見解を持つためのグローバルスタンダードが存在しないからだと考える。グローバルスタンダードが存在しない限り、他のいかなる法律や規則、基準も一時しのぎに過ぎない。

今こそ、世界中の消費者を保護し、企業が遵守すべき要件がどの地域でも同一になるよう、各国が合意できる基本原則を策定するときだ。

国際的なデータプライバシー法が乱立し、この地域の要件は厳しく、あの地域の要件は少しだけ異なる、といった状況になれば、企業がコンプライアンスを完全に遵守するのは不可能に近い。そうなるのも時間の問題だ。私たちは事態を収拾しなければならない。

データプライバシー基準は、国境を越えた公平性の基本を確立し、あらゆる段階の企業に適用される。そして、企業の国際的なビジネス展開は飛躍的に容易になる。

筆者は、今影響を受けている企業や地域が、国際的なデータプライバシー基準に向けた変化を促進してくれることを期待している。グローバル化を目指す企業にとって、地域で異なる基準は大きなマイナスであり、膨大なコストにつながっている。そういった企業が協力すれば、共通の解決策を見出すことができるだろう。推進力はそこにある。中国の動向を見れば、他の国が追随する日もそう遠くはないはずだ。

米国内でのデータプライバシー法の制定を待たずに、米国を拠点とする業界団体でさえグローバルスタンダードへの第一歩を踏み出そうとしている。例えばConsumer Reports(コンシューマーレポーツ)は解決策を検討するためのワーキンググループを立ち上げた。これにより、企業と消費者の双方を保護するためのデータプライバシーに関する世界的な関心が急速に高まる可能性がある。

データプライバシー基準の核心

データプライバシー基準はもはや必要不可欠であるといえるが、その策定にあたって忘れてはならないのは「消費者自身が、企業による自分の情報の扱いをコントロールできる」ようにしなければならないということである。

とりわけサービスやアプリケーションが取引を促進するために利用される場合は、消費者自身が、誰が自分の情報にアクセスできるのか、それはなぜなのかを知る権利を持つ。また、要求に応じて個人情報を削除させる権利や、企業が許可なく自分の情報を販売することを防ぐ権利も必要だろう。これらは基本的かつ普遍的な権利であり、政府機関や支援団体はこれを理解しなければならない。

マーケター、マーケティング担当者は不満かもしれないが、すべての消費者が自分の情報を共有することに反対していると考える必要はないだろう。実際には、前述の例のように、企業が個人情報を収集・保持することで、パーソナライズされた体験やショッピングができることを評価する人も少なくない。

消費者の選択権は、最終的にエコシステム全体の健全性を高め、企業が信頼と透明性を築くための新たな手段となる。企業も(地域ごとに)何種類もの消費者の権利を開発・管理するためにいつまでもあたふたする状況から解放される。

筆者は、スタートアップ企業がプライバシーファーストで設立されるようになると予想している。これは企業の差別化にもつながるだろう。しかし、変化の最大の要素は、消費者が世界のどこにいようと、個人情報を含むシステムが世界のどこにあろうと、自分のデータを確実にコントロールできるようにすることだ。データプライバシー基準は消費者の権利を保護し、混乱を解消して企業が効率的にビジネスを行えるようにする。他のアプローチでは同じことを合理的に行うことはできないし、大規模に展開することもできない。

データプライバシーを全世界で標準化し、私たち全員が同じステージに立つことができれば、それは真の意味で人類の進歩となるはずだ。

画像クレジット:Kardd / Getty Images

原文へ

(文:Daniel Barber、翻訳:Dragonfly)

中国で企業の個人情報の扱い定める「個人情報保護法」が可決、EUのGDPR相当・個人情報の国外持ち出しを規制

中国で企業の個人情報の扱い定める「個人情報保護法」が可決、EUのGDPR相当・個人情報の国外持ち出しを規制

AerialPerspective Works via Getty Images

中国が、ユーザーデータ保護法(PIPL)案を可決したと新華社が伝えています。PIPLは、企業がユーザーデータをどのように収集、処理、保護するかについての包括的なルールを定めるもので、欧州のGDPR(一般データ保護規則)に相当する法律です。

この法律では、データの最小化(データ収集を特定の目的に必要な情報のみに限定すること)が規定されています。また、個人情報の使用方法をユーザーがコントロールできるようにすることも義務付けられており、例えばユーザーにはターゲティング広告を拒否する選択肢などが得られるとのこと。Reutersによると、PIPLでは「企業は明確かつ合理的な目的のもとで個人情報を取り扱わなければならず、取得する情報は目的のために必要最小限な範囲に限定される」とのこと。

また、この法律には第三国へのデータ転送に関しても規定があり、GDPRに定められるデータ保護責任者 (DPO) 的ポストを設置して、プライバシー保護の堅牢性について定期的な監査が行われるとされます。

中国ではPIPLの他にもデータセキュリティ関連の法律(DSL)が可決され9月1日から施行されることになっており、これらは企業が持つ経済的価値と「国家安全保障との関連性」に応じてデータを管理するための明確な枠組みを定めようという動きで、この点においてPIPLは欧州市民の情報を扱うあらゆる企業に適用されるGDPRとは異なっているようです。

中国がこうした法律を用意するのは、巨大化してきた国内テクノロジー企業への規制を強めるためと考えられます。中国最大のEC企業アリババは今年4月に、その支配的立場を乱用した廉で、182億2,800万元(2916億4800万円:当時)の行政処罰を科せられました。またネット配車サービスのDiDiも7月、ニューヨーク証券取引所への新規株式公開(IPO)をおこなった直後に、中国サイバースペース管理局(CAC)がユーザーのプライバシーを侵害した疑いがあるとして調査に入ったことが伝えられ、その出足を大きくくじかれています。また8月7日にはWeChatの”Youth Mode”が児童保護法に違反しているとして、テンセントが提訴されています。

PIPLは2021年11月1日に発効するため、企業がこの法律に対応するための猶予は2か月ほどしか余裕がありません。

(Source:Xinhua。Via CNBCEngadget日本版より転載)