ページの本文へ

Hitachi

株式会社 日立コンサルティング

企業におけるプライバシー保護の勘所

美馬 正司
株式会社 日立コンサルティング ディレクター

2019年7月23日

はじめに

当社では、プライバシー保護に関する取り組みを以前から行っていますが、IoT、AIなどの技術的な動きや、情報銀行のような新たなビジネス、あるいはプラットフォーマー規制などの政策、さまざまな場面でもプライバシー保護が注目されてきています。そこで、このタイミングで、改めてプライバシー保護というものがどのように捉えられており、ポイントとなる考え方がどのようなところにあるのか、について発信いたします。

1.競争力としてのプライバシー保護

皆さんもご存じかもしれませんが、昨今、デジタルプラットフォーマーと呼ばれる企業が立て続けにプライバシー保護の強化を外部に発信しています。
発端のひとつに、2018年に起きたFacebookによるケンブリッジ・アナリティカへの情報漏えい問題があり、個人におけるプライバシーへの関心が高まっていることは事実と考えられます。かなり以前から先行してプライバシー保護を打ち出していたのがAppleです。昨今、その取り組みを強化しているようにうかがえます。CEOであるティム・クック氏は、2015年以前からAppleがプライバシーを重視していることをアナウンスしており、このため当局からの暗号化解除に応じなかったり、ブラウザであるSafariに差分プライバシーという個人の特定を防ぐ技術を導入したりするなど、独自の取り組みを進めてきました。Facebookの情報流出事件以降、その取り組みは強化されており、2018年10月に開催されたプライバシー・コミッショナー会議(ICDPPC※1)では、GDPR※2をならい、米国でも連邦法を整備するべきという基調講演を行っています。その後、2019年3月のイベントでもプライバシー強化を訴えており、同年4月2日から「プライバシー。これがiPhone。」というテレビ・コマーシャルも放送されるようになりました。
一方、Googleもこのようなプライバシー保護の機運を受け、2019年5月に開催されたGoogle I/Oという技術イベントでは、プライバシー保護の強化を発表しています。具体的には、Googleの各種サービスの利用履歴を定期的に自動で消去する機能を実装、シークレットモードという利用履歴を残さない使い方の適用範囲も拡大しています。これ以外にもAIなどのプライバシーの取り組みが行われており、フェデレーションラーニングと呼ばれる技術もその一環と考えられます。これは機械学習を端末からデータを取り出さずに行うモデルであり、ある意味、個人に配慮しつつAIを使う手段のひとつといえます。
Apple、Googleだけでなく、もちろん大きな事件を起こしたFacebookでもプライバシー保護の強化をうたっており、GAFA※3の中で唯一大きな動きをみせていないのがAmazonになります。ここではFacebook、Amazonの動きは割愛しますが、重要なのは、このようなデジタルプラットフォーマーにおいてプライバシーへの投資が不可欠になっており、競争するうえで重要な要素となっているということです。

2.プライバシー保護の理解

デジタルプラットフォーマーにおいて重要度が高まってきているプライバシー保護ですが、ビジネス全般を見渡した場合、その中での認識はまだ十分に浸透していないのではないでしょうか。
プライバシー保護を進めるうえで、最初に理解しなければいけないのは「個人情報保護とは異なる」ということです。
ご存じのように、わが国には個人情報保護法という法律があり、個人情報を扱う事業者はこの法律の順守が求められます。もっとも、個人情報保護法を守っていても、プライバシーを侵害するということは起こりえます。以前、ある地域で複数のカメラと顔認証技術を活用して、人の動きなどを調査する実証実験を企画していました。しかしながら、カメラで撮影する場所が公共の場であり、住民においてはその場所を通らざるを得ない、ということからプライバシーを侵害しているということで苦情が殺到した事例があります。個人情報の取得という面では通知などを適切に行えば問題ないかもしれませんが、公共の場におけるカメラによる撮影、拒否する選択肢への配慮の欠如など、さまざまな要因が重なり問題化したと推察されます。結果、この実証実験は中止に追い込まれています。
プライバシーで扱うのは「人の気持ち」であり、適法にビジネスを推進したとしても、個人が気持ち悪いと感じてしまえば、それで企業への非難が集中する可能性もあり、最終的にはビジネスが止まる危険性すら存在します。また、個人情報保護法には違反しなくても、民法に基づいて訴えられることもありえ、この場合、民法709条「故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これによって生じた損害を賠償する責任を負う」に基づき、不法行為による損害賠償が請求される可能性などがあります。
「人の気持ち」は一様ではなく、時代とともに変化します。また、一昔前と比較すると監視カメラの量は格段に増えていますし、ドライブレコーダーなども自動車に当たり前のように付いており、人の動きや表情も含めて撮影されています。しかしながら、これが問題にならないのは、犯罪や事故とう有事の際に役に立っているからに他なりません。個人や社会へのメリットが明らかであれば、プライバシーの侵害とはならない、という例示であり、こういうことも含めてプライバシーという「人の気持ち」と向き合うことが求められています。

3.プライバシー保護の勘所

それでは、プライバシー保護を行うためにはどのような対策が必要なのでしょうか。ここでは対策を体系的に説明するのではなく、ポイントとなる考え方をお伝えします。

(1)バイ・デザイン

Privacy by Designという言葉を聞かれたことがあるかもしれません。ビジネスや技術の設計段階からプライバシーに配慮することは不可欠です。事後にプライバシー対策を行うことは非常に難しく、企業としてもそれが、コスト増につながる可能性が高いです。例えば、消費者の行動データを集めて、その特性に応じた広告を配信するというサービスを行う場合、行動データの分析と広告配信の効果評価などに目が行きがちです。しかしながら、Privacy by Designの考え方に立つと、消費者からプライバシーに配慮した形で行動データを集められるのか、ということが最も重要になります。つまり、プライバシーに配慮した場合、集められないような行動データを前提にビジネスを企画しても、実際に集めることができない、あるいは無理に集めようとすると、大量の反論が寄せられる、ということが起こりえます。このようなリスクは最終的なコストにもつながってきます。先の例でも挙げたように、個人に逃げ場のないようなスペースでのカメラを使った行動データ取得は、通知などを適切に行ったとしても個人の拒否権を否定するものとしてリスクが高くなります。この場合、事前にこの問題に気づいていなければ、う回路を後から作ったり、個人の不快感を軽減したりするための説明や補償が必要になるかもしれません。
したがって、デザイン(設計)の段階からプライバシーへの対策を講じることが必要不可欠であり、重要なポイントになります。

(2)技術との調和

プライバシーへの配慮が重要になってきているのはITの発展によるところも大きいです。先ほど例に出したカメラだけでなく、センサーなど、いたるところからデータが収集されるようになってきており、個人がそれに気づくことができない、というところに不安感があります。また、AIについても、自分が提供したと認識している以上の情報がプロファイリングされますので、このような部分について不安があるのも事実です。ニューヨークタイムズ社の記事※4によると、ミネアポリス郊外にあるスーパーマーケットにおいて、その購買傾向からある女性(高校生[筆者注])に対して妊娠に関連した商品をレコメンデーションした際、その父親からクレームがあったといいます。マネジャーは謝罪し、数日後にあらためて謝罪するために電話をしました。実際は、レコメンデーションが当たっており、娘は出産予定だと、父親がスーパーマーケットに逆に謝罪した、という落ちがついています。このように情報の取得にあたっては、さまざまなプロファイルが推定できるため、個人が知られたくないような情報が入ってくる危険性もあります。というのも、2019年3月に日立製作所、博報堂が協働で実施した「第四回 ビッグデータで取り扱う生活者情報に関する意識調査」では、AIによるプロファイリングに対するプライバシー上の不安として、「他の情報との照合によって氏名や住所が特定されてしまう」「知られたくない関心や属性が推定されてしまう」「望ましくないプロファイリング結果に抗弁できる機会がない」「プロファイリングの正確性に保証がない」などが挙げられていました。
したがって、技術、特に人の意識が十分に追いついていないような先端的な技術を活用してビジネスなどを行う場合、プライバシーへの十分な配慮が必要になります。

(3)文化としてのプライバシー

プライバシーの対策を行う上で重要なことは、収集するパーソナルデータの主体、つまり個人の立場になって考えられるかどうか、ということになります。これは一見、容易に感じられますが、実は難しいです。パーソナルデータを活用したビジネスを検討する場合、どうしても個人の視点はおざなりになりがちで、データをいかに活用してマネタイズするか、ということに目が行ってしまいます。
個人の視点に立つ際に参考になるのがデザイン思考の考え方になります。昨今、ITもサービス化が進み、サービスデザインによる利用者目線での検討が必須になってきており、KA法、ペルソナ分析、ジャーニーマップ、ストーリーボードなど、さまざまな手法が考案されています。このような手法を参考に、個人の目線でプライバシーのリスク、つまり「気持ち悪い」と感じる部分がないか、ということを考えることが有効です。
そして、最初に説明したように組織としては、バイ・デザインで個人の立場にたって考えることが当たり前のように実践される文化こそが重要であり、そのような意識が従業員に定着することをめざすところになると考えられます。

おわりに

当社でプライバシー保護のコンサルティングを提供し始めてから5年以上が経過し、社内外も含めて数多くのリスクアセスメントに対応してきました。ビジネススキームの複雑さが増し、IoT、ブロックチェーン、AIなどの新しい技術への対応など、プライバシーに関わる環境変化は継続的に進み、加速してきています。また、今後はプライバシーの枠にとらわれない、倫理的な部分も含めたより広い視野での対応も求められると予想されます。当社は、プライバシーやその周辺のビジネス環境の変化を継続的に調査、研究し、お客さまのビジネス環境を先進的なコンサルティングで、サポートします。

※1
ICDPPC(International Conference of Data Protection and Privacy Commissioners) :プライバシー・コミッショナー会議
※2
GDPR( General Data Protection Regulation):一般データ保護規則
※3
GAFA:Google、Amazon.com、Facebook、Apple Inc. の4つのIT企業の頭文字を取って総称する呼称
※4
“How Companies Learn Your Secrets” (CHARLES DUHIGG著、2012年2月16日)

本コラム執筆コンサルタント本コラムへの感想などはこちらから

美馬 正司
株式会社 日立コンサルティング ディレクター

当社では、プライバシー保護に関する取り組みを以前から行っていますが、IoT、AIなどの技術的な動きや、情報銀行のような新たなビジネス、あるいはプラットフォーマー規制などの政策、さまざまな場面でもプライバシー保護が注目されてきています。そこで、このタイミングで、改めてプライバシー保護というものがどのように捉えられており、ポイントとなる考え方がどのようなところにあるのか、について発信いたします。