【2023年度版】データプライバシーの意味や関連する法律・トレンドについて解説 -

※本記事は、2023年3月現在の内容です。

―――

昨今、多くの企業において、個人のデータを活用する動きが活発化しています。ビジネスの成功においては、お客様のニーズを深く理解することが重要であり、オンライン・オフラインにおける個人の様々なデータを収集・分析し、各ビジネス施策に反映することがいまや不可欠となっています。
他方、データの提供元である消費者の立場からは、自身のデータがどのように扱われているか、意図せず不当に悪用されないかなどの懸念があります。
高精度センサーなど高度に発達した情報取得技術、機械学習技術の発展に伴う個人プロファイリングの高度化、定常的に行われるグローバルでのデータのやりとりなど、技術の発展に伴い不適切にデータを取り扱うリスクも高まっている今、信頼できる企業にのみ個人のデータが集まり、それがそのままビジネス上の優位性につながることも予見されます。

そのため、企業はデータプライバシーについて十分に理解・配慮し、消費者の信頼を獲得していくことが必要です。

しかし、データプライバシーに関する法令・ガイドラインは毎年のように更改・新設され、新たな技術やデータ活用ビジネスの進展により従来の規則では解釈が難しい事例も発生しています。また、データプライバシーに対する考え方も刻々と変化しており、企業としてのプライバシーに関する哲学が問われる局面も増加しています。

そこで、本稿では、データプライバシーの意味や重要性、知っておくべきトレンドについて解説します。

データプライバシーとは

ここでは、データプライバシーの基礎知識について、以下の3つを解説します。

• • データプライバシーの意味
  • データプライバシーの重要性
  • データセキュリティとの違い

それでは、1つずつ解説していきます。

データプライバシーの意味

データプライバシー、すなわち「プライバシー」とは何かについては、非常に複雑な問題であり、今なお一義的な定義にまでは至っていません。プライバシーは時代や文化等によって異なる多義的・文脈的概念であり、かつ個々人によってセンシティブな情報の捉え方も異なり、固定化して考えられないためです。

ただし、あえて伝統的な概念に立ち戻って整理するとすれば、データプライバシーとは、「自己に関するデータをいつ・どのように・どの範囲で伝えるか、他人の干渉を受けずに自ら決定する権利」ということができるかと思います。

氏名、住所、銀行の口座額など、自らに関するデータが関知しない形で収集・利用されたり、第三者に提供されることを防ぎたいと考える消費者は多いと思います。そのために必要なのが、データプライバシーなのです。

データプライバシーの重要性

近年、消費者へのデータプライバシーへの関心は非常に高まってきています。一般財団法人日本情報経済社会推進協会「プライバシーガバナンスに関するアンケート 結果（速報版）」（2021年）では、消費者の73.6％が、企業のプライバシー保護の取組に関して高い関心を示しており、消費者の88.5％は、類似の商品やサービスを選択する際に、商品等を提供する企業のプライバシー保護の取組を考慮することが明らかとなっています。

• ※出典：一般財団法人日本情報経済社会推進協会「プライバシーガバナンスに関するアンケート 結果（速報版）」（2021年） https://www.jipdec.or.jp/topics/news/20211018.html

消費者が自身のデータ取り扱いに向ける視線は非常に厳しく、たとえあるサービスに関して法令違反の要素がなくとも、消費者にとって意図しない・納得しないようなデータ取り扱いがなされた場合、サービス停止・炎上に至る事例も珍しくありません。
データプライバシーに配慮し、どのように消費者に安心され、信頼され、受け入れられるかについて考えることが過去になく重要となっているのです。

また、消費者意識の高まりと技術発展によるプライバシーリスクの多様化に合わせ、法的・技術的な規制も強化されています。各国政府は個人情報保護に関連する法律や規則の改正を進め、違反時には非常に巨額の罰金を課すものも少なくなく、諸外国における巨額の罰金事例は日々生じています。世界的なテック企業もWebブラウザのCookie規制強化などを進めており、業界としてユーザ保護に向かって整備を進めている流れが世界的に見られます。

これらの状況を踏まえると、企業がデータプライバシーについて向き合うことは、自社の企業価値の向上とサービス優位性・競争力の向上という攻めの側面、法的制裁や社会的信頼喪失を回避するという守りの側面の両方で意味があることがわかります。
従来、データプライバシーの問題は守りの側面のみ強調して論じられてきましたが、今後は重要な経営戦略上の課題として捉えていく必要があり、そのために十分なリソースを投入していくことを意識していかなければなりません。

関連記事：3rdパーティCookieやIDFAに規制の波 - マーケターなら知っておくべき「プライベートデータ保護」の動向

データセキュリティとの違い

データプライバシーとデータセキュリティはしばしば混同されて用いられますが、データ プライバシーがデータの収集、提供、使用方法等を個人自らが決定することに重きを置く一方、データセキュリティは、外部の攻撃者や悪意ある内部の人間による情報漏洩等のセキュリティ侵害からデータを守ることを概して指すものです。
個人のデータを外部・内部からの脅威から守るためにも技術的・組織的な対策が必要であり、適切に個人のデータを取り扱う上で、データセキュリティはデータプライバシーと同様に欠かせないものと考えられます。

データプライバシーに関する法律・規制

ここでは、データプライバシーに関する法律・規制について、以下の3つを解説します。

• • 個人情報保護法
  • GDPR
  • CCPA、CPRA

それでは、1つずつ解説していきます。

関連記事：データプライバシー用語集（前編） - 法令編 -

個人情報保護法（日本）

日本におけるデータプライバシーに関する法律としては、個人情報の保護に関する法律（以下、個人情報保護法）があり、個人情報等の取り扱いにあたっては、第一に個人情報保護法への遵守を考える必要があります。
特に2022年4月1日に改正法が施行されたことは記憶に新しいかと思います。改正内容については多岐にわたるため本稿では割愛しますが、
特に、

1. 違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用することを禁ずる法19条「不適正な利用の禁止」、
2. 提供元では個人データに該当しないものの、提供先において個人データとなることが想定される情報の第三者提供について、本人同意が得られていること等の確認を義務付ける法31条「個人関連情報の第三者提供制限等」、
3. 外国にある第三者に個人データを提供する場合に一定の義務（情報提供、場合により同意取得）を義務付ける法28条「外国にある第三者への提供制限」

等は、当時世間において注目された個人情報にかかる事件等が色濃く反映されたものであり、特筆すべきものと考えられます。

GDPR

General Data Protection Regulation（GDPR、一般データ保護規則）は2018年5月に施行された欧州におけるデータ保護に関する法律です。現代のデータプライバシーに係る法律の先駆けとも言える存在であり、他国の法規制にも大きな影響を与えています。
特徴として、

1. EEA（欧州経済領域）内の拠点に関連して個人データを処理する企業だけでなく、同域内に所在する個人に対してモノ・サービスを提供する、もしくは同域内で行われる個人の振る舞いを監視する場合においても適用対象となるため、欧州以外の企業についても適用されることが考えられる。
2. 個人データについて広く定義されており、氏名やメールアドレス、クレジットカード番号等に留まらず、Cookieや類似する技術で割り当てられたオンライン識別子等についても個人データとして考えられる。
3. DPO（Data Protection Officer、データ保護責任者・監督者と訳される）の指名やDPIA(Data Protection Impact Assessment、データ保護影響評価)の実施等も規定に盛り込まれており、組織における体制・手続きも踏まえて対応を進める必要がある。
4. 違反時には2,000万ユーロ以下、もしくは全世界の年間総売上の4％以下のいずれか高い方の金額の制裁金が課される。

等があり、欧州に向けてビジネスを展開されるにあたっては、慎重な検討が必要となります。

CCPA、CPRA

California Consumer Privacy Act（CCPA、カリフォルニア州消費者プライバシー法）は2020年1月から施行された米国カリフォルニア州住民のプライバシー保護を定めた州法です。米国において他州に先駆けて整備されている点もそうですが、カリフォルニア州がシリコンバレーを擁し、ビッグテックをはじめ多くの大手IT企業等が拠点を置いていることから、最先端のデータビジネスに対しどのように規制をしていくのか、これらの企業が規制に対してどのように向かい合うか世界的に動向が注目されています。
特徴として、

1. カリフォルニア州で事業を行っていれば同州に事業拠点がなくても対象となりうる。
   
   • ※年間の総収入が2,500万米ドル以上あるか、単独または組み合わせにより5万件(後述のCPRAでは10万件)以上の消費者、世帯またはデバイスの個人情報を商業目的で取得・販売・共有しているか、年間売上高の50％以上をカリフォルニア州の住民の個人情報の販売から得ているか、いずれかを満たす事業者は対象になるとされています。
2. 個人情報に関し、定義条項の中に「限定されるわけではない」「これに限らない」との記述があり、定義条項の中で明文化された情報以外も広く適用対象となる。
3. 収集する個人情報のカテゴリー・またその使用される目的等について消費者への通知要件が細かく規定され、最低12ヶ月に一度と、オンラインプライバシーポリシーの更新頻度についても盛り込まれており、定期的な棚卸しが不可欠となる。
4. 違反すると1件あたり最大2,500米ドル、故意と認定された場合は7,500米ドルの民事制裁金が課されるほか、消費者による提訴権が認められており、個人情報が不正アクセス等された場合に1 件（1 名、1 事故ごとに算定）あたり、100 米ドル以上 750 米ドル以下の法定損害賠償または実損のいずれか大きい額の賠償請求が行われる可能性もある。

等があり、カリフォルニア州向けにビジネスを展開されるにあたっては、注意が必要です。

また、CCPAを強化したCalifornia Privacy Rights Act（CPRA、カリフォルニア州プライバシー権法）が2023年1月1日より施行され、同年7月1日より監督機関の執行が開始します。特に、CCPAでは金銭もしくは価値ある対価を目的に個人情報を第三者に提供する、いわゆる「売却」を行う場合、オプトアウト手段を与える必要がありましたが、CPRAではクロスコンテキスト行動ターゲティング広告※を行うために第三者に提供する「共有」を行う場合にも、同義務が課せられるとされており、マーケティング施策への影響が懸念されます。

• ※クロスコンテキスト行動ターゲティング広告とは、消費者が意図的にやり取りしているものは除き、事業、明確にブランド化されたウェブサイト、アプリケーション、もしくはサービスに渡って消費者の行動から取得された消費者の個人情報に基づいた、消費者に対するターゲティング広告を指します。

データプライバシーのトレンド

ここでは、データプライバシーのトレンドについて、以下の3つを解説します。

• • 初の国内Cookie規制としての改正電気通信事業法
  • データマッピングツールの公表
  • データクリーンルームの整備・提供

それでは、1つずつ解説していきます。

初の国内Cookie規制としての改正電気通信事業法

2023年6月16日より施行される改正電気通信事業法では、「情報送信司令通信」としてCookie等を規制対象とし、国内初のCookie規制法として注目されています。
本改正においては、①大規模なサービスを提供する電気通信事業者として告示で指定される事業者が取得する特定利用者情報の適正な取扱いに関する規律や、②利用者の端末に記録された閲覧履歴やCookieに保存されたID等を含む利用者情報を外部送信させる場合に利用者に確認の機会を付与する規律が、新たに設けられます。
特に、外部送信に関する規律は、登録や届け出が必要な電気通信事業者以外にもSNS運営やニュース配信サービスを行っている事業者も対象になるため、従来、電気通信事業者法が適用されていなかった事業者も広く適用対象となりえ、自社が対象であるかの確認や対応が急務になる企業が増大すると思われます。

データマッピングツールの公表

個人情報保護委員会は、2022年10月、民間事業者によるデータマッピング（事業者が取り扱うデータを事業者全体で整理して、取扱状況等を可視化する作業）の支援のため、データマッピング・ツールキットを公表しました。
自社のデータ取扱状況を把握・可視化することは、企業がデータプライバシーを考え、データを適切に管理する上での大前提であり、委員会公表のデータマッピングツールは今後のデータ整理のデファクトスタンダードになることが予想されますので、すでに自社フォーマットで取扱状況を整理済みの企業でも、内容については確認しておくことを推奨します。

• 個人情報保護委員会「データマッピング・ツールキット」
  https://www.ppc.go.jp/files/pdf/data-mapping_tool-kit.pdf

データクリーンルームの整備・提供

Cookie規制に伴い、マーケティングの分析に活用できる新しいデータ基盤として注目されてきたのが、データクリーンルームです。データクリーンルームとは、プライバシーに配慮した形で、企業のデータ分析担当者が広告配信や効果検証に有効なデータにアクセスできる環境のことです。データクリーンルームのベンダが、プライバシーを保護した環境で個人情報を収集します。そして、個人が特定できない範囲でWebサイトへのアクセスなどの情報を、依頼のあった他者に提供するのです。これにより、個人情報の保護を行いつつ、3rdパーティデータと同じく広告配信やその効果検証に役立つデータを得られます。LINEがトレジャーデータと共同開発している「LINE Data Clean Room」のほか、 Google、Amazonなどのプラットフォーマーがサービスを提供しています。

• 参考出典：トレジャーデータ プレスリリース「トレジャーデータ、LINE株式会社と業務提携契約を締結」https://www.treasuredata.co.jp/press_release_jp/20220518_td_line/

まとめ

以上、見てきたようにデータプライバシーについては、消費者意識・法令・技術進化・社会的要請等の様々な要素が絡む複雑な問題であり、日々関連する情報・ニュースをキャッチアップしながら確実に対応し、自社の姿勢を示していく必要があります。

インキュデータではプライバシーセキュアな体制の構築を支援すべく、コンサルティングサービスを提供しています。

ご興味ある方はこちらからご相談ください。

インキュデータのサービス > コンサルティング