EU(欧州連合)は昨年、個人情報保護を強化する「一般データ保護規則(GDPR)」を制定した。2018年5月に発効する。日本にとって一番影響が大きいのが、EU域外へのデータの持ち出しを制限する規定だ。日本の企業がEU内に持っている子会社や事業所にも適用される。EUと同等レベルの保護制度が組まれていると認定され、持ち出しが自由に認められる見込みなのはイスラエルやスイスなど11の国と地域。日本は対象になっておらず、持ち出しには複雑な認証手続きが必要になる。

 個人情報保護に詳しい牧田潤一朗弁護士は、日本がGDPRの認定を受けていない背景について「国民1人ひとりの人権意識の高さが、日本と欧州では段違い」と話す。日本の匿名化の枠組みは「EUの認定国を目指してGDPRの枠組みに沿った考え方になっているが『仏作って魂入れず』だ」と手厳しい。

 典型的なのが「オプトイン」「オプトアウト」の考え方だ。個人情報の取扱いをする際に、企業側があらかじめ本人の了解を得るのがオプトイン。逆に、本人が反対の意思表示をしない限り、個人情報の取得や流用が行われるのがオプトアウトだ。牧田弁護士は「ウェブサイトの閲覧履歴など細かい情報の取得に至るまで、EUではオプトインが浸透している。日本ではオプトアウトの考え方が根強く、消費者も慣れてしまった。例え承諾を求められたとしても、しっかり理解せずに同意してしまう消費者が多い」と指摘する。

 こうした権利意識の違いは、データの利用方法の規制でも表れている。EUは経済状態や健康状態、個人的嗜好などを自動的に分析する行為を「プロファイリング」と定義。各消費者はプロファイリングに異議を唱える権利があるとGDPRで明記された。企業側は異議に対して正当な根拠を示さない限り個人情報の利用を制限される。懸念されているのは、例えば特定の人種や地域の居住者が保険料で差別的な扱いを受けるような事態だ。

 日本でも書店が客の顔認証データを万引き防止に利用していることがインターネット上で議論になったことがあるが、個人情報保護法にはデータの利用方法について特段の規制がない。病歴や犯罪歴など機微に触れる情報の保護強化を謳ってはいるものの、データの適正利用に繋がるかは不透明だ。

 EUが今後データ提供の認定国を選定するに当たって、優先協議の相手として日本や韓国を挙げているが、牧田弁護士は「日本は改正法の施行後に実績を積み上げないと、権利保護への姿勢強化を証明できない。GDPRの発行までに認定を受けられる可能性は低い」とみる。

「情報銀行」で個人を啓発

 欧州の権利保護の態勢に追いつくための“劇薬”を政府は仕込んでいる。内閣府のIT総合戦略本部が明らかにした「情報銀行」の推進だ。一定の認証を得た民間業者が開設する銀行に、各消費者が加工していない生の個人情報を預託。銀行を通して情報の提供を受けた業者は、消費者に便益を提供する。例えば、自身の病歴などを情報銀行経由でヘルスケア業者に提供すると、ビッグデータ解析の結果弾き出された健康管理のためのアドバイスが提案される、といった仕組みだ。

 ここで重要なのは、消費者一人ひとりが生の個人情報の提供先を意識的に把握・管理する必要があるということだ。ある企業が持っている自身の情報を別の業者に移管することもできる。個人情報は貯金や株券と同じ、自身の大事な資産として取り扱われるようになる。IT総合戦略本部は、こうした権利を使いこなすための教育・啓発を進めていく考えだ。

 一方、この教育・啓発が不十分なままデータの利用促進だけが推し進められれば、利便性と権利保護のバランスが崩れかねない。「情報が集まる企業側の発言権が増し、個人情報の提供を拒む人は満足なサービスを受けられずに置き去りにされるといういびつな市場が出来上がる」(牧田弁護士)との懸念の声も漏れる。