個人情報を匿名化して売買、仕込まれた“劇薬”

データビジネスは利便性と人権保護のバランスが重要だ

　「POS（販売時点情報管理）データのうち、超高級品など希少な商品の購入履歴は削除、または商品カテゴリーに置き換える」

　「自動車の移動履歴は、自宅や職場を特定されないように走行開始、終了時の位置情報を削除する」

　2月28日に政府の個人情報保護委員会が発表した指針は、POSデータ、クレジットカードの利用情報、鉄道の乗降履歴、自動車の走行データ、電力使用量という5つの類型について、個人が特定されないように情報を加工するための具体例を示した。

　こうした「匿名化」を施せば、企業は本人の承諾無く第三者に情報を売買できるようになる。今年5月の改正個人情報保護法の全面施行に向けた動きだ。例えばPOSデータやカード情報なら精緻なマーケティングや在庫管理に、自動車のデータは混雑緩和につながるサービスなどに応用できる。

　政府の狙いは、各企業がデータを融通し合えるようにすることで、データの集積を進めることだ。処理能力の高いAI（人工知能）の開発が進んでも、分析するデータの量が各企業の保有分だけに止まっていては宝の持ち腐れ。優れた分析にはまず大量の統一されたデータが必要になる。

　ただし、個人情報の活用は利便性と人権保護のバランスが重要だ。データは情報を丸めるほど利用用途は限られる。一方、電子マネー「Suica（スイカ）」のデータを無断で外部提供していたJR東日本のように、対応を誤れば苛烈な非難を浴びる。そして問題は人権保護だけにとどまらない。データを安易に流通させれば国際的な信頼を失い、かえって取り扱いの対象となるデータの量が減ることにもなりかねない。

　EU（欧州連合）は昨年、個人情報保護を強化する「一般データ保護規則（GDPR）」を制定した。2018年5月に発効する。日本にとって一番影響が大きいのが、EU域外へのデータの持ち出しを制限する規定だ。日本の企業がEU内に持っている子会社や事業所にも適用される。EUと同等レベルの保護制度が組まれていると認定され、持ち出しが自由に認められる見込みなのはイスラエルやスイスなど11の国と地域。日本は対象になっておらず、持ち出しには複雑な認証手続きが必要になる。

　個人情報保護に詳しい牧田潤一朗弁護士は、日本がGDPRの認定を受けていない背景について「国民1人ひとりの人権意識の高さが、日本と欧州では段違い」と話す。日本の匿名化の枠組みは「EUの認定国を目指してGDPRの枠組みに沿った考え方になっているが『仏作って魂入れず』だ」と手厳しい。

　典型的なのが「オプトイン」「オプトアウト」の考え方だ。個人情報の取扱いをする際に、企業側があらかじめ本人の了解を得るのがオプトイン。逆に、本人が反対の意思表示をしない限り、個人情報の取得や流用が行われるのがオプトアウトだ。牧田弁護士は「ウェブサイトの閲覧履歴など細かい情報の取得に至るまで、EUではオプトインが浸透している。日本ではオプトアウトの考え方が根強く、消費者も慣れてしまった。例え承諾を求められたとしても、しっかり理解せずに同意してしまう消費者が多い」と指摘する。

　こうした権利意識の違いは、データの利用方法の規制でも表れている。EUは経済状態や健康状態、個人的嗜好などを自動的に分析する行為を「プロファイリング」と定義。各消費者はプロファイリングに異議を唱える権利があるとGDPRで明記された。企業側は異議に対して正当な根拠を示さない限り個人情報の利用を制限される。懸念されているのは、例えば特定の人種や地域の居住者が保険料で差別的な扱いを受けるような事態だ。

　日本でも書店が客の顔認証データを万引き防止に利用していることがインターネット上で議論になったことがあるが、個人情報保護法にはデータの利用方法について特段の規制がない。病歴や犯罪歴など機微に触れる情報の保護強化を謳ってはいるものの、データの適正利用に繋がるかは不透明だ。

　EUが今後データ提供の認定国を選定するに当たって、優先協議の相手として日本や韓国を挙げているが、牧田弁護士は「日本は改正法の施行後に実績を積み上げないと、権利保護への姿勢強化を証明できない。GDPRの発行までに認定を受けられる可能性は低い」とみる。

「情報銀行」で個人を啓発

　欧州の権利保護の態勢に追いつくための“劇薬”を政府は仕込んでいる。内閣府のIT総合戦略本部が明らかにした「情報銀行」の推進だ。一定の認証を得た民間業者が開設する銀行に、各消費者が加工していない生の個人情報を預託。銀行を通して情報の提供を受けた業者は、消費者に便益を提供する。例えば、自身の病歴などを情報銀行経由でヘルスケア業者に提供すると、ビッグデータ解析の結果弾き出された健康管理のためのアドバイスが提案される、といった仕組みだ。

　ここで重要なのは、消費者一人ひとりが生の個人情報の提供先を意識的に把握・管理する必要があるということだ。ある企業が持っている自身の情報を別の業者に移管することもできる。個人情報は貯金や株券と同じ、自身の大事な資産として取り扱われるようになる。IT総合戦略本部は、こうした権利を使いこなすための教育・啓発を進めていく考えだ。

　一方、この教育・啓発が不十分なままデータの利用促進だけが推し進められれば、利便性と権利保護のバランスが崩れかねない。「情報が集まる企業側の発言権が増し、個人情報の提供を拒む人は満足なサービスを受けられずに置き去りにされるといういびつな市場が出来上がる」（牧田弁護士）との懸念の声も漏れる。

　EUがGDPRによる権利保護を推し進める背景には、利便性と権利保護のバランスを1社でコントロールできるほどの「データ寡占業者」への警戒感があるとみられる。世界中に情報の根を張っている米国の「GAFA（グーグル、アップル、フェイスブック、アマゾン）」だ。

　しばしば批判にもさらされるGAFAだが、その情報資産はビッグデータを活用したい企業に取ってみれば垂涎の的だ。膨大な会員データやウェブサイトの閲覧履歴が統一されたフォーマットの中に納められ、その引き出しや分析のためのアプリケーションも整っているからだ。

　ビッグデータによるマーケティング支援を手掛けるフロムスクラッチの武田卓哉執行役員は「一方、日本では、同じ会社内でリアル店舗とEC（電子商取引）サイトのデータの項目が揃っていないなどお粗末な状況で、すぐに情報を他社に売買できない会社は多い」と指摘する。GAFAに並ぶ情報量を得ようとすれば違う企業同士のデータを統合することになり、フォーマットの統一にさらに大きな労力がかかる。データという商品の魅力において、米国との彼我の差は大きい。

　そこで、武田氏は「日本はデータの正確性で勝負していくべきではないか」と指摘する。例えばECサイト内のアクセス履歴について「日本はミス無く100%の収集を目指そうとする真面目な技術者が多い」という。

　実際にデータの正確性が成果を得た事例もある。東京工業大学の元素戦略研究センターは、ビッグデータ解析により新物質の組成を探し出す「マテリアルズインフォマティクス」を利用し、希少元素を使わない赤色発光する新たな窒化物半導体を開発したと発表した。細野秀雄センター長によると、マテリアルズインフォマティクスは米国が主導して開発が進んだ技術だが「実際に有望な新素材を生成できたのは初めて。日本が歴史的に緻密な研究データを積み重ねてきた成果だ」という。

　改正個人情報保護法の施行により「ビッグデータ元年」となる今年は、日本が今後のデータ社会での勝ち組になれるかを占う分かれ目でもある。日本独自の強みを発揮する方法を探らなければ、日本は他国からデータをもらえず、データの買い手も少ない。データ開国への道はまだ遠く険しい。