目次
技術進歩がめざましい近年では、事業の存続や競争力強化を目的に、ビッグデータを活用して新たなサービスや製品の開発に取り組む企業が増えています。たとえば、お問い合わせ内容を分析してサービス品質向上に生かす等の取り組みはいまやどこでも行われていますが、一方で製品の設計データや個人の趣味嗜好にかかるデータは、極めてセンシティブな情報のため、使いたくても思うように使えていない・使うまでの準備が大変という企業も多いのが実情です。
この記事では、昨今増加傾向にある機密情報漏えい事件への取り組みなど「いま必要とされるデータプライバシー」について、その定義や国内外の取り組み、今後の動向について解説します。自社データの活用促進やデータ管理体制についてお考えの方はぜひご活用ください。
データプライバシーとは、個人情報をはじめとする機密なデータの取り扱いに関する考え方のことです。たとえば、データの所有者やその公開範囲、開示する際の基準等、データ管理に関する考え方全般を意味しています。この考え方に沿ってデータが侵害を受けないように策を講じる行為を「データ保護」と言い、そのためにシステムを導入したりデータの運用体制を見直す行為を「データセキュリティ(対策)」と言います。
たとえば個人情報や個人に紐づく健康情報、登録口座や取引情報は厳重に管理されなければなりません。ひとたび漏えいすると金融情報が悪用されてしまったり、個人が特定されてなりすましの被害が発生すれば多大な損害が起こりえるためです。
安心して日常生活を送るためにも、データの管理方法や開示手順を整備するといったデータプライバシーの考え方が重要なのです。
デジタル化によってデータの利活用が盛んに行われ、企業がユーザーデータや消費行動の履歴をサービスの価値向上に有効活用することは一般化しています。しかし、企業によるデータ活用が進むなかで、ユーザーが意図せず自分のデータを企業に提供してしまい、データ提供によって得られる利点よりも無断で自分のデータが活用されたように見えることなどが相次ぎ、ユーザーのプライバシー意識が高まりつつあります。また、特に近年はさまざまな手口によるサイバー攻撃やマルウエア感染等による有名企業の情報漏えい事件も頻発しており、企業側も強固なデータセキュリティ体制が求められています。
このような背景から、日本では「個人情報の保護に関する法律」が2005年4月に施行され、2017年5月に改正、そして2022年4月には企業の取り組みにも言及した改正案が可決されています。そのほか世界的にもさまざまな個人情報保護に関連する法案が採択されています。
先述のとおり、データプライバシーへの意識が世界的に高まる中、各国ではデータプライバシー対策として、法規制の強化や見直し等が進みました。データ保護をめぐるユーザーの権利は居住地によって違い、その国ごとの法律で定められています。このセクションでは、データのプライバシーに関する各社の取り組みについて、代表的な3カ国の法律を例に具体的に紹介していきます。
法律の名称/国名 |
説明/事項 |
法整備の経緯 |
個人情報保護法/日本 |
個人情報や個人特定情報の取り扱い、取扱事業者に課される義務や手順、個人による請求権等を定める |
データ活用が進んだことによって個人のプライバシー保護が不安視された |
GDPR/EU EUデータ保護指令に変わって2018年5月より適用 |
EUを含む欧州経済領域(EEA)に適用され、個人データやその取り扱いについて定める |
前身のEU一般データ保護規制がネット社会に対応した内容ではなかった EU域内の個人のデータを保護し、漏えいを防ぐ |
CCPA/アメリカ・カリフォルニア州 2020年1月施行 |
カリフォルニア州民のプライバシーを保護を目的とする、個人情報として定義する範囲が広い |
プライバシーの権利はすべての人の不可侵の権利であり、個人は利用される範囲等をコントロールできることを、CCPAの基盤となる同州の憲法で定めている |
デジタル化が進むにつれてデータ利活用に取り組む企業が増えたことを背景に、「個人情報の保護に関する法律」が2005年4月に施行されました。この法律はプライバシー保護を目的に定められ、いまでは3年ごとに定期的な見直しが行われています。
なお2022年4月の改正では、本人による利用停止請求や情報記録状況の開示請求が可能になり、これまで以上に本人の意思による請求権が強化されました。さらに個人情報取扱事業者による漏えい事件の報告義務及び本人に対する通知義務が新設され、これらの措置に違反した場合のペナルティも厳罰化しています。
そのほかデータ利活用を止めることがないようにデータ利活用の促進に向けた対策も取られています。具体的には個人情報や個人を特定する情報は仮名加工するなど、活用の幅を緩和しています。
GDPRは、個人データの保護やその取り扱いについて定めている法令で、EUを含む欧州経済領域(EEA)に適用されています。General Data Protection Regulationの略称で、日本語では「EU一般データ保護規則」と訳され、違反時の罰金が高額であることが特徴です。
GDPRが適用される事業者は大きく3つに分類されます。
① EU域内に拠点を置く企業
② EU域内のユーザーに商品・サービスを提供するEU域外の企業、直接サービス提供を行わなくてもEU域内のユーザーのデータ(Cookieをはじめとする個人の属性や行動履歴に紐づく識別子情報等を含む)を活用する企業
③ ①②から個人データの処理を委託される企業
主要な項目は以下です。
・個人データの利用目的と処理・収集手順を明示
・本人の明確な意思によって、個人データの収集及び利用目的への同意を取る
・個人データの処理及び管理にあたり、完全な暗号化や仮名加工等の適切な安全管理措置を講じる
・目的達成に必要な期間を超えて個人データを保有し続けてはいけない
GDPRがすべての個人が自分でデータをコントロールする権利を持つことを目的に制定されていることもあり、事業者に対してデータの安全管理や個人情報をEU域内から域外に移動させることへの禁止等、個人データの取り扱いに関する厳密な義務が課されており、違反時には制裁金が発生します。(前年度の全世界売上高の4%もしくは2000万ユーロのどちらか高い方)
また、日本に拠点を置く企業もGDPRの例外ではありません。EU域内からのWebアクセスが多かったり、EU域内居住ユーザーにサービスや商品を提供している場合は、GDPRに対応したポリシーや個人データ取得方法を採用する必要があります。
CCPAはCalifornia Consumer Privacy Actの略称で、アメリカカリフォルニア州民の個人情報の取り扱いについて定めた法令です。日本語では「カリフォルニア州消費者プライバシー法」と訳され、アメリカで最も人口の多いカリフォルニア州の住民のプライバシー権と消費者の消費者の保護を目的に定められました。
適用の対象となる事業者はいくつか条件がありますが、基本の条件は以下2点です。
①カリフォルニア州で事業展開している企業(拠点の有無に関わらず)
②カリフォルニア州民の個人情報を取り扱う企業
州民には各種請求権やオプトアウト権、削除権等が明示されており、事業者には厳格な義務が課され、違反した場合は最大2500ドルもの制裁金が発生します。また、IPアドレスなどの必ずしも個人を特定することがない識別子も個人情報の範囲に含む等、個人情報として定義する範囲が広いことも特徴です。
ビッグデータの活用が広がりを見せる中、世界的にもデータプライバシーに対する意識が高まっています。また、データを保護する施策は各社のポリシーに任せられているのが現状であることから、企業は常に最新情報をおさえ、データの種別や用途に合わせて微調整しながら付き合っていく必要があります。このセクションでは、データプライバシー保護規制の流れを再度おさらいし、データセキュリティの強化に向けた対策方法を解説します。
個人情報保護法やGDPRに代表されるプライバシー保護規制は年々動きが拡大しており、今後も世界各地に広がると考えられます。しかし、法規制には施行までに年数がかかり、施行されたとしてもシステムの対応や人材・体制の強化には時間がかかります。そのため、今まさに進みつつあるデータ利活用のスピードに対し、対応が遅れる場合があります。
そこで注目されているのが「プライバシー強化技術(Privacy Enhancing Technologies)」です。略して「PETs」と呼ばれるこの取組みは、プライバシーを保護したまま高精度なデータ分析を行える技術として、特に「秘密計算」や「差分プライバシー」、「連合学習」といった技術が注目を集めています。
EAGLYSは「PETs」に代表される「秘密計算技術」を用いてデータを暗号化したまま共有・分析することができる仕組みを開発しています。また、見せたくないカラムだけを秘匿化することもできるため、データのプライバシーを保護しながら複数事業者でデータを扱いたい場合にも加工処理にかかっていた手間を削減することができます。
詳しくはこちらをご覧ください
データプライバシーとは、個人情報や企業の機密データの取り扱いに関する考え方です。近年では法規制強化への対策を求められるなどデータプライバシーへの注目度が上がる一方、データ利活用ニーズも高まりを見せています。そのため、データを保護しながらいかに活用するか、これまで以上にデータのプライバシー保護体制に則った運用ルールの見直しやシステム検討の必要性が高まっています。
EAGLYSの秘密計算技術では常時データを暗号化したままで扱うことができるため、データプライバシーに配慮しながら分析することができ、万一のデータ漏えいの対策も同時に実現します。また、複数事業者間でのデータ連携時に、データ分析担当者が簡単に閲覧範囲を制御できる機能等も備えているため、匿名加工の作業に割いていた工数を他の作業時間に還元することもできます。
また、秘密計算技術以外にも、データそのものを共有することなくAIによる学習結果を共有するフェデレーデッドラーニング(連合学習)技術も提供していますので、企業それぞれのプライバシーポリシーやデータ管理体制に最適なデータ利活用方針に沿った提案が可能です。
自社のデータプライバシーを高度に保護しながら、企業間でのデータ連携やデータ分析を行いたいと考える方は、ぜひご相談ください。