ネットにおけるプライバシー保護の重要性を解説！個人情報との違いは？

インターネット上におけるプライバシーの保護については近年世界各地で注目が集まり、法整備などの対策が進んできました。日本でも2022年4月から改正個人情報保護法が全面施行され、プライバシーの保護がより重視され始めています。しかし、とりわけ日本においては、まだまだその定義や重要性が広く知られているとは言えない状況にあります。

ここでは、世界レベルで変革が起きている「ネットにおけるプライバシー保護」の重要性や、最新の世界の動向についてご説明します。

1. プライバシーの定義とは？

プライバシーとは、「個人の秘密を他者に侵害されない権利」および「個人が自身の情報をコントロールする権利」を指す言葉です。

プライバシーによって守られるべき情報は、個人を特定できるか否かにかかわらず存在します。たとえば、私的な内容を書いた手紙を誰かに送るとき、その内容は第三者に知られたくない情報である場合もあるため、手紙はプライバシーにより守られるべき情報だと判断できます。いわゆる「個人情報に該当しないもの」の中にも、守られるべきプライバシーは存在するということです。

2. プライバシーにより守られるべき情報と個人情報の違い

個人を識別できる情報、および他の情報と照合することで容易に個人を識別できる情報を「個人情報」と呼びます。前述の通り、プライバシーにより守られるべき情報は必ずしも個人を識別できる情報だとは限りません。したがって、「個人情報」は「プライバシーにより守られるべき情報」に内包されるものだといえるでしょう。

日本国内における個人情報は、個人情報保護法によって以下のように定義されています。

この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一　当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。）で作られる記録をいう。以下同じ。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）
二　個人識別符号が含まれるもの

引用：e-Gov「個人情報の保護に関する法律」

氏名や生年月日など、普段から私たちが「これは個人情報だろう」と認識している情報のほか、個人識別符号と呼ばれるものも個人情報に該当します。

この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
一　特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二　個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

引用：e-Gov「個人情報の保護に関する法律」

個人識別符号の具体的な例としては、以下のような要素が挙げられます。

• DNAを構成する塩基配列
• 顔の骨格や皮膚の色、各部位の位置や形状
• 発声時における声帯の振動、声門の開閉・声道の形状や変化
• 手指の静脈の分岐や形状、指紋・掌紋
• 運転免許証の番号、パスポートの番号、基礎年金番号

これらのほか、歩行時の姿勢や虹彩の模様なども、個人が有する固有の特徴・番号は個人識別符号に該当します。

3. プライバシーに抵触した近年の国内事例

セキュリティ対策を怠ったためにインターネットを介して収集した情報が流出する、収集した情報を不当に利用して利益をあげるなど、インターネットにおけるプライバシー侵害の問題は絶えません。

たとえば2019年には、リクルートキャリアが提供するサービス「リクナビDMPフォロー」が、ユーザーの同意を取得せず第三者に個人データを提供しているとして問題視されました。リクナビDMPフォローは、ユーザーの閲覧履歴から選考離脱や内定辞退の可能性をスコアリングし、企業側に参考データとして提供するサービスです（現在はサービス廃止）。

「『リクナビ DMP フォロー』に関するお詫びとご説明」によれば、当該企業で選考、または内定辞退をする可能性の高いユーザーの特徴を洗い出し、コミュニケーション設計の一助にするものだと想定して運用していたようです。

出所：株式会社リクルート「『リクナビ DMP フォロー』に関するお詫びとご説明」

しかし、同社のプライバシーポリシーには、第三者への個人情報提供に関する文言が含まれていませんでした。適切な同意のないまま企業に提供された情報は計13,840 名分にのぼったといいます。この一件は、日本人に「プライバシー保護のあり方」を考えさせるうえでも大きな問題として報じられました。

4. ネットにおけるプライバシー保護に対する認識の変化

インターネットの登場以降、ネットにおけるプライバシー保護のガイドラインは曖昧な傾向にありました。

しかし近年では、個人識別に繋がる個人情報だけでなく、CookieやIPアドレスなどの「オンライン識別子」も保護すべきデータだとする流れが強まっており、今後はこの流れが世界基準として広まっていくものと思われます。すでにEU（欧州）やアメリカの一部地域ではプライバシー保護のためオンライン識別子の管理を厳格化する法律が施行されています。

世界のプライバシー保護にまつわる動向

EUでは、2018年に施行されたGDPR（EU一般データ保護規則）においてIPアドレスやCookieを保護対象とすることが定められました。それにより、これらの情報を取得するにあたってはデータの利用目的・保管期間を示し、個人から同意を得ることが求められています。違反した場合には多額の制裁金が科せられることとなっており、少なくとも1,000万ユーロ（約12億円）の支払いを命じられます。

2020年に施行されたアメリカのCCPA（カリフォルニア州消費者プライバシー法）も、GDPRのように個人データの厳格な管理を求める法律の一つです。カリフォルニア州で営利目的の事業を行っている特定の事業者は、個人から情報開示や削除を要求されたときにその要求に応じることを定めています。CCPAは改正され、2023年1月からはCPRAが施行されています。

＞＞新法CPRAとCCPAとの違いについて詳しく知りたい方はこちら

上記2つの規制・法律はいずれも、個人に与えられる「個人情報に関する請求権」が強い傾向にあります。また、日本の個人情報保護法も2020年6月に改正法が成立、2022年4月には全面施行が行われ世界基準に近いルールが整いつつあります。

また、国や地域が定める法令だけでなく、Apple社やGoogle社などのパブリッシャーもCookieを保護すべき情報として捉えつつあり、すでにApple社は自社ブラウザにおいてCookieに厳しい規制を設けました。Apple社が自社ブラウザに実装している「ITP」についての解説は、こちらの記事をご参照ください。

＞＞ITPとは？Web広告に与える影響と対策方法

6. まとめ

急速に普及拡大したインターネット環境に対し、ネット上におけるプライバシー保護の取り決めについては後れを取ってきました。しかし、2018年に施行されたGDPR、2020年に施行されたCCPA（及びCPRA）は、それぞれそのギャップを埋める規定として期待されています。また、今後生まれるであろう、あらゆる法令の参考となると考えられます。

ビジネスを行う事業者のほとんどがインターネットを利用する時代になった今、プライバシー保護にまつわる動向は、すべての企業・ビジネスパーソンにとって無関係ではないものになってきているのです。

公開日：2020年6月29日