ネットにおけるプライバシー保護の重要性を解説!個人情報との違いは?

データ保護データ管理・活用 2020.06.29
ネットにおけるプライバシー保護の重要性を解説!個人情報との違いは?

インターネット上におけるプライバシーの保護については近年世界各地で注目が集まり、法整備などの対策が進んできました。しかし、とりわけ日本においては、まだまだその定義や重要性が広く知られているとは言えない上状況にあります。

ここでは、世界レベルで変革が起きている「ネットにおけるプライバシー保護」の重要性や、最新の世界の動向についてご説明します。

1. プライバシーの定義とは?

プライバシーとは、「個人の秘密を他者に侵害されない権利」および「個人が自身の情報をコントロールする権利」を指す言葉です。

プライバシーによって守られるべき情報は、個人を特定できるか否かにかかわらず存在します。たとえば、私的な内容を書いた手紙を誰かに送るとき、その内容は第三者に知られたくない情報である場合もあるため、手紙はプライバシーにより守られるべき情報だと判断できます。いわゆる「個人情報に該当しないもの」の中にも、守られるべきプライバシーは存在するということです。

2. プライバシーにより守られるべき情報と個人情報の違い

個人を識別できる情報、および他の情報と照合することで容易に個人を識別できる情報を「個人情報」と呼びます。前述の通り、プライバシーにより守られるべき情報は必ずしも個人を識別できる情報だと限りません。したがって、「個人情報」は「プライバシーにより守られるべき情報」に内包されるものだといえるでしょう。

日本国内における個人情報は、個人情報保護法によって以下のように定義されています。

image2.png

出所:e-Gov「個人情報の保護に関する法律

氏名や生年月日など、普段から私たちが「これは個人情報だろう」と認識している情報のほか、個人識別符号と呼ばれるものも個人情報に該当します。

image1.png

出所:e-Gov「個人情報の保護に関する法律

個人識別符号の具体的な例としては、以下のような要素が挙げられます。

・DNAを構成する塩基配列

・顔の骨格や皮膚の色、各部位の位置や形状

・発声時における声帯の振動、声門の開閉・声道の形状や変化

・手指の静脈の分岐や形状、指紋・掌紋

・運転免許証の番号、パスポートの番号、基礎年金番号

これらのほか、歩行時の姿勢や虹彩の模様なども、個人が有する固有の特徴・番号は個人識別符号に該当します。

3. プライバシーに抵触した近年の国内事例

セキュリティ対策を怠ったためにインターネットを介して収集した情報が流出する、収集した情報を不当に利用して利益をあげるなど、インターネットにおけるプライバシー侵害の問題は絶えません。

たとえば2019年には、リクルートキャリアが提供するサービス「リクナビDMPフォロー」が、ユーザーの同意を取得せず第三者に個人データを提供しているとして問題視されました。リクナビDMPフォローは、ユーザーの閲覧履歴から選考離脱や内定辞退の可能性をスコアリングし、企業側に参考データとして提供するサービスです(現在はサービス廃止)。

「『リクナビ DMP フォロー』に関するお詫びとご説明」によれば、当該企業で選考、または内定辞退をする可能性の高いユーザーの特徴を洗い出し、コミュニケーション設計の一助にするものだと想定して運用していたようです。

しかし、同社のプライバシーポリシーには、第三者への個人情報提供に関する文言が含まれていませんでした。適切な同意のないまま企業に提供された情報は計13,840 名分にのぼったといいます。この一件は、日本人に「プライバシー保護のあり方」を考えさせるうえでも大きな問題として報じられました。

4. ネットにおけるプライバシー保護に対する認識の変化

インターネットの登場以降、ネットにおけるプライバシー保護のガイドラインは曖昧な傾向にありました。

しかし近年では、個人識別に繋がる個人情報だけでなく、CookieやIPアドレスなどの「オンライン識別子」も保護すべきデータだとする流れが強まっており、今後はこの流れが世界基準として広まっていくものと思われます。すでにEU(欧州)やアメリカの一部地域ではプライバシー保護のためオンライン識別子の管理を厳格化する法律が施行されています。

世界のプライバシー保護にまつわる動向

EUでは、2018年に施行されたGDPR(EU一般データ保護規則)においてIPアドレスやCookieを保護対象とすることが定められました。それにより、これらの情報を取得するにあたってはデータの利用目的・保管期間を示し、個人から同意を得ることが求められています。違反した場合には多額の制裁金が科せられることとなっており、少なくとも1,000万ユーロ(約12億円)の支払いを命じられます。

2020年に施行されたアメリカのCCPA(カリフォルニア州消費者プライバシー法)も、GDPRのように個人データの厳格な管理を求める法律の一つです。カリフォルニア州で営利目的の事業を行っている特定の事業者は、個人から情報開示や削除を要求されたときにその要求に応じることを定めています。

上記2つの規制・法律はいずれも、個人に与えられる「個人情報に関する請求権」が強い傾向にあります。また、日本の個人情報保護法も2020年6月に改正法が成立。世界基準に近いルールが整いつつあります。

また、国や地域が定める法令だけでなく、Apple社やGoogle社などのパブリッシャーもCookieを保護すべき情報として捉えつつあり、すでにApple社は自社ブラウザにおいてCookieに厳しい規制を設けました。Apple社が自社ブラウザに実装している「ITP」についての解説は、こちらの記事をご参照ください。

>>ITPとは?Web広告に与える影響と対策方法

6. まとめ

急速に普及拡大したインターネット環境に対し、ネット上におけるプライバシー保護の取り決めについては後れを取ってきました。しかし、2018年に施行されたGDPR、2020年に施行されたCCPAは、それぞれそのギャップを埋める規定として期待されています。また、今後生まれるであろう、あらゆる法令の参考となると考えられます。

ビジネスを行う事業者のほとんどがインターネットを利用する時代になった今、プライバシー保護にまつわる動向は、すべての企業・ビジネスパーソンにとって無関係ではないものになってきているのです。