ビッグデータ社会におけるプライバシー権の保護はどうなる？

個人のプライバシーを保護する「プライバシー権」をご存じですか？

多くの企業がビッグデータの利活用に注目するとともに、プライバシー権がこれまでよりも重視されています。すでに海外では、プライバシーを保護するため、データの利活用に関してGDPRやCPRAといった厳しい規定を設ける地域も出てきました。

ここでは、プライバシー権の定義やプライバシー侵害の一例、そしてビッグデータを扱う企業に求められる対応についてご説明します。

1. プライバシー権とは？

プライバシー権とは、他者に知られたくない私的な情報である「プライバシー」が保護される権利です。

プライバシー権は、法律で明文化されている権利ではありません。しかし、小説「宴のあと」の内容がプライバシーを侵害したとして行われた裁判では、判例のなかに「私生活をみだりに公開されないという法的保障ないし権利」として、プライバシー権の存在が認められました。

本件は1964年9月28日に判決が下っており、このころからプライバシー権が重視されてきたと考えられます。

またプライバシー権の一環として、他者が管理するプライバシーに対してデータの主体である当人が開示・訂正・削除を要求できる「自己情報コントロール権」もあります。個人情報（個人の識別を可能とする情報）に分類されるものだけがプライバシーに該当するわけではなく、第三者に公開されることを望まないあらゆる情報をプライバシーと呼びます。

2. プライバシー侵害にあたる行為の一例

以下条件に該当する情報を公開した場合、公開にあたって「高い公益性がある」などの理由が認められない場合は、プライバシーの侵害だと判断される可能性があります。

• 私生活上の事実、あるいは事実だと受け取られる恐れがある
• 一般の感受性をもとに、当人が公開を望まない事実である
• これまでに一般に公開されていない事実である

いずれも抽象的な定義ではありますが、たとえば一般に知られていない犯罪歴や病歴を公開したり、収入や住所をネット上に公開したりといった、世間の多くが「そのような私的な情報は公開されたくない」と判断するような情報を広めることはプライバシー侵害に該当する懸念があります。

なお、多くの企業が活用しているオンライン識別子の一種「Cookie」も、取り扱いによってはプライバシーの問題に関わる可能性があります。国内外の法律を考慮した際、どのようにCookieを扱うべきなのか以下の記事で詳しく解説しているので、本記事とあわせてご参照ください。

＞＞プライバシーの侵害とは？Cookieはプライバシー侵害に該当する？

3. ビッグデータの利活用における注意点

ビジネスシーンではデータの利活用が重要視され始めており、収集したデータをもとに意思決定を行う「データドリブン」といった言葉を耳にすることが増えました。データの利活用への注力を検討する企業も増加傾向にあります。

インターネットやスマートフォンの普及、SNSの普及などによって、あらゆる情報がアーカイブされるようになったことがビッグデータ活用を後押ししているのです。ただ、ビッグデータ社会の到来は企業にとって追い風ばかりではなく、注意すべき点もあります。

3.1　プライバシー侵害・セキュリティリスクに対する配慮

ビッグデータは巨大なデータ群であり、そのなかには個人にまつわるデータも含まれます。

個人から同意を得た範囲を超えて、個人の識別につながるデータを第三者に提供したり、公開したりすればプライバシー侵害に該当する危険性があります。また、サイバー攻撃や内部の不正行為によって、管理しているデータが流出するなどのリスクも懸念されます。

個人にまつわるデータの取り扱いが増えるほど、比例して慎重に取り扱うべきデータも増えることになるため、データ管理にあたりプライバシーやセキュリティ上のリスクに配慮しなければなりません。

3.2　同意の取得が重要となる

これまで、インターネットを通じて個人情報を収集する際、利用目的の明示を徹底できていない傾向にありました。これは、明確なルールが無いことが原因でしたが、各種法律の施行や個人情報の取り扱いに関する世論の高まりによって、情報の取得や利用に関して「個人から適切に同意を取得すること」が重要視されています。

たとえば、EU域内で適用されているGDPR（EU一般データ保護規則）は、個人の同意取得を必須としました。

GDPRはインターネットが普及した現代に適合した規則であり、条件次第ではEU域外に拠点を置く企業にも適用されることから、世界的に注目されています。多くの企業がGDPRに則る形で社内体制を見直し、世界全体にプライバシー保護の強化を意識させることとなりました。

日本の個人情報保護法においても、2022年4月に改正個人情報保護法が全面施行され、個人情報の取り扱い方によっては同意が求められるようになりました。代表的な例は以下のとおりです。

• Cookieに代表される「個人関連情報」について、第三者提供時に提供先で個人データとなる（個人特定が起こりうる）場合の本人同意の確認の義務化（法第三十一条より）
• 
  外国にある第三者への個人データの提供時における、移転先事業者における個人情報の取扱いに関する本人への情報提供の充実等（法第二十八条より）
  

改正法が施行されてからはすでに1年以上が経過しています。現時点で未対応の企業は、CMP（同意管理プラットフォーム）を利用して同意を得る体制を整えるなど早急に対策を講じることが重要です。

4. データの利活用にまつわる諸外国の動向

先ほどご紹介したGDPR（EU一般データ保護規則）や、同じくアメリカ・カリフォルニア州のプライバシー関連法であるCPRA（カルフォルニア州プライバシー権法）といった法律は、個人データの保護、あるいはデータの主体である個人の権利を強く保護する法律として知られ、日本企業であっても以下の条件を満たす場合には従わなければなりません。

GDPRに従わなければならない日本企業

EU域内に支店・子会社など営業拠点を所有している EU域内から「個人データ」の移転を受けている 日本国内からEUに向けて商品・サービスを提供している

上記のようにEU域内に拠点がある場合や、EUに向けて商品・サービスを提供している場合はGDPRの対象となります。一方、「カリフォルニア州民の個人データを取得している」という条件に加えて、以下のケースに当てはまる場合はCPRAに従わなければなりません。

CPRAに従わなければならない日本企業

年間総収入が「2,500万ドル」以上 年間10万件以上の「カリフォルニア州民の個人データ」を取得あるいは処理 「カリフォルニア州民の個人データ」の販売あるいは共有による収入が年間収入の50%以上

GDPRは個人情報・個人データ（オンライン識別子を含む）の取り扱いを厳格化し、CPRAは個人のデータにまつわる要求の権利を強める内容となっています。

いずれも、違反した場合には制裁金が科せられることとなっており、特にGDPRの制裁金は日本円で数十億円規模と高額です。グローバルにビジネスを展開している企業は、GDPRのような海外の法律に抵触する可能性にも注意を払いデータを活用すべきです。

なお、GDPRやCPRA、日本国内で施行されている個人情報保護法の概要と対策は、以下の記事で解説しています。地域をまたいでビジネスを展開する場合はもちろん、日本国内でのみ事業を行う場合であっても個人情報の扱いに注意すべき点はあるため、今後のデータ収集・管理に不安がある場合はご参照ください。

＞＞放っておくと経営危機レベルの制裁金も！ GDPR・CCPA・個人情報保護法それぞれの対策の必要性を解説

＞＞CPRA（カルフォルニア州プライバシー権法）とは？ CCPAからどう変わった？

5. まとめ

国内外を問わず強まりつつあるプライバシー保護意識の高まりから、企業にはビッグデータの慎重な取り扱いが求められています。

世界に先駆けて厳しい規定を設けられているGDPRやCPRAは、今後世界のプライバシー保護における標準的な基準になることも予想されるため、個人のデータを扱う企業はプライバシー権にまつわる動向へ常にアンテナを張っておくようにしましょう。

公開日：2020年12月28日