スマートフォンやIoTの普及にともない、個人情報を含む膨大なデータを瞬時に集めて、新たなサービスや商品の企画、マーケティング、研究開発などに利活用する時代になりました。ただし、個人情報だけに取り扱いを誤ると重大なトラブルや事故に発展するケースもあります。個人情報保護を巡る国や企業の最新動向を踏まえ、その収集と利活用におけるポイントを解説します。
大手企業やIT系企業を中心に個人情報を含む膨大な情報の収集と利活用が加速する中、個人情報の取り扱いや個人情報保護の取り組における課題が浮き彫りになった事例を紹介します。
2013年6月、東日本旅客鉄道株式会社が、ICカード乗車券「Suica」の乗降履歴等の利用データを加工し、株式会社日立製作所に提供していたことが明らかになりました。氏名や電話番号、物販情報などを除外していたことから、個人情報保護法が定義する「特定の個人を識別できるもの」にはあたりません。
しかし、一般の利用者に対して個人情報の利用目的を周知するという前提がある以上、利用者の理解を得るための配慮が欠けていたことは事実であり、実際に個人情報の取り扱いに関して批判や不安の声も多く聞かれました。これを受けて、有識者会議では「利用者への配慮が不足していたことを反省したうえで、IoTおよびビッグデータの利活用に向けて取り組んでいくことが望まれる」と結論付けました。
2021年4月、SNSを運営する米フェイスブックから、利用者の個人情報およそ5億3,300万人分が流出した可能性があると判明しました。一連の報道によると、流出した個人情報はハッカーサイトで公開されたとのことです。流出した個人情報の中には、ユーザーの電話番号やフェイスブックの利用時のID、氏名、居住地、生年月日、自己紹介などが含まれていました。
これを契機に、多くの企業で個人情報に対するセキュリティ対策を見直し、IoT社会の到来に向けてガイドラインの整備や個人情報の保護をより強化しようという動きが加速しています。
個人情報の収集と利活用への関心が高まる中、日本では2016年1月、政府が個人情報保護委員会を新たに設置。さらに、2017年5月には「個人情報の保護に関する法律(個人情報保護法)」が改正されました。
一方、世界的には、GAFAなど大手IT系企業でスマートフォンやIoTの利用における個人情報保護への取り組みが進められています。例えば、Googleは、個人情報保護を目的としてAndroid OSに利用者のロケーション履歴(位置情報や行動履歴)を非保存または削除する機能を実装。インターネットブラウザのGoogle Chromeにも「シークレットモード」を実装し、利用者のWebサイト閲覧履歴を収集・保存しない機能を追加しています。
また、Appleでは、iOS14において、個別のアプリが位置情報を取得する場合、利用者が自ら設定を変更しないとできないようにしているほか、次期OSのiOS15でプライバシー保護機能をより強化します。「プライバシーダッシュボード」を新たに搭載し、iPhoneの利用者が「どのアプリが、位置情報や連絡先、写真などのデータにアクセスしているか」、「アクセス許可があるのはどのアプリか」をひとめで確認できるようにします。2021年6月に開催されたAppleの世界的な開発者会議(WWDC)では、プライバシーダッシュボード以外にも、MailやSiriのプライバシー保護機能が強化されることが明らかになりました。
さらに、EUでは2018年にGDPR(EU一般データ保護規則)が施行されました。GDPRの施行を契機に、個人情報を管理・運用する「情報銀行」事業に参入する企業への期待感が高まっています。
こうした国内や世界の個人情報保護や利活用に関する取り組みが進められている中、ACEESSもIoTサービスプラットフォームを提供。2019年にISMSを取得し、IoTの時代に向けて適切な個人情報保護に取り組む活動を実践しています。
日本では個人情報保護法によってプライバシー保護が規制されていますが、世界各国の企業とIoTの技術を活用したグローバルなビジネスを展開していくためには、必ずしも日本の個人情報保護法だけを守っていれば良いというわけではありません。
実は、日本に個人情報保護法が制定される以前の1980年、OECD(経済協力開発機構)によって個人情報保護のガイドラインとなる「OECD8原則」とよばれるものが制定されました。これは、今でも個人情報保護に関する世界共通の原則として定着しており、IoTで個人情報を収集する際にもぜひ覚えておきたい項目です。一般財団法人日本情報経済社会推進協会では、OECD8原則を以下の通り定義しています。
原則1 「収集制限の原則」
個人データを収集する際には、法律にのっとり、また公正な手段によって、個人データの主体(本人)に通知または同意を得て収集するべきである。
原則2 「データ内容の原則」
個人データの内容は、利用の目的に沿ったものであり、かつ正確、完全、最新であるべきである。
原則3 「目的明確化の原則」
個人データを収集する目的を明確にし、データを利用する際は収集したときの目的に合致しているべきである。
原則4 「利用制限の原則」
個人データの主体(本人)の同意がある場合、もしくは法律の規定がある場合を除いては、収集したデータをその目的以外のために利用してはならない。
原則5 「安全保護の原則」
合理的な安全保護の措置によって、紛失や破壊、使用、改ざん、漏えいなどから保護すべきである。
原則6 「公開の原則」
個人データの収集を実施する方針などを公開し、データの存在やその利用目的、管理者などを明確に示すべきである。
原則7 「個人参加の原則」
個人データの主体が、自分に関するデータの所在やその内容を確認できるとともに、異議を申し立てることを保証すべきである。
原則8 「責任の原則」
個人データの管理者は、これらの諸原則を実施する上での責任を有するべきである。
※出典:一般財団法人日本情報経済社会推進協会「OECDガイドライン~規範となる8つの原則~」
https://privacymark.jp/wakaru/kouza/theme5_02.html
Webサイトでは利用者個人を特定できる個人情報を収集することも多いため、利用規約などに上記の項目を記載するケースは多くあります。一方、「IoTから取得するデータには本人の氏名や連絡先、住所などの情報が含まれることは少ないため、個人情報にあたることはないのでは」と考える方が少なくありません。
しかし、例えば、IoTを応用したGPSトラッカーなどの位置情報や、ネットワークに接続したIoTのカメラで撮影した画像など、他の情報と組み合わせることで個人を特定できる情報も存在します。そのため、IoTから収集したデータであっても個人情報保護への十分な配慮が求められるのです。IoTで個人情報を収集する際、具体的に気をつけておきたいポイントとしては、以下の3つの項目が挙げられます。
・IoTで収集する個人情報に対して、ガイドラインに沿った内容で利用者の同意を得られているか
・IoTから収集したデータと、それ以外のデータ組み合わせると個人を特定できる可能性がないか
・IoTから収集したデータは適切に加工、匿名化されているか
IoTの構築にあたっては、個人情報保護の観点から上記のポイントがきちんと押さえられているかを確認し、ユーザーから得た個人情報を適切に管理・運用していくことが求められます。
企業や組織・団体においては今後、上記のポイントを踏まえたうえで、個人情報を収集・利活用することがますます重要となってくるでしょう。