漂流するプライヴァシー「わたし」は取り戻せるのか？

経済価値に向けて彷徨う個人データ

「わたしたちのオンライン生活は、現在、プロヴァイダー中心のシステムで動作している。プライヴァシーポリシーは個人よりむしろ、プロヴァイダーや第三者の利益に役立つ傾向にある。収集したデータを使用して、広告ネットワーク、ソーシャルネットワークプロヴァイダー、およびほかの企業アクターは、ますます完全な個人プロファイルを構築することができる。これにより、個人が自分の権利を行使し、個人データをオンラインで管理することは困難となっている。より人間中心のアプローチが必要とされている。個人データがどのように収集され、共有されているかを制御するためには、個人に権限を与える必要がある」

ジョヴァンニ・ブッタレリ（欧州データ保護責任者）、「新しい現実に向けて：オンライン・アイデンティティのコントロールを取り戻す」（2016年10月）

データ資本主義（インターネット経済）は、ユーザーに無料のサーヴィスを提供するビジネスモデルによって推進されてきた。長年にわたり、個人データの経済的価値は、その情報フローを制御する少数のIT巨人によって独占されている。膨大な個人データ（ユーザーの購入習慣、ブラウジング履歴、ロケーションデータなど）は、インターネット巨人によって採掘・観察され、ターゲット広告や人工知能（AI）開発の原資として利用された。

フェイスブックとグーグルを名指しで批判する動きがさらに加速している。2018年1月25日、スイスのダボス会議（世界経済フォーラム）で講演した米国の投資家ジョージ・ソロスは、両社を世界の「革新の障害」であり、人々の社交環境を悪用する凶悪な企業と語り、「人々の注意を商業目的に向けて操作し、彼らが提供するサーヴィスは意図的に中毒状態をつくることでユーザーを欺いている」と断罪、「インターネット巨人が存続できる時間は限られている」と示唆した。

2017年11月、フェイスブックの初期投資家であったロジャー・マクナミーはフェイスブックとグーグルを公衆衛生上の脅威と表現した。ソロスが「革新の障害」と語ったのは、ワールドワイドウェブの発明者であるティム・バーナーズ・リーの言葉をエコーしたものだった。さらにセールスフォースのCEOマーク・ベニオフは、フェイスブックはタバコ会社のように規制されるべきだと語った。

こうしたIT巨人への批判が沸騰するなか、彼らに個人データを渡してきたユーザー側でも内省がはじまっている。ユーザーが自らの個人データを管理し、経済的な利益を実現するための個人データ交換（PDE）や個人情報管理システム（PIMS）には、プライヴァシーを尊重する新しいテクノロジーインフラの構築が必要とされる。今日、多くのプラットフォームはユーザーの行動追跡アルゴリズムによって、個人データから莫大な経済価値を引き出す方法を成熟させ、ユーザー監視を続けている。

技術の規制に対する苦悩

「プライヴァシーの死」を受け入れる人々は、「自由の死」までを受け入れるのか？ プライヴァシーの死を楽観化する文化的傾向は、あらゆる環境のデジタル化によって、より大きなプライヴァシー侵害を引き起こす可能性がある。IoT市場は毎年約30億個の新しい接続デヴァイスを生産すると予測されており、各デヴァイスには機密情報や個人情報を収集する可能性のあるセンサーが設置される。

政策と規制は技術に追いつくために苦悩する。新しい技術やアプリケーションを規制する努力は、通信規制当局、データ保護機関、政府部門の間でますます不安定になる。誰もが、いまある困難な質問について賢明で合法的な決定を下す自信はない。

個人データを原資とするAI（人工知能）からの潜在的利益は膨大で、わたしたちはすでに、スマホや家庭で毎日多くのAIを使用しており、その活用は、ほぼすべてのビジネス分野に及ぶ。AIは公共サーヴィスでも使用され、欧米の地方議会は政策立案にも使用している。機械学習を使用してどの犯罪者が再犯するかを予測する保護観察サーヴィスも存在する。駐車違反や公衆衛生上の違反、犯罪者を特定するなど、AIはいまや公共の利益を促進する。医療機関の多くの分野ではAIによる診断ツールが使われ、AIがドライヴァーや外科医となって、より倫理的な決定を下す可能性があることも否定できない。

しかし、リスクの規模も甚大である。アルゴリズムの使用とヒトの人生への影響には大きな非対称性がある。この非対称性が、悪用や搾取の対象となるからだ。

誰が自殺しているかを予測するフェイスブックのアルゴリズムなど、アルゴリズムの決定の背後にあるデータを検証する権利も定まっていない。ヒトの顔の分析に基づいて、誰がゲイであるかを予測するプロジェクトの可否を誰が決めるのか？ 高価な医療オプションやフェイクニュースを推奨する企業が、アルゴリズムにバイアスをかけ、手作業で整形するのを防ぐ手段はあるのか？ 運転手のいないクルマや医師が不在の医療機関でも、AIが事故を起こしたときに誰が責任を負うのか？

AIが倫理的な決定を下す方法をどう監督できるのか？ 金融市場におけるAI主導の高頻度取引を公認するのか？ あるいは、AIベースのボットが人間であるか否かを自問することはできるのか？ 誰もまだこれらに決定的な答えを持っていない。しかし、IEEEやACM（米計算機学会）、オックスフォード・インターネット研究所などの組織からの提案をもとに、どのような原則が答えを導くべきかについて活発な議論が行われている。米国では、AI Nowやライアン・カロのような学者が議論を開始している。

GDPRは、自動化された意思決定に関し、データ主体が「AI論理に関連する有意義な情報、および計算処理により予測されるデータ主題の想定される結果」にアクセスする権利を有することを約束している。

プライヴァシーの喪失を求めるビジネス

技術主導のリスクに対応して、わたしたちは自身のプライヴァシー保護やオンラインアイデンティティに関連した代替手段を緊急に考慮する必要がある。例えば仮名によるオンラインでのやりとりもひとつの可能性だ。プライヴァシーを保持する仮名識別システムでは、ヴェンダーはユーザーの身元を検証することはできるが、その対話は必要最小限の情報しか明らかにしない。例えば属性ベースの信用状などの技術では、年齢やその他の個人情報を明らかにする必要はなく、顧客が18歳以上であることをヴェンダーに証明することができる。

しかし、新しい経済モデルにとって、これらのシナリオは敬遠される。いわゆるシェアリングエコノミーは、ユーザーのオフラインとオンライン生活とを融合させ、ユーザーとモノの両方に固定のアイデンティティを求める。特定される個人の「評価」がシェアリングの価値判断に必要だからだ。これを突き詰めていくと、プライヴァシーの喪失が将来の協働経済や労働市場に参入する際の前提条件か否かという、新たな問いまでを提起する。

データの可搬性とは何か？

GDPRで最も革新的とされるのが、「データポータビリティ（データ可搬性）」の権利である。データの可搬性とは、データ保護の権利とその他の法律分野（競争法）との交差において、知的財産権や消費者保護の観点からも重要な意味をもつ。したがって、ユーザ中心のプライヴァシー強化技術の開発と普及を促し、個人がデータ経済における重要な富を享受できるようにする最初のツールといえる。

個人データの移植性の最初の参照事例は、電話番号の事業者間移転だった。新たな事業者への乗り換えが元の事業者の妨害なしで実行できる電話番号の移植性（ナンバーポータビリティ）は、データ可搬の理論的かつ実際的な先駆けだった。GDPR起草段階におけるデータ可搬性の基本的権利を要約すれば、ほぼ次のようになる。

1. データ主体は、一般的に使用される電子的および構造的な形式で処理される個人データのコピーをコントローラーから入手できる。
2. データ主体が個人データを提供し、その処理が同意または契約に基づいて行われる場合、データ主体によって提供され、かつ自動的な処理によって一般的に使用される電子フォーマットに基づいて保持される個人データは、コントローラーからの妨害なしに取り出し、その他の情報システムにおいて使用することができる。
3. 欧州委員会は、第1項に規定する電子形式及び第2項に規定する個人情報の伝達のための技術基準、様式及び手順を特定することができる。

GDPRの細則を検討するワーキンググループであるWP29(データ保護指令第29条に規定されている作業部会)は、この新しいデータ可搬性の考え方に関する初期のコメントにおいて、これは「データ保護権」だけでなく、より経済的な権利であるべきだと強調した。さまざまな状況において、ユーザーが機械読み取り可能な形式で個人データに直接アクセスできるようにすることで、大企業とデータ主体/消費者間の経済的な非対称性を是正することができる。また、大規模なデータによって作成された富を共有し、開発者に追加の機能やアプリケーションを提供するインセンティブを与えることもできるというものだった。

可搬できる「個人データ」の解釈

WP29は、当初個人データの「完全な移植性」の可能性を強調していた。データ主体に力を与え、デジタルサーヴィスからより多くの利益を得ることを可能にし、顧客がより簡単にプロヴァイダーを切り替えることを可能にすることで、より競争の激しい市場環境を促進（例えば、オンラインバンキングやスマートグリッド環境のエネルギー供給業者の場合など）することができる。顧客の要求と同意に基づいて、ユーザーのデータにアクセスできる第三者による追加の付加価値サーヴィスの開発にも貢献できるからだ。この観点から、データの可搬性は、データ保護だけでなく、競争と消費者保護の双方に重点が置かれていた。

さらに、欧州データ保護監督機関は、2015年のEUデータ保護改革に関する勧告において、データ可搬性を戦略的要素とみなしてきた。特に、個人データの移植性は、「ユーザーが現在不足していると認識しているユーザー・コントロール」と考えられていた。したがって、データの可搬性の権利の有効性には広範な適用範囲が求められ、データ主体が提供する個人データとは、ヴェンダーの処理操作にだけ適用されるものではないことを示唆した。

GDPRは、個人データをすべてのデジタルサーヴィスに可搬できる可能性を示している。実際、あるコントローラーから別のコントローラーへの個人データの自由な移植性は、デジタルサーヴィスの競争とプラットホームの相互運用性を促進し、個人データの制御性を高めるため、データ主体にとって強力なツールとなる。しかし、あと2カ月に迫ったGDPRの本格施行におけるデータ可搬性の権利の定式化は、さらなる明確化が急務である。特に、権利の目的と他の権利との相互関係に関しては、いくつもの異なる解釈が可能であり、技術的実装においてもさまざまな課題が残る。

例えば、GDPRの最終版では、個人から「提供された」データの移植性には一定の制限が設けられている。つまり、デジタルサーヴィス・プロヴァイダーの知的作業（複雑なアルゴリズムを使用してユーザーについて推測するデータ）が合法的に開示されることには言及していない。これは、データ・コントローラーの知的財産に対する保護手段であり、競争力のある他のプラットフォーム企業に無料で彼らの作業データは提供されないということだ。

では、どのようなデータが移植可能なのか？GDPRにおけるデータの可搬性は、データ・コントローラー（データを使用する組織）に当初「提供した」個人データにのみに適用されるということだ。

個人データは企業の知的財産か？

この制限は、企業が間接的に取得するすべてのデータを除外する。本来、ユーザーには、企業の指示に従っているすべてのプロセッサーからデータを取得する権利があるとの見解もある。今日の個人データは、単一の事業者に留まることはない。最終的なGDPR規則では、個人は第三者がそのデータを持っていることを知ったとしても、第三者が保持するデータの移植性の権利を持たない。

この制限には、元のデータから導出されたデータ（データ履歴に基づいて個人の病歴またはプロファイリングを提供した人の健康分析など）も除外される。これは2013年のWP29の理想主義的答申──データ主体/消費者に意思決定（アルゴリズム）の論理に基づいた彼らの「プロファイル」へのアクセスを与えるべきであるという意見から後退した結果である。これは正当な事業利益と個人の権利とのバランスをとる必要性から、現状ではおそらく避けられない制限だった。ビジネスの知的財産と付加価値は、企業のアルゴリズムがデータを巧みに活用することから得られるからだ。

しかし、制限はここで終わらない。個人データの処理に関わるほとんどの企業は、個人が個人情報を記入する場合、データの「提供」は、「データ主体が積極的かつ意図的に提供する」データとして解釈したいと考えている。「提供者のデータ」は、心拍数モニタ、ウェブサイト検索履歴、またはオンラインサーヴィス上の取引などの個人の活動の観察から生じる。

欧州委員会は、WP29が「データ・ポータビリティ」をあまりにも広範に解釈し、彼らの「指針は立法プロセスにおいて議員の間で合意されたものを超えている可能性がある」と判断した。当初データ・ポータビリティは、主にソーシャル・ネットワーク間の個人データの移転、つまり電話番号移転と同様な概念であると考えられていた。

上述のさまざまな問題は、GDPRが法廷での解釈を待つまで解決されない可能性がある。WP29の示すガイドラインには法的拘束力はないが、2018年に欧州のデータ保護委員会によって改変され、EU全体でのデータ保護法の適用の一貫性については、最終版のGDPRが法的責任を持つ。その法解釈は正当性を前提にしている。

個人データの「提供」と「奪還」をめぐる課題

「生産の源」という概念に基づいて、新しいデジタル経済の企業がさまざまな方法で個人のデータを取得できることを考えると、企業にとっての個人データとは、それを受け取ってからの観察、推論または予測による付加価値である。一方で、受信および観察データはデータ主体から直接取得されるが、推論や予測の個人データ（例えば、データマイニングを介して）などは、企業が「生産」するという判断だ。

より具体的には、データ・コントローラーがユーザーから「受け取る」個人データは、ユーザーによって活発に（しばしば自発的に）提供されたと解釈される。データ・コントローラーが「観察する」個人データは、例えば、クッキー、GPS、生データの単純な組み合わせなどによって取得されるもので、それらは元の個人データに付加された価値を生み、明示的に個人には開示されない企業秘密となる。

上記の解釈には、「コントローラーに提供されるデータ」の定義において「受信データ」のみが含まれる。広範な解釈では「受信」と「観測」の両方のデータが含まれているが、「提供された」という表現はより限定される。どちらのオプションについても、議論と反論がある。

制限的な解釈の別の議論では、データ・コントローラーがデータの移植性に対する幅広い権利を遵守するという具体的な実現可能性である。関連するすべてのデータ（メタデータ、位置データなど）を個人に返還することは、データ・コントローラーにとって不都合で高価なリスクがあると主張される可能性もある。しかし、データ可搬性のこれらの「不合理なコスト」が具体的に存在すると仮定しても、それらはデータ・コントローラーによって完全に履行されるべきであるという意見も根強い。同時に、そのようなコストが事業を行う権利を脅かすほど大きくなる場合は、GDPRでは移転権が権利と自由に悪影響を与えてはならないことを明確にする一般的な均衡条項（GDPR第20条（4））も既に存在する。

この新しい権利の体系的な解釈をめぐっては、さまざまな課題と可能性が内在している。重要な一点は、この新しい法的条項を機に、デジタル単一市場に関するデジタルユーザーの基本的権利や相互関係を可能な限り活用することである。現在、欧州委員会とEUは、GDPRを現実的に補完するためのプロジェクトを開始している。

オンラインで生成された個人データの保管、管理、使用方法をより詳細に制御できる新技術の探索と、アムステルダムとバルセロナでの都市実証実験を含む欧州委員会の資金提供プロジェクトが「分散型市民所有データ・エコシステム」である。

TEXT BY MITSUHIRO TAKEMURA

ILLUSTRATIONS BY SUMMER HOUSE