昨今、積極的にデータ活用の取り組みを進め、事業の成長につなげる企業が増える一方で、個人情報の扱いに対する考慮不足のために炎上する事例も散見される。「その明暗を分けるのは、セキュリティとプライバシーについて本質的に理解しているかどうか」――そう語るのは、ガートナー ジャパン バイス プレジデント/アナリストの礒田優一氏だ。

7月12、13日にオンライン開催された「ガートナー データ&アナリティクス サミット」に登壇した礒田氏は、データ活用を推進する上で押さえておくべきセキュリティとプライバシーの本質について、トレンドを交えて解説した。

セキュリティとプライバシーの違い

「セキュリティとプライバシーは互換性があるのでごちゃ混ぜになることがあるが、本質的には意味が違う」と礒田氏は説明する。セキュリティは、個人情報が漏洩しないように保護することであり、プライバシーはそもそも他人に知られたくないこと、私事である。ポイントは、プライバシーにはセキュリティが施されていることを前提とし、さらにその扱いに着目しているということだ。ここで言う「扱い」とは、「(個人情報取得の)同意を得る」「目的外の利用はしない」「処理の透明性を高める」「匿名化する」といった一連の対応やそれを実現する仕組みを意味する。

では、個人情報とは何か。とっさに思い浮かぶのは氏名や住所といった情報だが、それだけに留まらないより広い概念であり、「プライバシーが不要だと言うなら、それは動物とあまり変わらないと言っているのに等しい。だからこそ、プライバシーは基本的人権に位置付けられて守るべきものとされてきた」(礒田氏)という。

世界各国の法規制の動向

データ活用を進める際に必要なデータのセキュリティ/プライバシーを考えていく上では、まず各国の法規制の動向を押さえておく必要がある。

EUにおいて、「データ保護指令(Data Protection Directive 95)」が採択されたのが1995年のこと。その後、2018年に「一般データ保護規則(GDPR:General Data Protection Regulation)」が施行されたことをきっかけに、個人情報保護法の整備に向けて世界が本格的に動き出した。

「こうした潮流を踏まえると、GDPRがデファクトスタンダードと言えます。法律の話なので法務の案件ですし、法律の専門家の助言を受けて判断する必要がありますが、場合によっては皆さんから法務に能動的に聞かなければならないケースもあるので、主なトレンドはつかんでおくことが必要です」

礒田優一氏

ガートナー ジャパン バイス プレジデント/アナリストの礒田優一氏

日本では近年、就職情報サイト「リクナビ」を運営するリクルートキャリアが内定辞退率の予測データをクライアント企業に提供していた事案や、LINEアプリのユーザー情報に海外の開発子会社からアクセスできる状態だった事案などが報道され、物議を醸した。企業にはより誠実で透明性ある対応が求められるようになり、公開されるガイドラインに注目が必要となる。

一方、GDPRが施行されて3年経過したEUでは、違反による制裁の事例は日に日に増えているものの、まだ曖昧な部分が残っているという指摘もあるという。米国では2020年にCCPA(カリフォルニア州消費者プライバシー法)が施行され、さらに2023年にはこれを改正した「CPRA (カリフォルニア州プライバシー権利法)」の全面施行が予定される。中国やインド、シンガポールなどでも法規制は発展途上にあるため、引き続きキャッチアップが必要だ。

このように、世界各国においてさまざまな法律があるなかで、個人情報の保存場所はどこが良いのだろうか。クラウドならばリージョンはどこを選択すればよいのか、暗号化は必要なのかといった疑問が浮上する。

「弁護士に相談したら『(データを扱う)各国や地域に保存すべき』とアドバイスされたという企業もあります。法律面の安全策をとれば、その通りです。ただ、なるべく統合して合理化したいという経済合理性の側面もあります。この辺りは『データレジデンシーの議論』と言われています」(礒田氏)

いろいろな視点があるために複雑な議論になっているのがこの領域だが、なかでもトレンドを押さえておくべきテーマとして礒田氏は「データ流通」と「越境データ」を紹介した。

データ流通

世界には自由なデータ流通を促す動きと、その逆の動きがある。従来、日欧のデータ流通については、(GDPRの)十分性認定の相互認証、米国と欧州の間ではプライバシー・シールドで担保されていた。だが、2020年7月、EUにおいてプライバシー・シールド無効の判決が下されたことにより、企業は特例やSCC(Standard Contractual Clauses:標準契約条項)など、(国を超えた個人情報の移転が可能となる)ほかの根拠を探さななければならなくなっている。

一方、日本では、なるべく自由なデータ流通を前進させようという動きがあり、「CBPR(Cross Border Privacy Rules)のような枠組みもその一つ」(礒田氏)だという。

また、中国やインド、ロシアは、自国の法律でデータローカライゼーションを強める動きがあり、そうした国はある程度別で考えなければならない。いずれにせよ、今後も継続して検討される発展途上の課題であるため、動向には目を向けておくことが必要だろう。

越境データ

「これまでは越境データに対する制裁の事例や判例はあまりなかったが、これは参考事例になる」とし、礒田氏が紹介したのがAWSのデータ保護に関するフランスの判例だ。

フランス 判例

AWSのデータ保護に関するフランスの判例/出典:ガートナー(2021年7月)

「EUは、米国政府の過度な監視に懸念を持っており、これがプライバシー・シールド無効の判決にもつながっています。AWSを使うことに対しても、欧州では気にする人もいるのでこうした訴えが起きていますが、裁判所はここに書いてあるような理由で原告の訴えを却下しています。つまり、過度に疑心暗鬼になる必要はないが、説明責任は問われるので、どう説明するのかロジックを組み立てておくことが重要です」