- GAFA等巨大IT企業に集中する個人データ一般データ保護規則(GDPR)
- 日本で「情報銀行」という概念が生まれた歴史的背景
- 情報銀行の誕生でビジネスはどう変化するのか
- 情報銀行の歴史はまだ始まったばかり
少し前までなじみのなかった「情報銀行」という言葉を、新聞や雑誌でよく目にするようになりました。情報銀行の英語名称を「Personal Data Trust Bank」とすることも正式に決まりましたが、その存在を深く認識している人はそれほど多くないのではないでしょうか。
個人データを各個人の許容する範囲で企業に提供し、その対価を個人に還流させる情報銀行の誕生と、GoogleやFacebookといった「GAFA」と呼ばれる巨大IT企業とは切っても切り離せません。EU(欧州連合)のGDPR(EU一般データ保護規則)が誕生するなど潮目が大きく変わり、時代の変化のなかで情報銀行は産声を上げました。
情報銀行が日本に根付き、幅広い国民が情報リテラシーを高めて個人データの活用を進めることで、日本の経済成長にも国民一人ひとりの利便性向上にもつながります。他方、浸透が進まなければ個人データをうまく活用する欧米中に席捲され、経済成長の機会が失われる可能性とともに、個々人の生活利便の向上機会も失われるかもしれません。今回は情報銀行の歴史をひもとくとともに、情報銀行の意義や今後についても見ていきましょう。
GAFA等巨大IT企業に集中する個人データ一般データ保護規則(GDPR)
情報銀行を語る上で避けては通れないのがGDPRの存在です。GDPRとは、EU(欧州連合)が外部への個人データ持ち出しを制限する目的で設けた規則のこと。欧州市民のプライバシー保護が目的で、個人データの保管などに対する安全管理措置の実施、EU域外へのデータ移転の原則禁止などが定められています。2016年に制定され、約2年の準備期間を終えて2018年5月に施行されました。GDPR施行から半年あまり経った2019年1月、フランスのデータ保護当局CNIL(情報処理と自由に関する国家委員会)はGoogleに対し、GDPR違反を理由にした5000万ユーロ(約62億円)の制裁金の支払いを命じました。施行後初の制裁金命令について、一部の専門家はGAFA等巨大IT企業への宣戦布告と受け止めました。GDPRは、情報漏えいを起こすと最悪の場合、全世界売上の4%または2000万ユーロ(約24億円)の制裁金を科すとしています。日本企業であっても、EU域内に事業所を展開していたり、EU域向けサービスを提供していたりすると、GDPRの規制対象になります。また、EUに拠点を設けていなくても、EU圏内の人からメールアドレスなどの情報を集める際には注意が必要です。
巨大IT企業が個人データの世界を席巻する
GAFAなど巨大IT企業の収益源の多くは広告費です。こうした企業は検索やインターネット交流サイト(SNS)といったサービスを無料で提供する一方、ユーザーが意識しないまま各ユーザーの利用履歴を使って広告などを配信し、利益を得てきました。たとえばFacebookは2018年1月~12月期に550億ドル(約6兆円)の広告収入を得ましたが、売り上げはほぼ広告収入です。コストがあまりかからない体質のため、この間の純利益は220億ドル(2.4兆円)。もちろん、この広告収入の中には日本の企業から得たものも含まれます。そして、広告収入を稼ぐ原動力となった個人データ(利用履歴など)の中にも、日本人のものが多く含まれることも言うまでもありません。これらの状況から、個人データは金を生む源泉とみなされ、「現代の石油」という言われ方までするようになりました。
GDPR施行で潮流が変わる
そんなGAFA等巨大IT企業に対し、EUがGDPRによって「待った」をかけたのです。GDPRの正式名称は「General Data Protection Regulation」。日本語訳の「一般データ保護規則」と対応しています。そこに個人(personal)という言葉は見られませんが、「個人を識別できる情報、または複数を組み合わせることで個人の識別ができる情報」をすべて保護対象としており、日本人が「個人データ」と聞いてイメージする範囲よりも幅広いデータが対象になります。具体的な保護対象としては氏名や住所、メールアドレス、クレジットカード情報や遺伝子的情報といったいわゆる個人データだけでなく、IPアドレスやCookieなどオンライン上での識別子も含まれるのです。 GDPRによる初制裁となったGoogleへの制裁理由は、主に情報提供の仕方と同意の取得方法に関するものでした。Googleによるデータ主体(個人)への情報提供が十分でなく、透明性が認められないと判断されたのです。つまり、個人データを取得する際に、各個人に利用目的などを適切に告げなければいけない義務を果たしていなかったのです。個人データを取得する際に、デフォルトで同意することになっており、データ主体(個人)の明確な同意に基づいていなかったことが制裁理由となりました。GDPRの保護対象はEU圏内の国民ですので、その国民の情報を保管する企業はたとえ海外の企業であってもGDPRの対象になります。つまり日本の企業も対象になっているのです。日本の企業も含めた多くの企業が、Cookieなどのデータの使用について利用者の同意を得ることを告知するようになり、さまざまなサイトで利用許可を求めるようになっているのはこのためです。
日本で「情報銀行」という概念が生まれた歴史的背景
日本で情報銀行につながる議論が本格的に始まったのは、2012年のGDPRの規制案公表の翌年。2013年6月の、政府による「世界最先端IT国家創造宣言」からです。国民が安全で安心に、そして快適に暮らせる社会の実現に向けて、官民データの活用を目指した議論が始まりましたが、当初は「情報銀行」という言葉はありませんでした。「情報銀行」という言葉が政府内で初めて出てきたのは2016年9月、内閣官房の「データ流通環境整備検討会」でのことです。この時になってようやく、「個人に代わって個人データを保管し、個人の条件の範囲で個人データを提供する」という今の情報銀行の概念が定まりました。そして、巨大IT企業の個人データの独占とその活用による巨額の富の集積という現実が多くの人にみえるなか、情報銀行の議論は急速に深まり、一部では事業化されて多くの企業が実証実験をするに至っています。
高まる個人データ活用への関心
日本の情報銀行は「個人データを守る一方で積極的に活用することで経済にも個人にもメリットをもたらそう」という考え方です。情報銀行の目指すのは、誰しもが豊かな生活を享受できる世界なのです。しかし、巨大IT企業の利益や個人データ流出事件だけでなく個人データが価値あるものだという現実に気づき、政府や企業だけでなく、多くの人も個人データへの関心を高め始めたのです。
改正個人データ保護法が施行
銀行や電力会社などの企業が膨大な個人データを集積しながらもその活用に積極的ではなかった日本にあって、個人データ活用に向けて企業の背中を押したのが、情報を匿名化すれば積極的にデータを活用できるようにした2017年5月施行の改正個人情報保護法です。この法改正により、氏名や住所、連絡先といった個人データだけでなく、パスポート番号や運転免許証番号といった個人ごとに違う文字や番号、他の情報と照合することで簡単に個人を特定できる購入履歴や移動履歴も個人データに含まれることになりました。これだけなら、個人データを保護するだけのことになりますが、この法改正では特定の個人を識別できないように個人データを加工し、個人データを復元できないようにした情報を「匿名加工情報」と定義し、第三者への提供を可能にしました。匿名加工情報の集積はビッグデータとなり、うまく解析されたビッグデータのすさまじい情報量はテレビ番組などで見られる方も多いと思います。情報銀行は個人データを本人の示した条件に応じて第三者に提供するだけではありません。改正個人情報保護法によって、膨大な情報をビッグデータに加工することで企業のニーズに応えることができるようにもなったのです。
情報銀行の誕生でビジネスはどう変化するのか
情報銀行は、GDPRと同様、個人データ保護の必要性が重要視される世界の潮流のなかで生まれましたが、その目的には個人データの保護だけでなく、その有効活用を目指すという側面も含まれています。日本は全般的に個人データの活用に慎重であるため、多くの個人データが集積している銀行や電力会社などの企業は、その活用について積極的ではありませんでした。日本でもIT企業の多くは個人データをターゲティング広告に利用していますが、IT企業がもつ個人データは世の中にある膨大な個人データの一部に過ぎません。今は活用されていない膨大な個人データが情報銀行に集まって活用されれば、さまざまなビジネスなどに活かされることが期待されます。
情報銀行によって中小企業にもチャンスが
企業にとって、個々人の行動をより深く知り、ニーズに気づき、ニーズに応えるサービスを提供することは発展のための重要なポイントです。そのためには個人データは欠かせません。そして、個人データの流通の基盤となろうとしているのが、個人から情報を預かり必要とする企業に提供する、つまり情報の出し入れをする情報銀行になります。情報銀行は膨大な個人データを、年齢や地域、興味関心などさまざまな区分で切り分けて提供できます。つまり、狭い地域を営業範囲としていたり、範囲は広いが興味関心をもつ人が少ない事業を行なっていたりする中小企業などにとって、ネット検索でキーワードを入力して検索結果を絞り込むように、情報銀行が持つ膨大な個人データから関係のある個人データだけを取り出して活用できるようになるということです。情報銀行から得られる個人データは、各個人の了承した範囲の情報です。つまり、各個人は自分にフィットしたモノやサービスの提供が受けられることを期待して自らの情報提供を認めているのです。ですから、情報提供を受けた企業によるサービスなどの提案にもメリットを感じる可能性が十分にあり、企業の提案したサービスなどを購入する可能性が十分にあるというわけです。
歴史を振り返れば独占は是正されてきた
巨大IT企業によって独占的に利用されてきた個人データは、GDPRによって是正されようとしています。歴史を振り返ると、市場などのあらゆる独占は法律によって排除されてきました。 日本の独占禁止法は戦後直後の1947年の制定ですが、欧米では同様の法律が以前から存在し、カルテルやトラストいった一部企業の横暴を是正してきました。日本の独占禁止法の目的は「公正かつ自由な競争を促進し,事業者が自主的な判断で自由に活動できるようにすること」。一部企業による独占は「その他多くの企業の活動を阻害し、消費者が利益を得る機会を奪うことになる」として今も排除されています。独占禁止法の対象に「情報」はありませんでしたが、市場の独占と同じようにその他多くの企業の活動を阻害し、消費者の利益を得る機会を奪う。このような判断がEUにもあり、GDPRによって厳しく規制されることになりました。
情報銀行の歴史はまだ始まったばかり
日本の情報銀行は、個人データを守りつつ活用し、経済と個人の生活の活性化を図ることを目指すものです。そんな目論見がうまく進むかどうかは、自らの個人データに対する国民の意識向上、そして情報セキュリティの向上や企業のモラルなどにかかっています。情報銀行の取り組みは、ある意味で私たちの生活を豊かにするための未来への投資ともいえます。まだ始まったばかりの情報銀行の歴史ですが、今後よりよい未来へ向かって歩みが進むよう、見守っていきたいところです。
