私たちのデータは誰が使っているのか──言うまでもなく、パーソナルデータに関する主要な論点の一つです。

パーソナルデータの取得と利用を考える際に、目的と並んで大前提となるのが、その主体であるということは、本連載でも繰り返し指摘されてきました。実際、そうした基礎的な問題意識を踏まえて、同意取得の形態や、適正なデータの管理に関する議論が、深められています。

一方で、今回のテーマで取り扱ったのは、「私たちのデータはどこで使われているのか」という設題です。前述の「誰が」という問題意識とは、近似するものの微妙に異なっています。

WWWを中心としたインターネットの高度化は、モバイルブロードバンドとクラウドコンピューティングという実現手段によって、いま世界中で大きく花を咲かせています。モバイルの発達は、私たちの様々な情報のやりとりに用いられ、クラウドがそれらのデータを大規模に収集することで、さらなるサービスの付加価値を高める。そうしたサイクルの中に、私たちの生活は立脚し、またある面では依存しはじめています。

このクラウドコンピューティングの高度化は、世界的な分散環境におけるデータ処理という形で、現在具体化しています。平たく言えば、自分に関するデータが、いまどこにあってどのように使われているのかが分からない、という状態が発生している、ということです。

インターネットだから、あるいはクラウド時代なんだから、そんなことは当たり前だ、という主張は、一見するともっともらしいものです。しかし逆に、インターネットやクラウドコンピューティング【以外】で、自分に関するデータ（をはじめとするサービスの材料）がどこにあるか分からないということが、どの程度ありうるのか。そう問いを立ててみると、まだあまり一般的な状態だとは言えないはずです。

これは消費者のみならず、事業者にとっても重大な問題と言えます。消費者も事業者も、通常であればどこかの国・地域の法律の下に位置づけられることで、成立しているはずです。しかしそれを判断するための基礎となる「サービスの実態」や「サービスを構成する要素・要件」が、いまどこで成立しているのかが分からないというのは、法律の側もなかなか想定しきれないはずです。

たとえば、クラウドサービスに格納された個人情報の取扱いについて。日本の現行法に照らすと、委託なのか、そうでないのか、あるいは第三者提供や共同利用等の別スキームの出番なのか。事業者間の契約の在り方や、規制当局の法執行も含めて、突き詰めて考えていくと、見解は揃わず、また参照すべき法令をはじめとした根拠も脆弱に見えます。

インターネットやクラウドを普通に使っている人にすれば、あまりに単純すぎて、どこが問題なのか思い至らないほどかもしれません。しかしその単純すぎる問題が、結局ここまで正しく解決されずに来ているというのが、現実でもあります。そしてそれを浮き彫りにする一つの大きな材料が、パーソナルデータと言えます。

この「単純だが解けていないもう一つの重大な問題」について、本文でも指摘のあった通り、現在国際的なフレームワークの整備が進んでいます。そして日本の個人情報保護法改正も、その整備に対応することを目的の一つとして、推進されています。もちろんそれらも、他の検討課題と同様に、常に揺れ動く標的を狙うが如き作業となるでしょう。しかしそうした試行錯誤を経て、合意形成がなされていくのだと思われます。

まずは今年度、APECのCBPRs（Cross Border Privacy Rule system）が、早ければ年内にも大きく進むことが期待されています。そして欧州を巡る動きも、今年から来年にかけて動くでしょう。こうした海外の動きと日本が、どのように対峙するのか。法改正が決着したあとも、特に事業者は引き続き注目すべきでしょう。