WirelessWire News The Technology and Ecosystem of the IoT.

by Category

なぜ私たちには「忘れられる権利」が必要なのか? ・中編 【対談】KDDI総研・高崎晴夫氏、東京大学・生貝直人氏

テーマ4:「忘れられる権利の理想と現実」

2014.10.28

Updated by 特集:プライバシーとパーソナルデータ編集部 on October 28, 2014, 12:30 pm UTC

検索エンジンをターゲットとした「忘れられる権利」は、データそのものの削除ではなく、データへリンクをさせないことで、現実的な運用を可能としている。しかし一方でデータそのものが残存することで、プロファイリングへの対応という新たな課題が生じている。インターネットの利用スタイルがソーシャルに移行した中で、「忘れられる権利」というキーワードが喚起するデータやプロファイリングへの対峙は、新たな局面を迎えつつある。

「忘れられる権利」が生まれた背景の深層と、現在議論されている課題について、この分野におけるエキスパートであるKDDI総研 主任研究員・高崎晴夫氏と東京大学情報学環特任講師・生貝直人氏による対談の中編をお送りする(司会進行:JIPDEC)。

201410281230-1.jpg

自分に関係ないデータのせいで自分の人生が変えられる危険

──SNSを中心に、自ら情報を発信するというパラダイムは、消費者にとって楽しく便利なものだという認識が広く浸透しました。それを受け入れれば、消費者(あるいは市民)はパブリックな言論空間で自由に発言できます。一方で、言えば言うほどプロファイリングによってプライバシーが侵害されていくことにもなります。

生貝:プロファイリングという行為そのものを止めること、あるいはその状況すべてを明らかにすることというのは、組織内部の様々な情報処理や企業秘密などにも密接に係わるので、画一的な基準を作るのはかなりハードルが高いものです。

EU指令ではプロセッシング(データ処理)自体に規制をかけるという形式をとっているので、プロファイリングという行為自体に対する規制の選択肢はあります。しかし海外の議論などを見ている限り、むしろ「それに基づいて行われる決定」をいかに規制対象とするかというのが、より重要な論点になっている理解しています。

例えば、あの人はインターネットで検索してみると同姓同名の犯罪者がいるとか、ネット掲示板の書き込みよると不誠実な人間らしいとか、SNSの履歴をたどると子供の頃に悪さをしていた、というようなプロファイリングが行われたとします。こうしたプロファイリング自体、incorrect(=不正確)、あるいはirrelevant(=不適切)な個人データ処理であり、EUデータ保護指令上のひとつの問題にはなり得ます。しかし特に問題になるのは、そうしたプロファイリングに基づく誰かの「決定」により、保険料がすごく高くなったり、就職できなかったり、突然に解雇されたりといった、具体的な不利益が生じる場合です。こうした具体的な不利益への対応こそが、現実的かつ喫緊だという問題意識です。

===

自分には判らない「潜在的な名誉毀損」にどうやって抗うか

──サイバー・カスケード(※脚注1)のような明示的なインシデントではなく、表からは見えないけれどプロファイリングしている人にはわかるという形で、いわば「潜在的な名誉毀損」のような状態です。それが当たり前になってしまとしたら、それは深刻ですね。

生貝:人間をプロファイリングする上で、情報の元として検索エンジンやSNSは非常に重要なツールになっていますから、プロファイリングの情報の入口として、検索エンジンに関しては「忘れられる権利」がクローズアップされていて、次はSNSをどうするかが問題となるかもしれません。一方、プロファイリングの出口側、つまりそれに基づく決定による具体的な不利益への対応も、急いで考える必要がある。両面から考えていくべきなのでしょうね。

高崎:プロファイリングに用いるデータをどういう方法で入手したのかということ、プロファイリングに基づいてどのような決定を下したのかという出口を抑えるというのが基本だというのは合意します。課題が見えている以上、それを織り込んだ使いこなし方が、求められるのでしょう。

プロファイリングそのものは基本的に推論であって、「当たるも八卦当たらぬも八卦」です(笑)。また、プロファイリングは諸刃の剣であり、使い方を間違えると排除になってしまうものの、良い方向で使えることもあるわけで、いろんなデータを集めてプロファイリングすることによって、新たな知見が生まれるケースがある。その都度、結果を見て判断しないといけない。

生貝:情報に関する行為、つまり人や組織、社会がどのように情報を得て、どうやって処理をし、さらに処理した情報をどうやって公開するのか、あるいはそれに基づいてどういう行動を決断するのか--こうした情報にまつわるバリューチェーンの構造は、常に変わり続けるものです。だから、その構造全体を把握して、プライバシーリスクが高いのはどの部分で、どのようなルールを作ると、イノベーションを阻害することなくプライバシーを守ることができるのか、見極める必要があります。情報の流れに対する構造的な理解と、それに対する社会としての対応のあり方を、常に考え続けなければなりません。

※脚注1
サイバー・カスケード
インターネット上において、特定の意見や考え、または行動が急速に広まっていく現象。また、そうしてできた多数派が特定の人物や組織、または多数派とは反対の意見を持つ人々を攻撃することが、いわゆる「炎上」と言われる。

===

201410281230-2.jpg

「忘れられる権利」は自己矛盾だと主張するアメリカ

──アメリカでは今、「忘れられる権利」に関して、むしろ特定の情報のリンカビリティを落としてしまうことこそ問題だという議論が起きています。情報が欠落することで、誤ったプロファイリングを起こし、場合によっては差別に繋がる可能性があり、欧州の対応は法学的な観点からも、実社会の観点でも矛盾しているのではないかという主張です。

たとえば、クレジットヒストリーです。リンカビリティにしろ、データ自体にしろ、それを消してしまうと、いずれにしてもプロファイリングに際して、評価をゆがめてしまう。クレジットヒストリーは、取引履歴の蓄積によって信用能力の成長の軌跡を測るのだから、データの欠落はその人の信用能力を落とすのではないか、という話が出てきています。

生貝:「忘れられる権利」に反対する中心的な主張の一つは、人々が意志決定する基盤としての検索エンジンという「中立的な情報インフラ」の価値を毀損するのではないかと言うことです。例えば、選挙に出る人が、立候補する前に「忘れられる権利」を行使して、自分に批判的な情報を削除して、「身ぎれい」にしてから選挙で公人になることを目指す、といったことが懸念されます。有権者が、候補者に関するさまざまな情報を独自に分析(プロファイリング)し、投票の意志決定をすることが民主主義の基盤なら、候補者についての正しい情報を得られないようにすることは、民主主義をゆがめるのではないかという問題です。

ただし、今回、EU司法裁判所の判決で認められた「忘れられる権利」は、消せと言われたら何でも消すものでは一切ありません。例えば、その人を表現する情報として、客観的に見た正確さだけでなく、その人を評価するにあたってもはや適切ではない(no longer relevant)という場合もある。今回のスペインの男性は、十数年前の社会保険料不払による差押・競売の情報を消して欲しいというもので、現在はしっかりと仕事をしており、昔の情報に基づいて評価をされては困るという主張です。さらに言えば、子どもの頃のいたずらの記録が、後々の人生にいつまでも残り続けて、その人のプロファイルと評価に影響を与えるのは、correctではあるがrelevantではないという議論なんですよね。

情報がすべて残っている事による正しい判断。あるいは、すべて残ってしまっていることによる不正確な判断。これはどちらにも理があります。しかし、今回のEUの判断は、少なくともすべてを残しておくことが私たちの情報空間を常に健全に保つわけではなく、慎重な判断の上で、消す(見えなくする)権利を認める余地を設けてもよいのではないか、というものだと思います。

===

私について「正確だが無関係」という情報が引き起こす問題

──correct(正確)ではあるけどrelevant(関係)はないというのは、解釈に幅があることです。従って「忘れられる権利」は、その都度、判断していくしかない。これは実効的に考えると相当に大変なことです。どのように運用してくべきなのでしょうか。

生貝:そこは非常に判断が難しく、この問題を考える上での最大の課題です。現状の検索エンジンは、例えば名誉毀損とかプライバシー侵害について、リンクを消してくれと言うクレームがあった時は、よほど明らかに悪質だったり、明確に法律に触れたりしない限り、「では訴えてください」と裁判所による判断を前提とした対応をしていると思います。先日、ヤフージャパンが人格権侵害に基づいてリンク削除を求められた裁判について、京都地裁が否定的な判決を出しましたが、こうした民事訴訟による削除請求自体は今でも可能ですし、プライバシー侵害が著しければ今後裁判所が請求を認める可能性もあります(※脚注2)。

一方、それと比べると今回のEU司法裁判所の「忘れられる権利」についての判決は、良くも悪くも革命的です。まず、元の情報がそれ単体で合法か違法かに係わらず、検索結果というデータベース自体がデータ保護指令、日本でいう個人情報保護法に違反していたら消す義務があるというものだからです。そして何よりも重要なのは手続的な部分で、何十万〜何百万円も使って弁護士を雇い、裁判所に訴えて何ヶ月も何年も戦う必要はなく、削除の要件さえ満たしていれば、検索エンジン自身、そして各国のプライバシーコミッショナーに簡易な請求をするだけで迅速に削除できることになってしまった。

だから、削除の判断基準はこれまでと大して変わらなかったとしても、こうした「手続的」な部分の大幅な簡易化により、量的な意味ですごく対応が増えるでしょう。実際にGoogleやBingなども、現在は欧州向けのみに削除対応の窓口を設けていますが、これは本判決により、EUに限って削除要請に裁判手続というハードルが存在しなくなったことを受けてのものと理解しています。このように、まったく新しい手続的な経路を大幅に開いたというのが、今回のEU司法裁判所判決のインパクトです。

──プライバシーコミッショナーが判断に関して中心的な役割を担っていくのでしょうか?

生貝:EU各国の中でも国内運用に依存する部分が大きいと思いますが、一次判断は基本的に検索エンジン自身が行う必要があります。これは明らかに難しい判断を企業に押しつけすぎています。例えばドイツでは、ADR(代替的紛争処理・仲裁機関)を経由して、できるだけスピーディにコストが掛からないよう、裁判所から派遣された裁判官、検索エンジン、そして当事者や利用者が納得できる結果を、公正に出していくための仕組み作りが進められています。削除の可否という極めて難しい判断は、検索エンジンだけでも、あるいは国家だけでも行えませんし、行うべきではありません。いかに公正・透明・迅速な、そしてプライバシーと様々な権利や価値との比較を適切に行いうる判断枠組を作るかというのが、この問題を考える上で最も重要なところではないでしょうか。

※脚注2
本インタビュー収録後の10月9日、東京地裁においてわが国で初めて検索結果の削除を認める決定が出された。

===

201410281230-3.jpg

誰が「忘れられる権利」にかかるコストを負担すべきなのか

──検索エンジンと並んで大きなプレイヤーとして通信事業者がいます。スマートフォン・シフトを踏まえ、新しい顧客の囲い込みが始まっています。通信事業者は、検索エンジンのクエリーとは違う形で、ユーザーの動向を調べてプロファイリングができます。この先、事業としてプロファイリングにより正当な方法で進出したいという時に、広義の「忘れられる権利」の議論がどのような影響を及ぼすでしょうか。

高崎:まずは技術的に可能かどうかということ。そして、コストを誰が負担するのか、受益者は誰かという問題です。一次的には、企業はリスクフリーで個人データを取っているのだから、そこで何らかの問題が発生したら、透明性の責任や追及は事業者側にある。例えば、データがまちがっているとか、ただしく記載されていない時は、事業者側が是正するのは当然でしょう。

ただし、本人がもともと蓄積に同意していたデータに対して、後から削除を求める場合、そこで発生する新たなコストをどのように分担するかは、議論になるでしょう。

──削除を申し立てする消費者の側が、一定のコストを払う必要があるのではないか、ということですね。

生貝:一度作ったデータベースから個々の要請に応じて情報を消すというのは、かなりコストが掛かるものです。例えば検索結果から「このリンクを消してくれ」と言われたものを消すという行為というのは一見すごく簡単に見えますが、それを受け付けて内容を精査して、表現の自由や知る権利などとのバランスを勘案して、あるいはADRにまで回して誰もが納得できる対応をするとなると、相当の負担です。しかも、その情報が、ある時点で不適切であっても、時間の経過によって適切になってくる可能性もある。一連のサイクルの管理は、非常に難しく、またコストのかかることだと思います。

忘れられる権利に限らず、プライバシー保護や情報削除に関わる社会的なコストの低減には色々なアプローチが考えられますが、ひとつは、しっかりと消費者がそういうリスクや、自分が何を提供することでこのサービスを受けているのかを正しく認識できるようにサービスそのものをつくることです。消費者側の知ろうとする努力やリテラシーの涵養だけに頼るのは限界がありますので、同時に事業者の側がプライバシー・バイ・デザインのような思想に基づいて対応していく必要がある。そうした努力こそが、削除しなければならないような情報が情報社会に蔓延することを事前に防ぐ重要な手段です。

さらに、消費者の側が、これだけのデータを提供するのであれば、もっと別のサービスを使った方が良い、と言ったような消費者のプライバシーに対する意識が市場の競争に影響を与え、きちんと対応している事業者が得をして、きちんとしていないところは市場から排除されていく。こういう仕組みを作っていくことが、社会全体としてのプライバシー・コストを低減していくひとつの方向性だと思います。

===

未来のイノベーションを守るために「忘れられる権利」が必要

──しかし、どうしても消費者が未来のことまで考えることは難しいという現実があります。例えば、自分が子どもの頃に投稿したちょっとしたおふざけの写真が、将来の就職の時に致命的な影響を与えることは、事前に予想することはなかなかできません。

生貝:まずは、法律がある種の削除の権利を担保することは、未来がイノベーティブであり、予測不可能であるからこそ必要な事だと考えています。

できるだけ色々なデータを集めて使いたいというのが事業者の本音で、今のビッグデータの潮流です。政府もそれを後押しするために、今般の個人情報保護法の改正に着手したというのが基本的な流れです。ただ、深く考えずに提供した写真一枚が自分の人生に何を引き起こすか分からないといったような状況では、消費者がデータを出すための心理的障壁が極めて高いものになる。

もし後で何かを消す必要が生じた場合、欧州ではデータ保護指令で削除の権利が明確に認められていますが、日本では同様の規定が実効的であるとは言いがたい。そこできちんと削除の権利を認めることが、結果として世の中に流れるデータの量を増やすことになる側面もあると思います。

データ収集がリスクだから「集めないビッグデータ」が必要

高崎:例えば、データが自動的に消えてしまうサービスや、階層化されてこのレイヤーのデータはずっと残るけど、あるレイヤーのデータは時限的に消えていくサービスとか、技術的に多様なサービスが出てくるのかもしれない。また、ビッグデータも、データを集めることがリスクになってきているので、「集めないビッグデータ」(※脚注3)というのも必要になるでしょう。すでに事業者側は、ノイズの多いデータをいくら集めても仕方がないため、不要なデータを集めないデータ解析の仕方を考えはじめています。

技術と制度の両方が足並みを揃えてサービスを開発することが必要で、どちらか一方だけではダメです。例えば、ユーザーの多くはサービスを利用する際に、自分がどのようなプリファレンス(選好)で使っているかも分からない状態なので、ユーザー自身が自分のプリファレンスを知ることができる、わかりやすいインターフェイス構造を作ることです。どのデータを元に、どの基準でデータを開示して使っているのかわかるようなプラットフォームを作らないとダメでしょう。

これはヨーロッパのデータ保護に関する会合で聞いた話ですが、制度だけでプライバシーの問題を解決するのは限界に来ているため、エンジニアリングで技術的に解決しないと情報のコントラビリティがなくなって来ている。ビッグデータ時代では、個人による自己情報コントロールは期待できないため、責任を事業者側に転嫁して、システム的にサポートしないと、この先には進めない。欧州では、すでにそこまで意識が進んでいるような気がします。

※脚注3
集めないビッグデータ
医療や健康などセンシティブな情報において、集めることによる情報漏えいリスクを避けるために、データを分散管理しつつ必要に応じて共有することで、低コスト低リスクでビッグデータを実現するアーキテクチャーのこと。東京大学の橋田浩一教授が提唱。

WirelessWire Weekly

おすすめ記事と編集部のお知らせをお送りします。(毎週月曜日配信)

登録はこちら

特集:プライバシーとパーソナルデータ

情報通信技術の発展により、生活のあらゆる場面で我々の行動を記録した「パーソナルデータ」をさまざまな事業者が自動的に取得し、蓄積する時代となっています。利用者のプライバシーの確保と、パーソナルデータの特性を生かした「利用者にメリットがある」「公益に資する」有用なアプリケーション・サービスの提供を両立するためのヒントを探ります。(本特集はWirelessWire News編集部と一般財団法人日本情報経済社会推進協会(JIPDEC)の共同企画です)