パーソナルデータを含めたデータ利活用を推進するために日本でもさまざまな法制度の整備が進められているが、一方でデータ利活用の技術的ハードルは急速に下がり、制度と現実のコンフリクトが起こることが増えている。世界各国ではどのような規制があり、現場ではどのように対応しているのか。最大手データベース事業者としてデータ利活用を推進してきたアクシオムのジェニファー・グラスゴー氏（アクシオム Global Chief Privacy Officer）、シーラ・コルクレイジャ氏（アクシオム Global Privacy Officer）、J・J・パン氏（アクシオムAsia Pacific Director of Privacy and Public Policy）に、同社が見る世界の現状と目指す方向性について聞いた。

日本の個人情報保護法には強い関心を持っている

──皆様の自己紹介をお願いできますか？

ジェニファー・グラスゴー（以下グラスゴー）：アクシオムで仕事をして、もう40年以上は経ったでしょうか。1991年からはCPO（チーフ・プライバシー・オフィサー）の仕事をしてきました。こうした仕事は法曹家が手がけることが多いのですが、私は弁護士ではなく、これまでもエンジニアリングを重視してきました。現在はシーラへ役割を移行しつつあり、今後は事業の最前線ではなく、コンサルティング活動に軸足を移す予定です。

アクシオムは、これまでアメリカ、アジア、ヨーロッパで仕事をしてきました。だから私たちは、プライバシーについて広い視野と経験を持っており、政府に対する助言等も行ってきました。現在は、通信・ネット、小売、出版、旅行、エンターテインメント、銀行、保険、自動車など、ほとんどすべての主要な消費者向け産業を相手に、顧客とも密接に協力しながら、仕事をしています。

データ利活用の機会は、政府の規制よりもはるかに速いペースで動いているので、いろいろなギャップがあります。一方で私たちは、情報が適切に扱われているか、倫理的に問題はないか、といった観点から、データ処理についてのアドバイスもしています。いろいろなチャレンジをしてみて、政策と現実のギャップを埋める努力をしているのです。もちろん、日本でもいろいろなお手伝いができればと思っています。

シーラ・コルクレイジャ（以下コルクレイジャ）：これまで20年、ジェニファーとともに仕事をしてきて、現在は米国、カナダ、南米を担当する役員です。私たちは、金融サービス、ヘルスケア、情報通信等の分野と向かい合っていますが、特に私は長い間、オフラインのPII（個人識別情報）や電子メールなど、いわば伝統的なプライバシーの課題と向き合ってきました。いま、データの利活用に向けて、匿名化についても対応しており、イノベーティブな処理方法を開発しています。

J・J・パン（以下パン）：中国支社で、アジアのプライバシーポリシーとPRを担当しています。APECのECSG/DPS（電子商取引ステアリンググループ／データ・プライバシー・サブグループ）の一員でもあります。

──グラスゴーCPOから日本市場に関するお話がありました。アクシオム社は日本で本格的な事業展開を考えておられますか？

グラスゴー：現在日本では、アクシオム・コネクトというサービスを展開しています。企業が持つ顧客にまつわるオンライン・オフラインデータを、デジタル環境で利活用するための支援を大々的に行っています。米国では、テレビ上にターゲティング広告を出せるアドレッサブルTVやモバイルデバイス領域などに支援活動を広げています。

最近私たちの顧客はオムニチャネル・マーケティングに強い関心を寄せています。これは世界的なトレンドです。日本はこの分野で取り組みの活発な市場の一つであり、私たちはもっと積極的に事業活動を展開しようと考えています。そしてご承知の通り、日本は個人情報保護法を改正しようとしていますね。私たちも強い関心があります。どなたか英語に訳してもらえませんか？（笑）

実際、現行法においても、私たちは多くの疑問があり、まだそれも解けていないままです。なので、私たちはパートナーとともに、私たちの顧客がもっと活動できるよう、日本の法律について研究しています。私たちが何を遵守すべきなのかを、もっと具体的に知りたいのです。

個人情報に関する規制は匿名加工情報に及ぶのか

──論点の一つは、日本の法律は「個人情報保護法」であって「プライバシー法」ではないということです。従って、「個人情報とは何か」を定義し、それをどう取り扱うべきか、ということが関心の中心ですし、それゆえに今回の法改正でも「携帯電話番号は個人情報か？だとしたらそれは保護するべきか？」といった議論が生じました。一方、欧州も米国も、おそらくこうした議論は「消費者プライバシー」という枠組みの中で扱われているはずですし、個人情報ではなく個人識別情報（PII）という概念が一般的なはずです。

その違いは、匿名加工情報の定義に影響を及ぼします。日本法は、その情報が特定の個人を識別できるかどうかを、データの提供先ではなく提供元の状態で判断しますが、提供先でどう判断されるか分からないとなると、データの提供には結局のところ同意が必要と受け止められかねません。このあたりが法律の条文を読むだけでは、まだ分からないのです。

グラスゴー：大きな問題ですね。ただ、悩んでいるのはあなた一人ではありません（笑）。多くの国々で、何がパーソナルデータで、何が違うのか、常に議論になっています。

こうした議論が起きる背景として、企業は保有するデータをできるだけパーソナルデータとして扱いたくないし、規制当局は逆にパーソナルデータとして扱ってほしい、という対立があるでしょう。つまり法的な義務をどう切り分けるか、それぞれのタイプごとにどう適切に取り扱えるか、ということです。

別の言い方をしましょう。たとえば私は匿名加工情報を訂正することはできません。なぜならそれは匿名化された情報だからです。あなたが私のところに来て、氏名や他の識別情報を私に伝えても、匿名化されている以上、どれがあなたの情報なのかは分かりません。そう考えれば、個人情報に関する規制は匿名加工情報には及べないはずです。

だからといって、セキュリティに関する責任も逃れるということでは、もちろんありません。そして、再識別化に関する問題もあります。こうした問題は、米国、欧州、南米、アジア、あちこちで議論が続いていますね。

日本の「匿名加工情報」はセミPII

──少し細かい質問なのですが、匿名化（anonymization）と識別情報の削除（de-identification）は、どう区別すべきでしょうか。厄介でありながら、特に米国では重要な論点になっているように思えます。

グラスゴー：一貫して使える言葉を、私たちも探してます（笑）。私の理解としては、FTCが（法律ではなくガイドラインの用語として）用いている“de-identification”は、再識別化（re-identification）ができないということを意味しているはず、ですよね？

一方、匿名化されたデータ（anonymous data）ですが、そもそも「匿名」というのはパーソナルデータだけではなく、他の種類のデータでも使われる概念です。携帯電話番号、テレビ、あるいはウェアラブルデバイスかもしれない。そうした情報だけでは、私たちは対象となる個人が誰なのかは、分かりません。こうした、パーソナルな側面を持っているけれど、その人が誰かは分からない、そんなデバイスに関するデータを、私たちは非PII（non-PII）データと呼んでいます。

こういう区別をしてみた上で、日本の改正法を考えてみると、私にはセミPIIのように思えます。

──セミPIIとはどのようなものでしょう？

グラスゴー：いわば“re-personalized”といいましょうか。再びパーソナルデータに戻せるもののように見えます。だとすると先に挙げた“de-identified”とは違いますし、やはりそれを扱う企業には何らかの義務が生じてしまうのではないでしょうか。

パーソナルデータ、あるいはPIIデータに関しては、私たちは「通知と同意」の義務や、明示的な同意ではないにせよ何らかの選択肢の提供が少なくとも必要です。しかしデバイスデータや非PIIデータについては、透明性やいくつかの選択肢（註：オプトアウト等）の確保を前提に、他の方法や行動規範も考えられるべきでしょう。たとえば米国のDAA（Digital Advertising Alliance）は、通知と選択のメカニズムを、匿名（anonymous）のオンライン広告やモバイル広告向けに提供していますね。

非PIIというだけでは、まだ何らかの義務を負わなければならない状態です。しかし、“de-identified”までたどり着ければ、より自由で制限の少ないデータ利活用が期待できるのではないでしょうか。もちろん米国でも、このあたりはいくつかの法律や自主的な行動規範の組合せにより検討されるもので、個別法に書かれているということではありません。

──そうなると、法律だけでなく、産業構造とも、関係しそうですね。

グラスゴー：そうだと思います。金融、ヘルスケア、情報通信等、産業分野ごとに法律がありますね。そうした法律はパーソナルデータをいま私たちが話してきたような一般的な方法では定義していません。いうなれば「パーソナル・ヘルスケア・データ」として定義しているわけです。そしてそこでは、再識別化や匿名化について、とても具体的に示されています。

情報通信分野であれば、米国ではCPNI（Customer Proprietary Network Information）が定義されています。通信のトラフィックに関する情報で、何ができるか／できないかが明示されています。あるいはインターネットで子供を守るための法律も、具体的にありますね。

そうした上に、個別の取り組みを進めるための業界規範が構築されるのでしょう。たとえば、携帯電話の情報を、通信サービスではなく行動ターゲティングに使うには、業界としてどのような規範や取り組みが必要か、というようなことです。

──そうした取り組みは、日本でもいくつか進んでいます。しかし進んだがゆえに、改めてPIIや“de-identified”の定義ができていない状況が、かえって議論を難しくしているかもしれません。

コルクレイジャ：確かに、データが遍在する状態では、放っておいてもどんどん分かりにくくなりますよね。

（2）に続く