引き続き、アクシオムのジェニファー・グラスゴー氏（アクシオム Global Chief Privacy Officer）、シーラ・コルクレイジャ氏（アクシオム Global Privacy Officer）、J・J・パン氏（アクシオムAsia Pacific Director of Privacy and Public Policy）に、同社が見る世界のデータ利活用の現状と方向性について聞く。

「消費者保護」をベースに、プライバシーリスクに対する罰則を執行する米国

──パーソナルデータについて、米国でも法整備が進んでいますね。

グラスゴー：ええ…といいたいのですが、まだ途中ですね。「消費者プライバシー権利章典」が示されてから、もうすぐ3年が経ちます。規制当局も産業界も補完しきれず、商務省による行政主導という形でまとめられている最中です。

最終的に法律になるためには、議会を通過しなければなりません。そのための議論に時間を要しています。特にサイバーセキュリティに関する議論が、プライバシーよりも注目されてしまいました。そしてそれらは欧州と米国のセーフハーバー2（註：このインタビューを終えた後、プライバシーシールドとして欧米間で合意）とも影響しあいます。いずれにせよ、まだ道のりは遠そうです。

──どれくらい時間を要する見通しでしょうか？

グラスゴー：私見ですが、3-4年はかかりそうな気がしますね。こうした議論を続けていくというトレンドはずっと続きそうです。そして米国は日本のような包括的な個人情報保護法は持たないかもしれません……私たちはたまにそれで諸外国から批判されていますよね。

ただ実際は、連邦・州レベルでの両方で、米国は不正や欺瞞行為を防ぐための法制度を有しています。これは消費者保護という姿をしているので、プライバシーに関する法律でないように見えますが、両者は補完関係にあるのではないでしょうか。

だから、FTCや州の検事は、セキュリティに課題を抱える企業にも、プライバシーポリシーや取扱いに課題を抱える企業にも、その両方に介入をします。逆に言えば、プライバシーだけに縛られているわけではないのです。

──リスク・ベース・アプローチに基づいて、プライバシーのリスクが高い状態には、大きな罰則が与えられるという米国の法執行の実態は、日本ではあまり知られていませんね。

コルクレイジャ：仰る通り、FTC法第5条（UDAP:the Unfair Deceptive Acts and Practices）は、連邦及び州レベルでかなり厳格に適用されます。不正や欺瞞に基づく消費者の実害に、規制当局は強い関心を持っています。ジェニファーが指摘した通り、セキュリティ、プライバシー、データ利活用のそれぞれについて、かなり強力な法執行がなされています。

グラスゴー：そしてそれは、パーソナルデータに限らず、すべてのデータに適用されるのです。あくまで「消費者保護」なのです。彼らは「消費者保護の日」というのを制定しているくらいです。

パン：「消費者保護の日」には、消費者からの苦情で溢れかえります。それを取りまとめ、分析し、テレビ番組等を作り、議論を起こして、罰金や投獄等も視野に入れて、再発防止を進めるのです。事案がひどい場合は、いくつもの法執行がなされますね。

国際間のデータ流通を制限すべきではない

──日本はようやく個人情報保護委員会が立ち上がりました。法執行能力は、これから高めていくという段階です。

グラスゴー：法執行は進化する過程にあるのでしょうね。欧州でもそうした取り組みが進んでいますし、課徴金の最高額はとても莫大です。しかも、従来のような煩雑な司法手続きを経ることなく、執行されそうですね。欧州の規制が施行される2018年以降に何が起きるのか、強い関心があります。

米国も同様なのです。前述のFTC法第5条の施行は1970年代からですが、インシデントあたり最大16,000ドルという課徴金は、実際にはそれが影響の及んだ消費者の数とかけ算になります。暗算は得意ではありませんが（笑）、これもまた莫大な金額であることが分かるでしょう。そしてFTCはこうした課徴金に関する交渉について、無制限の権限を有しています。

──日本はまだそこまでたどり着いていませんが、今後はもう一つの観点でも法執行について検討を深める必要があります。それが、国際協調です。APECやTPPのフレームワークが構築されつつありますが、どう見ていますか？

グラスゴー：世界は国際的なデータ流通の一般化に進んでいます。しかし残念ながら、日本の改正法はあまりそうしたトレンドを明確に意識していないように見えます。そして、他のアジア各国や、セーフハーバーの課題を抱えトレンドに逆行する欧州各国は、データ移転に「障壁」を作ろうとしているようにも見えます。これは経済的に合理的ではありません。気持ちは分からなくもないのですが、他の合理的な解決策を見出す必要があります。

セーフハーバーのあった15年間、欧米間のデータ流通は進展し、それによって経済発展がなされてきました。いまその時計の針を戻すのか、少なくとも私にはそれは無理ではないかと思います。

APECについては、データ流通への努力を続けてきたと思っています。一方で、「セキュリティ上の観点からデータを自国に置きたい」と考える国を目の当たりにしたとき、それぞれの国が経済に対して抱く近視眼的な認識が、難しさの一因に思えてきます。

だから、私たちはセキュリティ上の問題を解決し、国境を越えた企業間・企業内のデータ流通の最大化に向けた方策を考える必要があります。大企業・グローバル企業になればなるほど、地域にローカライズした業務が遂行され、そのためのデータ処理に向けた拠点整備もなされます。そうした拠点や業務形態が効果を発揮する上で、データ流通を制限するのは間違っていますし、セキュリティや法律の施行についての懸念を解決することにもなりませんね。

パン：私見ですが、APECのCBPRsは、グローバルな活動をしている大企業は参画することになるでしょうね。その際には3つの要素があります。それは、（1）政府の参画、（2）独立したアカウンタビリティ・エージェント（AA）、（3）AAによる認証を求める企業活動の存在、です。

これまで10年間、APECは多くの国を巻き込んで、熱心に活動してきました。そしていま、日本を含めた限られた国が、リーダーシップを発揮しようとしています。もちろんまだ改善の余地はありますが、私たちの顧客もこのCBPRsには大変関心を持っており、私たち自身も顧客に続こうと思っています。

コルクレイジャ：APEC CBPRsは、企業が説明責任とエコシステムを果たすための、契約体系（agreement）や評価指標（measurement）を定ようという試みだと思います。それはとても合理的だし、経済活動の促進にも寄与するはずです。だからこそ、それに逆行するような考え方は再考すべきだろうとも思います。APEC CBPRsがもたらす責任と信頼のあるデータ流通に参画すべきなのでしょう。

産業界の自主規制がデータ利活用への近道

──一方で、各国で細かくデザインされたエコシステムやルールを乗り越えるのは、これからですね。たとえばネット広告における行動ターゲティングにしても、米国は踏み込みすぎているとも言えますし、日本は中途半端すぎてかえってスパムのようになっているとも言えます。これもエコシステムやルールの違いが一因のはずですが、乗り越えるのは簡単ではなさそうです。

コルクレイジャ：考慮すべきは、デジタル・エコシステムの中に積極的に参加したい消費者の存在だと、私は思います。彼らはアプリを使いたがりますし、データを提供する意思があります。政府が「我々はもっと保守的になりたい」と言ったとしても、データの利活用をもっと求める、という消費行動が存在するのです。それは常々、企業にとって摩擦の種となります。

だからこそ企業は解決の道を見つけなければなりませんし、政府と協調し、イノベーションと経済活性化のバランスを見つけ、なおかつ正しい保護の在り方を模索しなければなりません。企業活動において「信頼を得ること」はとても重要な要件であり、だとするといま議論すべきは「自主規制」ではないでしょうか。

グラスゴー：日本も「行動規範」を推奨していますよね。それは米国では「自主規制」として議論されます。それはとても素晴らしいことで、企業の積極的な関与を促すと思います。なにしろ、率直に言って、世界中のどの政策決定者も、データ流通について十分に理解しているとは言えません。

だからこそ、業界ごとにガイドラインを取りまとめるなど、産業界自らの取り組みが重要です。行政や政治家ではなく、ビジネスパーソンこそが、ビジネスプロセスを熟知しているのです。それこそが、早くて確実に目的を達成するでしょう。

そしてビッグデータ時代には、それ以外にシンプルな解決策は、もはや存在しないのではないでしょうか。業界ごとに固有の細かなルールやプロセスがあります。通信事業者向けの規制と小売事業者向けの規制は違うのです。だからこそ、こうした法整備の取り組みは難しいですし、日本でもそれに取り組んでいらっしゃる皆さんには敬意を表したいですね。

（3）に続く