「名簿屋」の摘発は国内法だけでは困難
すこし極端な例を考えてみます。ある大手ポータルサイトの情報担当者が、グループ企業やクライアントに対して、利用者の遺伝子データに紐付けられる情報を売ったとき、その情報の持ち主の何%かは突き止められるでしょう。別のクレジットカード機能付きのポイントカードを運営している会社は、その人の家族構成や電子カルテの情報とつき合わせて、同じ遺伝子パターンを持っている可能性のあるユーザーを抽出して、広告会社に販売します。やがて、ある人がスマートフォンを開くと、本人の体には特に異変がないのに、「高血圧でお悩みではありませんか」という広告が掲載されます。あるいは「がん保険はいかがですか」「結婚記念日に海外旅行を」「ご両親の介護は」「転職をお考えですね」……。本人さえ知らない本人のステータスが割り出され、そこから本人が必要とするかもしれない需要が、先回りして掲示される。果たしてそうした仕組みを整えることが、私たちの求める情報化社会だったのでしょうか。
検索単語や買い物の履歴などから個人の好みや嗜好、関心事を推測し、その利用者に合わせた情報提供を行うことそのものはイノベーションのひとつです。しかしながら、それは利用者が「そういう情報を提供されたい」と思う場合のみ利用されるべきものでしょう。
今回の改正案では、個人情報の一部を削除するなど個人の特定が困難になった「匿名加工情報」であれば、本人の同意なく第三者に提供できるとしています。ただ、氏名や住所といった個人情報が削除されていても、携帯電話の「端末識別番号」やSNSのID、メールアドレスなどから「名寄せ」が行われることで、個人を特定できてしまう恐れがあります。
いまアメリカでは「データブローカー」が問題となっています(※2)。これはベネッセの個人情報流出事件でもクローズアップされた「名簿屋」が巨大化した姿です。彼らは、延べ人数ではなく、実数で7億人分のデータを蓄積し、売買しています。そこにはクレジットカードから漏れ出た外食の明細、ウェアラブルデバイスで記録された走行距離や心拍数のデータ、アダルトグッズの購入履歴から推測される性癖などが、特定の個人情報に紐付けられています。
国内法をいくら強化しても、海外の「名簿屋」の取り締まりは困難です。彼らの存在は、利用者の望まない「名寄せ」によるものであり、個人に関する情報の流通を本人がコントロールできる環境を整備する必要があります。
こうした「名寄せ」は、国際的なセキュリティ問題にも発展しかねません。すでに中国などが、サイバー攻撃で流出した個人情報を、別のサイバー攻撃のための「種データ」として活用している形跡があります。一連の環境整備は、日本人の安全を守るためでもあります。
ひとくちに「個人に関する情報」といっても、その裏側には多くの問題が複雑に絡み合っています。情報技術がもたらした「データ資本主義」とも言えるこの世界は、実に脆弱な仕組みの上に成り立っているものだということを、私たちはよく知っておかなければなりません。
今回の改正まで10年がかかりました。政府は、各国のプライバシー関連法の状況や技術動向も踏まえ、今後3年をめどに再改正を視野に入れているようです。究極の意味でプライバシーを守るためには、個人に関する情報を海外に出さないこと、匿名化の基準を作り名寄せに一定の制限を設けること、そして何より海外の事業者への対策で各国と協調することです。今国会には間に合いそうにありませんが、次回の再改正までには然るべき議論が積み重ねられることを期待したいと思います。
※1:EUの「十分性認定」がないため、日本企業は欧州子会社の従業員や顧客のデータも、個別に契約を結ばなければ域外に移せない。一方、米国はEUとの間で「セーフハーバー原則」で合意しており、自由に個人データを持ち出せる。
※2:データブローカーの代表的な企業である「Acxiom」は1969年の創業。昨年度の売上高は約10.9億ドルで、NASDAQに上場している。顧客には行政機関も含まれており、2億人分以上のパーソナルデータを保有しているという。