プライバシーとイノベーションのバランス(パート1)
データは今やかつての石油と同じくらい価値があると言われていますが、個人データとは実際に何なのか、誰が所有しているのか、私たちにはどんな権利があるのかを理解している人はほとんどいません。
今日の本題に入る前に、いくつかの背景について話しましょう。歴史を通じて、人類はさまざまな資源を重視してきました。農業革命では、土地が極めて重要と考えられていました。産業時代には、機械、石炭、そして石油でした。そして21世紀の現在、学者、ジャーナリスト、業界のリーダーたちは、データは新しい石油であると言い続けています。時価総額で世界最も価値のある企業の多くはテクノロジー企業であり、それらはすべてグローバルな消費者に関する膨大なデータを保有しています。よく知られた名前は以下の通りです:
- 東側:Alibaba、Tencent、Baidu、Flipkart
- 西側:Google、Microsoft、Amazon、Facebook、IBM、Apple
World Economic Forumのレポート「data policy in the Fourth Industrial Revolution」からの別の視点では:「World Economic Forumでは、データを第四次産業革命の火を燃やす酸素と考えることを好みます。データはいつでも入手可能で必要不可欠ですが、不適切に使用されると危険で望ましくない結果を生む可能性があります。」
「データ」がいかに重要かを考え、私はこのトピックについて自ら学ぼうとしています。この記事はデータプライバシーに関するシリーズの最初のものです。このトピックの専門家ではないため、学んだことを_統合_し、情報源へのリンクを提供していきます。 今日は3つの主要な質問について話します:
- 個人データとは何か?
- 誰がそれを所有しているのか?- 微妙な回答
- あなたの権利は何か?
個人データとは何か?
これまでに見つけた中で最も包括的な定義は、欧州連合がGDPR規則で使用しているものです。
「『個人データ』とは、識別された又は識別可能な自然人(『データ主体』)に関するあらゆる情報を意味します。識別可能な自然人とは、特に、名前、識別番号、位置データ、オンライン識別子等の識別子、又は当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的若しくは社会的アイデンティティに固有の一つ以上の要素を参照することにより、直接的又は間接的に識別できる者をいいます。」 彼らは個人データの例もこちらで提供しています:
- メールアドレス(yourname@company.com)
- インターネットプロトコル(IP)アドレス
- Cookie ID(Webブラウザでよく見られるもの)
- スマートフォンの広告識別子
その他の例としては以下があります:
- プライベートコミュニケーション:メール・プライベートメッセージの内容
- 財務記録(銀行残高、取引、確定申告)
- 教育記録(通っている学校、学校の成績)
- 医療記録
- 生体認証データ(指紋、顔)など
ここではいくつかの例のみを挙げていますが、異なる国・地域に_100以上の既存のデータ保護法_があることを注記しておくことが重要です。
シンガポール個人データ保護委員会は、「個人データとは、そのデータから個人を特定できるデータ、またはそのデータと組織がアクセスしている、もしくはアクセスする可能性が高い他の情報から個人を特定できるデータを指します(真偽を問わず)。シンガポールにおける個人データは2012年個人データ保護法(PDPA)により保護されています。」としています。
誰がそれを所有しているのか?
多くの人にとって最も明白な答えは:自分のデータだから自分が所有しているということです。しかし、実際にはそれよりも微妙な話になっています。
政府・公的機関の記録
多くの国では、政府が出生証明書、身分証明書(そもそも政府が国民に発行するもの)、生体認証データなど、国民に関する多くのデータを保持しています。 インド政府は昨年、約10億人を対象とした世界最大規模の生体認証IDプログラムの一つを実施しました。
興味深いのは、今年のダボス会議で「Setting the rules for the AI race」についての議論中に、インド政府の代表者がデータは公的機関・政府に属すると述べたことです。政府は公的・民間の機関に個人データへのアクセスを許可できるとしています。
旅行する際(またはビザを申請する際)、多くの国が生体認証データの提出を求めます。データを提出して書類に署名すると、自身の生体認証データを外国政府と共有し始める可能性が高いです。
観察データと推測・予測データ
World Economic Forumのレポート「data policy in the Fourth Industrial Revolution」は、この会話においてコンテキストを考慮する必要があると提案しています。_観察_データ/_推測_データの所有権の答えは単純ではありません。
「観察データ:インターネット閲覧の嗜好、監視カメラ映像、通話詳細記録など。
推測データ:信用スコア、消費者プロファイル、予測交通フロー、感染症の拡散パターン、ターゲティング広告など。
日常生活の中で、私たちはさまざまなサービスを利用し、多くの「観察データ」を残しています。では、これらの企業がこのデータを所有しているのでしょうか?これは病院、航空会社、レストラン、ライドシェアサービスなどに及びます。広告業界では、企業はこの種のデータを1st partyデータと呼ぶことが多く、使用できることを示唆しているようです。しかし実際にできるのでしょうか?欧州連合のGDPR定義を使えば、データが個人を特定するために使用できる限り、その個人がデータを所有しています。データが匿名化または仮名化されている場合は別の問題です。
注意すべきことは、私たちは長い間、膨大な行動データや経済データを残してきたということです。過去10年ほどで変わったのは、ビッグデータと機械学習の進歩です。企業にとって、膨大なデータを保存・処理し、そこから予測を行うことが比較的容易・安価になりました。Amazon等のレコメンデーションエンジンは本質的にそのようなものです。
あなたの権利は何か?
ここで私は欧州連合の規制による明確な定義を本当に気に入っています。最初の記事であるここでは、それが正しいか間違っているかを議論するつもりはありません。欧州GDPRは消費者に対して以下の権利を確立しています:
- 各個人は自身の個人データを所有する
- 同意の透明性:企業は個人データの保存・処理について、透明でわかりやすい方法で明示的に許可を求める必要がある
- セキュリティ:個人データは合理的なセキュリティ対策によって保護されるべき
- 撤回する権利:いつでもデータの処理・使用に対する同意を撤回できる
- 個人データの情報提供とアクセス
- 訂正の権利
- 処理の制限の権利
- ポータビリティの権利
- など
もちろん、GDPRには多くの詳細な例外や免除も記載されています。
カリフォルニア消費者プライバシー、シンガポール個人データ保護法、その他のプライバシー法は、GDPRほど包括的ではありませんが、同様の権利について述べています。 この記事は以上です。
次回以降の記事では、以下のようなより難しいトピックを見ていきます:
- 欧州連合のGDPRは規定が厳しすぎるか?
- 異なる法制度や経済モデルがある中で、グローバルなデータプライバシー法を持つべきか?そうでない場合、相互接続・相互依存する世界においてグローバルなアプローチはどうあるべきか?
- ここからどう前進するか?
- データプライバシーとイノベーションのバランス、まずはヘルスケアと教育から?
- 地域、国、グローバルレベルでのデータ独占をどう回避するか?
よろしくお願いします、Chandler
