(文責:渡邊満久/AsiaWise法律事務所所属)
1. DFによる追跡
2020年12月19日付の日本経済新聞において、「閲覧情報ひそかに『追跡』 規制外技術、2割で使用」と題する記事が掲載されました(https://www.nikkei.com/article/DGXZQODZ088KE0Y0A201C2000000)。
記事によれば、「ネット通販など消費者向けサービスの主要100社のサイトを解析」したところ、「22社でDFの利用を確認し」たものの、DFの利用実態などを「具体的に説明していた企業はゼロだった」とのことです。
DFとは、デバイスフィンガープリント (Device Fingerprint)の略称です。文字どおり、デバイスの「指紋」を作成し、端末(ユーザー)を識別するもので、例えば、OSの種類やバージョン、ブラウザの種類やバージョン、タイムゾーン、言語、インストール済のフォント、ネットワーク環境、ハードディスクの空き容量、タッチパネルの有無、IPアドレスといったユーザー環境の情報を、通信時に取得し、これらを組み合わせて、端末(ユーザー)を識別するようです。驚くことに、記事によれば、9割以上の精度で端末(ユーザー)を識別することができるとのことで、このDFを利用して、ユーザーのオンライン行動の追跡を行っていたということです。
世界のWebブラウザのシェアの半分以上を持つ、ChromeをリリースしているGoogleも、DFの問題を重要視し、その対策を強化しようとしています(https://www.youtube.com/watch?v=0STgfjSA6T8&feature=emb_logo)。
2. 技術は常に進歩する、法はそれに追いつかない
オンライン上での行動追跡という意味では、日本においても、Cookieの利活用に対する制限は最近ようやく意識されるようになり、一部のCookieが適用対象となり得る個人情報保護法2020年改正が2022年までに施行される予定です(使い方次第ではDFも対象になり得るとは思われます)。
しかし、新しい技術は常に世の中に誕生しており、それらを全て効果的にタイムリーに、法律その他のルールの適用対象とすることはおそらく不可能です。まず、法律、特に規制法には、明確さが要求されます。あまりに不確定な広範に影響を及ぼしうる法律は、予見可能性を害するものとして許されません。また、規制する法律を制定するには、どのような問題が生じているのか、その問題を回避するために規制をすることによって別のどんな利益が制限されるのかといった緻密な検討が必要です。更に言えば、法律を作る側の技術に対する理解が深まるのに、相当程度の時間が必要でしょう。
このように、法や規制が、常に技術の進歩から遅れることを、lawlagなどと呼ぶこともあります。法律やルールの整備が重要であることは言うまでもありませんが、それに頼り切った対応をしていては、常に後手を踏むということです。
3. 法律やルールの中身は十分か
また、仮に新しい技術を対象とする法律やルールが存在していたとしても、その中身が十分なものになっているかは別問題です。
例えば、GDPRは、「個人データ」を、「識別された自然人又は識別可能な自然人に関する情報を意味し」、「識別可能な自然人とは、特に、氏名、識別番号、位置データ、オンライン識別子のような識別子を参照することによって、…、直接的または間接的に識別され得る者をいう」と定義しています。そのため、DFによってユーザーの識別が可能であるとすれば、DFやDFによって追跡収集されたデータも個人データに該当することになります。
しかし、GDPRは、個人の同意によって個人データの取扱いを適法化するという基本的枠組みを採用しています。同意を得る際に、どのような情報を提供するかにもよりますが、全くと言っていいほど、消費者である個人が認識していないDFによる追跡について同意は有効な手法でしょうか。
GDPRに限らず、世界の個人データ保護法の主流は、同意によって個人データの取扱いを適法化するという枠組みを採用します(例えば、GDPR、シンガポール、タイ、フィリピン、マレーシア、中国(審議中)、ブラジル、インド(審議中)など)。新しい技術や新しい技術によるセンシティブなデータの取扱いについて、同意だけで十分に対応可能であるかは、既に各方面から疑問が呈されているところです。
4. データプライバシー対応はお上や他人から与えられるものではない
lawlagや同意スキームの限界に鑑みるとき、日本企業が取るべきデータプライバシー対応は1つです。すなわち、企業が各々で、あるべきデータプライバシー対応を模索し、実践するということです。企業によって、取り扱っているデータの種類、利用方法などは様々です。まずは、その様々な実態をできるだけ把握することに努めなければなりません。そしてその実態に即して、消費者への説明の方法や文言を調整し、取扱用のシステムの在り方を検討し、取扱範囲を調整し、社内での周知・教育を行い、場合によっては、そのような取扱いを中止せざるを得ない場面もあるかもしれません。しかし、このような作業の積み重ねの先にのみ、プライバシーフレンドリーな企業文化の醸成があり、またそのことが他社との差別化に繋がり、データドリブンな社会における、企業の確実な武器の1つになるものと言えます。
そして、このためには、部署を越えた企業横断的な体制の構築が必要となります。
5. 終わりに
安全、安心なデータ利活用の促進へ向けて、法律専門家が解決しなければならないのは、このような実際のデータの取扱いに即した対応の全てであり、法律やルールがどのようになっているか説明したり、「リスクがあります」とだけアドバイスを行うような受身のフェーズはとっくの昔に終了していることを、改めて指摘したいと思います。
真に問題や課題を解決することができるローファームあるいはリーガルコンサルタントとして、2021年も、AsiaWise法律事務所 DX/Data Practiceチームは、企業の皆様と共に努力を続けていきます。