プライバシーデータ利活用に係る
法律・倫理面の対策
第1回 倫理観点での順守事項
2022年5月23日
昨近の企業間競争に打ち勝つためには、DX推進による新たなビジネスモデルの創出や革新的な製品・サービスの提供が必要であり、そのためには消費者のプライバシーデータの収集・分析が欠かせない。プライバシーデータの利活用にあたっては、個人情報保護法等への準拠が必要だが、昨近では倫理(プライバシーに対して消費者が抱く感情)への配慮も必要である。法には触れていないものの、倫理の軽視によりサービス停止に追い込まれた事例も多々あり、企業による対応は急務となっている。
今回のインサイトでは、企業がプライバシーデータの利活用を円滑に進めるための法律面・倫理面での対策を3回に分けて解説する。第1回は、企業が抑えておくべき倫理面での順守事項を解説する。
DX推進の背後で求められるセキュリティ対策
DX推進にはプライバシーデータの利活用が不可欠
DXによる革新的な製品・サービスを提供するには、顧客が求める要求を理解することが必須となる。顧客を知るには、顧客のプライバシーに関する情報(属性、趣味嗜好等)を収集・分析することが近道の一つと言える。経済産業省による「DX推進ガイドライン」(平成30年12月公開)でも、DXは「データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革、~(中略)~、競争上の優位性を確立すること。」と定義されており、DX推進にはデータ利活用が必要不可欠である。
プライバシーデータ利活用にはセキュリティ対策が不可欠
プライバシーデータを利活用するためには、個人情報保護法をはじめとした各種法規制への準拠が必須となる。一方、昨近ではプライバシーデータに対する消費者の意識が変化しつつあり、その結果として法規制遵守以外の対策の重要性が高まっている。
プライバシーデータ利活用に係る倫理順守の重要性の高まり
消費者によるプライバシー関連データの提供に対する不安の軽減
総務省の情報通信白書(令和2年版、令和3年版)によると、自身のプライバシーに関するデータを企業に提供することに対して、66%の人は不安を感じている。依然として半数以上の人は不安を感じているが、その割合は80%(2017年)、78%(2020年)と減少傾向にある。減少の理由は様々考えられるが、「プライバシーデータの利活用に係る企業側の法規制対応が進んだことで※、企業はデータの利用目的や第三者提供有無等を消費者へ明示するようになった。結果として消費者は自身のプライバシーに係るデータを企業に提供することに抵抗感が少なくなってきている(企業が適切に対応するのは当たり前という認識が強くなっている)」のも一つの要因であると考えられる。
「当たり前」という認識の高まりがもたらす消費者の意識変化
この「当たり前」という認識の高まりは、適切な対応ができなかった際の反動も大きくなっているということを意味する。法には反していないものの、消費者自身の意向に沿わない形でデータを扱われた場合に、「信用して情報を提供したのに想定外の利用方法をされた」「知らぬ範囲で監視されていた」等、より強い不満を抱かれることが想定される。消費者の信用を裏切らないためには、プライバシーデータの利活用において法規制準拠だけでなく感情や倫理への配慮も重要となる。
消費者の軽視により問題となった事例
様々なサービス・業種・業態での問題事例
企業によるプライバシーデータの扱い方が消費者の意図や意向に沿わず問題となった事例は枚挙に暇がない。以下に一例を記載するが、国内外や業界・業種を問わずあらゆる局面で問題に発展する可能性がある。
<倫理への配慮不足が招いた問題事例>
業界 | 事例 | 問題点と影響 |
運送業 | タクシーの配車アプリを通じて乗客の位置情報を取得し、その情報を広告会社に提供していた。広告会社は、当該乗客の位置情報から、当該乗客が訪問した店舗を分析する等して、広告効果の測定等を行っていた。 | 「位置情報」自体は個人情報ではないが(単独では個人を特定できない)、「タクシー降車後にどの店舗に訪問したか監視されている」等の批判を招いた。また、位置情報の収集・第三者提供についてはプライバシーポリシーに明記していたが、「全ての利用者が詳細にわたりプライバシーポリシーを読むわけではない」「同意取得のプロセスが分かりにくい」として多くの批判を集め、当該情報の第三者提供は停止となった。 |
運送業 | 駅の店舗運営等の改善に役立てるために、乗客のSuica乗降履歴を収集し外部企業に提供(販売)し、当該外部企業にて分析を行っていた。 | 収集したデータからは個人を特定できる情報(氏名、電話番号、SuicaのID番号等)は除外または加工され、乗客が乗降した駅名・乗降日時、年齢・性別等のみが販売された(つまり個人情報ではなかった)。しかし、「プライバシー観点で配慮に欠ける」との批判が続出したため、Suica乗降履歴の第三者提供は停止となった。 |
レンタル業 | 法令に基づく第三者提供として、捜査当局へ個人情報を提供していた(捜査令状は出ていなかったが、捜査関係事項照会を受領していた)。 | 捜査関係事項照会を受領していたため、法令に基づく第三者提供である(個人情報保護法に違反していない)と判断していたが、その旨、利用規約への記載が不十分であるとして批判につながった。 |
流通業 | 利用者に無料クーポンをプレゼントする企画において、応募時に利用者のTwitterアカウントと外部アプリを連携させていた。その際に、利用者に対して必要以上に過大な権限を要求していた。 | 利用者に要求する権限には、ダイレクトメッセージの送信や他アカウントのフォロー・フォロー解除、ツイートの投稿等が含まれており、当該プレゼント企画には明らかに不要なものであった。「不必要に過大な権限を要求している」として炎上となり、当該キャンペーンは停止に追い込まれた。 |
倫理対応において企業が順守すべきこと
順守すべき事項
このように、プライバシーデータの利活用は、あらゆるサービス・業種・業態で問題となりうる可能性を秘めている。これら倫理上の問題に対応するにあたって、参考となるガイドライン等は多くない。よって、過去の問題事例から順守事項の共通項を抽出するのが良い。以下に、共通して順守すべき事項を記載する。
<順守事項>
No. | 項目 | 説明 |
1 | 法律に明記されてなくても、消費者に知らせることが重要 |
|
2 | 「知らせる」のみでは不十分で、「理解される」努力を |
|
3 | データを溜めて利活用しない場合、そもそも個人情報ではない場合も注意が必要 |
|
4 | サービスの提供目的・価値と取得データの釣り合いを考慮 |
|
5 | 要配慮個人情報の収集を強制しない |
|
6 | 配慮すべきは消費者向けサービスのみではない |
|
7 | 口頭でのセンシティブ情報の収集にも注意 |
|
8 | ルール・プロセス・体制への組み込みも必要 |
|
まとめ
昨近、企業によるプライバシーデータの利活用に係る法規制対応が進んだことで、消費者は企業を信用して自身のデータを提供している。だからこそ、その信用を裏切ることなく適切に対応することが求められており、法規制遵守にとどまらず感情・倫理配慮への意識も強くなっている。つまり、プライバシーデータを利活用する企業にとっては、以前よりも倫理上の問題に発展しやすい状況となっている。倫理上の問題は企業ブランドの低下を招き、一度低下したイメージは簡単には戻らない。よって、本インサイトに記載したような順守事項を守りながらデータ利活用を推進していく必要がある。
次回のインサイトでは、これら順守事項に対応するにあたり必要となる対策や、対策に関する外部のパートナー企業の有効な活用方法について解説する。
関連ページ
- 【インサイト】プライバシーデータ利活用に係る法律・倫理面の対策 第3回 世界各国におけるプライバシー関連法規制の最新動向
- プライバシーデータ利活用に係る法律・倫理面の対策 第2回 倫理観点での対策
- 【サービス】セキュリティ
- 【サービス】ABeam Security® プライバシーデータ利活用セキュリティ評価
- 【インサイト】改正個人情報保護法の対応ポイント第1回 法改正の変更点と企業が対応すべき事項とは
- 【インサイト】改正個人情報保護法の対応ポイント第2回 仮名加工情報に関して企業が対応すべき事項とは
- 【インサイト】改正個人情報保護法の対応ポイント第3回 個人データの越境移転に関して企業が対応すべき事項とは
- 【サービス】ABeam Security® プライバシー法対応評価と対策支援サービス
- 【インサイト】DX推進に潜む新たなプライバシー関連リスクと企業が対応すべきファーストステップ
- 【インサイト】「California Consumer Privacy Act -CCPA- 要点と対応の勘所」