私たちの日常生活において、名前や住所、そしてスマートフォンのカメラで撮影した顔写真などは、かけがえのない大切な情報です。2019年08月02日現在、法律の世界で「個人情報」として定義されているのは、まさにこうした特定の個人を識別できるデータのことを指します。具体的には、その情報単体で誰か分かってしまうものに加え、他のデータとパズルのように照らし合わせることで、容易に個人の特定へ繋がるものも含まれます。
こうした重要なデータを企業が取得し、外部の第三者へ渡す際には、非常に厳格なルールを守らなければなりません。2017年05月30日に全面施行された現行の「個人情報保護法」では、情報の利用目的を本人にしっかりと伝えた上で、明確な同意を得ることが義務付けられています。驚くべきことに、この規制は同じ企業グループ内での共有や、フランチャイズの加盟店同士でのやり取りであっても、例外なく適用されるのが今の日本の現状なのです。
しかし、現在の日本の法律には、ある種の「抜け穴」とも呼べるグレーゾーンが存在しています。それは、サイトの閲覧履歴を記録する「クッキー」や、移動ルートを示す「位置情報」といったデータです。これらは、その情報だけを見ても即座に氏名が特定できるわけではないため、日本では単体では保護すべき個人情報とみなされていません。その結果、ネット広告会社などの間では、本人の知らないところでデータが共有される事態が起きています。
これに対し、SNS上では「検索履歴や居場所を知られるのは、名前を特定されるのと同じくらい気持ち悪い」「自分の行動データが売買されているようで不安だ」といった、危機感を募らせるユーザーの声が目立っています。デジタル技術が急速に進化する中で、名前や顔写真といった古典的な情報だけを守っていれば安心だという考え方は、もはや時代にそぐわないものになりつつあると言えるでしょう。私たちは今、データの価値を再認識すべき時期に来ています。
世界をリードする欧州のGDPRと日本の未来像
目を世界に向けると、さらに一歩踏み込んだ厳しい規制が始まっています。欧州連合(EU)で2018年05月25日から適用された「GDPR(一般データ保護規則)」は、その代表格です。この規則は、日本でまだ保護が不十分な閲覧履歴や位置情報、さらにはオンライン上の識別子までも「個人データ」として定義し、企業の活動に対して広大な規制の網を広げました。これにより、消費者のプライバシーを守る力は飛躍的に高まったと評価されています。
私自身の見解としては、日本も欧州のような包括的な保護へ舵を切るべきだと確信しています。特定の個人が「誰か」を当てることだけがプライバシーの侵害ではなく、個人の嗜好や行動が勝手に分析されること自体が、個人の尊厳に関わる問題だからです。データの利活用は経済発展に不可欠ですが、それはあくまで個人の信頼という土台の上に成り立つべきでしょう。今後、日本の法律が世界の潮流にどう追いつくのか、注視していく必要があります。