世界のプライバシー保護規制対応を支援するサイト

企業の社会的責任として求められるプライバシー保護とは? ~透明性の確保、クッキーバナー等への考え方~


目次

1. プライバシーが重大な経営リスクに
1.1.  4つの要因
2.  LINE問題から得られた教訓
3. プライバシーは法的義務から企業の社会的責任へ
4. クッキーバナーに対するIIJの考え方
4.1.  クッキーバナーは義務か?
4.2.  そもそもクッキー規制とは何か?
4.3.  クッキーバナーの役割とは?

 

1. プライバシーが重大な経営リスクに

 

1.1.  4つの要因

 企業経営上のリスクにおいて、数年前まではそれほど大きく取り上げられることがなかったプライバシー保護が昨今急速に重大な経営リスクへと変化してきています。それは4つの社会環境の変化が原因であると筆者は考えています。4つの社会環境の変化とは、

  • IoT/DXによる個人データ利活用の推進
  • 世界各国のプライバシー保護規制の強化
  • 消費者の権利意識の向上
  • SNSによる悪評が拡散される環境

です。

 これらの変化はある日突然起こったものではなく、それぞれが過去10年以上にわたって少しずつ変化をしてきた結果、社会に大きな影響を与えるレベルになり、プライバシー保護の領域で相互に作用しあうようになってきたものです。ここから各要因について見ていきたいと思います。

 1つ目のIoT/DXによる個人データ利活用の推進ですが、あらゆるモノ(エッジデバイス)がインターネットに接続されることで、様々なモノ側でセンサー等により取得したデータを集約し、組み合わせて価値のある情報として利活用していくことが行われています。これは、技術的進歩の側面とIT経営の進歩の2つの側面から過去10年以上に渡って広がってきました。技術的進歩の側面は、センシング精度の向上、小型化、省電力化、耐久性の向上、ワイヤレスネットワーク技術の進歩、大量生産技術の向上と低価格化といったものがあげられます。筆者の同僚がAuto-ID Center, EPC GlobalでRFIDの標準化に携わっていた2003年、2004年あたりにRFIDを使ったシステム提案をしていた内容から考えると今のIoTは隔世の感があります。IT経営の進歩は、90年代に起きたオープン化の流れから20年以上がたち、オープンな技術をビジネスに利活用した成功事例の積み重ねやデータ利活用の成熟度の向上、ITを経営に活かすための意思決定を行える経営陣の増加といった諸々の要因が重なって現在プロフィットセンター、コストセンター双方でのDXが花盛りとなっています。IoT/DXにおけるデータ利活用の中でも特にB2Cの事業は“個人データ”の利活用によるよりきめ細やかなサービスの提供がビジネス成功の鍵となっています。

 2つ目の世界各国のプライバシー保護規制の強化ですが、このトリガーはEU GDPR(General Data Protection Regulation:一般データ保護規則)といえるでしょう。EU加盟国においてGDPRの一世代前の法律は1990年代後半に作られたものでした。2000年代前半にインターネットがビジネス基盤として使われるようになりはじめ、例えばFAXでの見積書や発注書のやりとりが電子メール等に変化し、電子データで容易に複製・再利用できる形で個人データが国境(法域)を超える事態が発生するようになってきました。また1990年代には想定していなかった様々なインターネットサービスで個人データの利活用や自動処理が行われるようになり、2000年代には技術の進展に法律が追いついていない事態となってきました。個人データの域外移転への対応のみならず、米国プラットフォーマーを念頭に置いた、行き過ぎた個人データの利活用への規制やEU加盟国間での執行状況の格差是正等を含め1995年に成立したEUデータ保護指令(Directive 95/46/EC)を見直してEU法としたものがGDPRです。GDPRの1st Draftは2012年1月に欧州委員会から公表されました。これは従来よりも個人の権利・利益の保護を大幅に強化したものであり、事業者側にとっては制裁金が全世界売上の2%以下もしくは1,000万ユーロ(約13億円:€1=約130円とした場合)のいずれか大きい金額とそれまでの制裁金とは一桁も二桁も違う金額で大きなインパクトがあるものでした[1]。筆者がクラウドサービスの構築のために英国に必要なライセンス等の調査にいった2012年に現地の弁護士からGDPRのインパクトについて説明を受けたことを思い出します。その後2013年にスノーデンの暴露があったこともあり、一層GDPRの早期成立が求められ、2015年12月にFinal Draftの公表、2016年4月に欧州議会で可決し、2018年5月25日の施行となりました。最終的に個人の権利に関わる制裁金は全世界売上の4%以下もしくは2,000万ユーロと1st Draftの倍額に引き上げられています。

 [1] 例えば英国の場合、Directive 95/46/ECに基づく英国法Data Protection Act 1998では最大の制裁金は£500,000(約7,500万円:£1=約150円とした場合)であった。

 筆者は2014年から2017年まで英国に駐在し、自社のGDPR対応のために様々なシンポジウムに参加して成り行きを見守っていました。その中でマレーシア、シンガポール、韓国の当局者の話を聞く機会がありましたが、共通して以下のような考え方があったように感じました。それは、個人データのやりとりは商取引において発生するため、
写真:ケンブリッジアナリティカ内部告発者クリストファー・ワイリー氏のデモ
EUと貿易を行う各国はEUにGDPRのような個人の権利・利益を強く守り、執行力が強い法律が作られた際に通商交渉上自国にも同様の法律を持っていないと不利に働くというものでした。そのため、GDPRの1st Draft以降、各国でGDPRの研究、自国の法律の改正・制定に関する動きが活発化してきたように思われます。また、GDPR施行前の2018年3月にはケンブリッジアナリティカのクリストファー・ワイリー氏の内部告発により、2016年の英国のEU離脱に関する国民投票や米国大統領選挙においてFacebookを使って世論の誘導を行っていたことが明らかになりました。この内部告発により民主主義の根幹を揺らすような個人データの行き過ぎた利活用やそれを許すプラットフォーマーが糾弾されることになります。カリフォルニア州消費者プライバシー法(CCPA:California Consumer Privacy Act)が成立したのはその直後の2018年6月であり、米国においてもプライバシー保護(とプラットフォーマーへの規制)が重要であると認識されるように潮目が変わった事件であったといえます。GDPRでは既に100億円を超える制裁金が企業に課されており、加えて集団訴訟も起こされています。個人データ漏洩の影響を受けたデータ主体の数が多い場合には、制裁金よりも集団訴訟の賠償金(和解金)の方が巨額になる傾向にあり、中には1,000億円を超える損害賠償の可能性がある事案も存在します。CCPAは2020年1月から施行1年の間に50件を超える集団訴訟が提起されており、このような直接的な金銭的なダメージも旧法の時代とは違って無視できない規模になってきています。その後も世界各国にプライバシー保護規制の強化が広がっており、UNCTAD(United Nations Conference on Trade and Development)によれば、2020年2月の時点で全世界の76%の国々が何らかの法規制を有するあるいは法規制のドラフトを有する状態となっています。

出典:UNCTAD:Data Protection and Privacy Legislation Worldwide
https://unctad.org/page/data-protection-and-privacy-legislation-worldwide

 前年の2019年3月のUNCTADの調査では、同様の国々は68%であったため、1年足らずの間に8ポイントも上昇していることからも世界各国へプライバシー保護規制が広がっていることが確認できます。

 3つ目の消費者の権利意識の向上ですが、世界中で所謂「削除権」の請求が進んでいます。IIJは2018年からDPOアウトソーシングサービスを行っており、特にEUにおけるデータ主体の方々からの権利行使対応について様々な企業の支援を行っていることから削除権行使が行われている実態について変化を感じています。実際の運用支援を通じた印象としてインターネットサービスが一般的に利用される中で、個人データ漏洩が発覚したり、プライバシーノーティスで十分な情報開示がなされていないことやプライバシーノーティスとは異なる個人データの利用が後から発覚したような場合に、そのような企業は信用できないとして容赦なく個人データの削除を求める風潮が広がっているように感じます。日本においても令和2年の個人情報保護法改正において、利用停止、消去等の請求権の要件緩和が行われ消費者の権利の拡大とそれに伴う権利意識の向上が予想されます。我々は企業人であると同時に自宅に帰れば一人の消費者です。自分自身のことを考えても、誠実に透明性高く情報開示をしたり、個人からの問い合わせ窓口を明記して真摯に対応している企業には好感が持てますが、サービスの入会キャンペーンには力を入れて多くの広告を出していても退会の仕方をわざと分かりにくくしているような企業には嫌悪感を覚えます。法的義務への対応だけでなく、プライバシー保護やダークパターンをとらない誠実な対応等、企業の姿勢がまさに消費者に問われていると思います。世界各国の法律には現段階ではばらつきはあるものの、今後ますます「削除権」の行使は拡がっていき、信用できない企業からは個人データを引き上げることが当たり前になるのはもう間近であると認識しておいた方がよいでしょう。

 4つ目のSNSの普及による悪評が拡散されやすい環境は説明をするまでもないと思います。良い情報もSNSで拡散しますが、一方で悪い評判も真偽が不明な状態でもSNS上で垂れ流されたり、事の善悪をよく考えもせず同調をしたりすることが日々行われています。このような悪い評判の拡散は、企業の信用を落とし、ブランドを棄損する一因となります。これは先の個人データの「削除権」の行使につながり、本来利活用したい個人データを使えずにDXの意味をなさない状況へと陥るリスクへとつながります。

 これら4つの要因が重なりあってここ数年の間にプライバシー保護は急速に重大な経営リスクへと変化してきました。「プライバシー」保護をいい加減に行った場合の最悪のシナリオは左図の通りで、最終的には市場から撤退することに追い込まれます。

 

 

 

 

2.  LINE問題から得られた教訓

 3月17日の朝日新聞デジタルで「LINEの個人情報管理に不備 中国の委託先が接続可能」と題する記事が報じられ、その後政府・自治体でのLINE利用の停止や管轄省庁から関係民間企業に対するLINE利用や海外への個人情報の提供に対する実態調査と事態は大きくなってきています。報じられた記事や3月23日のLINEによる記者会見の内容を確認すると、今回の件はLINE一企業の問題ではなく日本企業広く一般に対する問題としてとらえる必要があると考えます。

 LINEの記者会見によれば、中国の子会社ならびに委託先が日本のサーバーにある利用者の個人情報にアクセスできる状態にあった点とLINEメッセンジャーのトークにおける画像・動画ファイルやLINE Payの取引情報等が韓国のデータセンターに保管されている点、プライバシーポリシーでの第三国への情報提供に関して第三国を明らかにしてこなかった点を問題として社長から説明が行われました。その対応として、中国からのアクセスの遮断、韓国にあるデータの日本への移管、プライバシーポリシーの改訂を行うとの説明がありました。個々の対策は速やかに実施されるべきで、既に対応が完了しているものもありますが、その是非はここでは議論せずに問題の本質はどこにあったのか?を少し掘り下げたいと思います。

 問題の本質は、LINE問題が報じられたことを受けて利用者が感じたことは何だろうか?という点です。これは、

  • 中国や韓国に自分の個人情報が渡されることになっていたことを明確に説明してなかったことを裏切られた、騙されたと感じる憤り
  • 説明していないことを実施している不信感

に尽きるでしょう。即ち問題の本質は、

  • 透明性のある説明がなされていないこと
  • 説明の通りに運用がなされていないこと

です。自分自身がこの企業はプライバシーを重視していないなと思うのはどのようなときか?と考えると、自分の権利・利益に対して、

  • 嘘をつかれた、騙し討ちをされたと感じるとき
  • 約束(契約内容や説明内容)と違うことをされたと感じるとき
  • 公平性なく事業者側に勝手に判断されて機会を失ったと感じるとき
  • 説明がいい加減なとき
  • 問い合わせ対応がいい加減なとき

等があります。このような時に沸き起こる感情は、「この企業、気持ち悪い」や「怒り・憤り」、「不信感」といった「嫌な思い」に総称される感情だと思います。結局プライバシー侵害とは、事業者側の対応によって各個人に「嫌な思い」をさせてしまうことであり、逆にいえば、このような事態を避けることが重要なのです。それは本質的には、説明責任を果たすということであり、積極的に情報開示を行う透明性と説明通りに運用を行っていることを証明することの2点に収斂されると思います。LINEの社長は記者会見の質疑応答の中で以下のような応答をされていました。

社長:(中略)そして、何が問題だったのかということで言いますと、やはりわれわれとしてユーザーさまの分かりやすさ、そういったものに対する配慮が欠けていたということだというふうに思います。法的にどうこうということではなくて、やはりユーザーさまの感覚で見てちょっとおかしい、気持ち悪い、そういったことに対して、センスというか、配慮というか、そこに対する気を回すというか、そういったことが怠っていたというか、できていなかったということなんだというふうに思っております。そこが一番の問題だと思います。

この回答はプライバシー保護の本質をついており、プライバシーは法的義務への対応なのではなく、我々が企業人として向き合うユーザー、お客様が「嫌な思い」をしないために何をしなければならないのかを逆説的に示しているとの見方もあります。

 

3. プライバシーは法的義務から企業の社会的責任へ

 前章のLINE問題でふれたように、プライバシー保護に関して企業がとるべきことは、究極的には企業が向き合うユーザー等ステークホルダーの方々が「嫌な思い」をしないようにすることです。そのために重要なことは、個人情報の処理に関して積極的に情報開示を行う透明性の確保であり、その説明の通りに運用を行うことと我々は考えます。

 前者に関しては、LINE問題でも分かった通り、例え法的に問題がなかったとしてもユーザーが「気持ち悪い」と思う時点で企業の信用とブランドを棄損することになります。そのため、法律に従って義務として最低限の情報を開示するだけという消極的な姿勢ではユーザーからの信用を失うリスクを抱えるため、包み隠さず情報を積極的に開示していくという姿勢が信用を獲得する第一歩になると考えます。この企業はきちんと情報開示をしていて、好感が持てるとなれば、ユーザーからの評判が高まり、ブランド価値が結果として高まるのです。このようなプライバシー保護に対する姿勢は法的義務への対応を行う狭義のコンプライアンスではなく、企業の社会的責任として積極的に情報開示を行っていく広義のコンプライアンスに相当します。従来多くの日本企業はプライバシー保護に対して法的義務への対応として「コスト」として必要最低限の対応にとどめる姿勢でしたが、重大な経営リスクとなった今、プライバシー保護は企業の社会的責任として、また自社の信用、ブランド価値を高めるためにも「投資」とするよう考え方を変える必要があると考えます。このように積極的に情報開示を行い、ユーザーの信頼を勝ち得た企業が今後生き残っていくのではないでしょうか。

 

 後者に関してはルールを逸脱しない手順に従って日々運用を行うとともに、主に内部監査やJIS Q 15001(個人情報保護マネジメントシステム)等の中でしっかりとチェックをし、説明責任を果たしていくことが求められると思います。日本においては例えばPマーク制度におけるチェックが今後ますます重要になってくるのではないでしょうか。

 

4. クッキーバナーに対するIIJの考え方

 Webサイトを見ていると、「当サイトはクッキーを利用しています」といったバナーとともに同意を求めるようなクッキーバナーが出てくるサイトが増えてきました。実はIIJは日本で最も多くクッキーバナーツールを企業に導入支援している会社です。しかし、我々はクッキーバナー自体が万能な方策とは思っておらず、ある種の葛藤の中での現実的な選択肢としてお客様にご提案しています。その辺りの考えについて最後に説明をしたいと思います。

 

4.1.  クッキーバナーは義務か?

 EU GDPR/ePrivacy Directive等義務のため実施しなければならない海外法規制はありますが、日本の改正個人情報保護法の場合、クッキー等規制対応の義務にあたるケースは実はそれほど多くありません。例えば、Public DMP(Data Management Platform)からオーディエンスデータを購入してきて、会員向けサイト内で行動ターゲティング広告を出しているような企業のWebサイトは法的義務としてユーザーに説明をした上で明示の同意を得てから処理を行う必要がありますが、通常のGoogleやFacebookのような行動ターゲティング広告に用いられるクッキーの利用自体は今回の規制対象外となっています。

 ところが必ずしも義務ではない一方で、現実には日本企業にクッキーバナーの導入が昨年から徐々に浸透し始めており、年末から導入企業が急増しています。これは、個人のプライバシー権利意識の向上や2022年4月1日からの法規制の強化による制裁の強化、個人が利用停止・消去を請求できる要件の緩和等からプライバシー保護を重視する企業としての姿勢をユーザーに示すことが求められてきていることが背景にあると考えられます。このように情報公開に積極的な企業はユーザーからの評判を高めることができるため、日本でも意識の高いお客様からクッキーバナーの導入が始まっていると考えています。

 ところで、このクッキーバナーですが、特に内容を読まずに無意識のうちに同意ボタンを押しているので、ユーザビリティを下げるだけの無駄な施策なのではないか?ということや、ユーザーの離脱を促進してしまうので義務でなければやらない方がよいのでは?ということは時々議論の対象になっています。

4.2.  そもそもクッキー規制とは何か?

 いわゆる「クッキー規制」とは、ブラウザ、スマートフォン等の端末をプライバシーの領域として捉え、端末に紐づく識別子を使って本人の知らないうちにユーザーの行動を分析(プロファイリング)し、その結果に応じてサービス提供を自動的に出し分けていることを規制するものです。主に行動ターゲティング広告に使われることが多いのですが、これは、本人の知りえないところで、勝手に自分自身の行動履歴等を分析されて、それによって自動的に分別されることにより、誰かに見られているのかもしれないという気持ち悪さを感じたり、本来受けられるサービスが受けられないといった機会損失を被る等のプライバシー侵害が起きることを防ぐための措置です。そのため、まずどのような処理を行っているのか?という具体的な内容をユーザーに説明する必要があります(透明性のある情報開示)。この説明に対してユーザー自身がOKかNGかの意思を表示できる機会の提供が必要です(本人関与の機会提供)。ユーザー自身がこのような処理に対して明示的に「同意」を行った場合のみ処理をしてもよい「オプトイン」形式と、事業者側はこのような処理をデフォルトでは行っても構わないが、ユーザーがいつでも事業者にこのような処理をやめさせることができる「オプトアウト」形式の2つの実装方法があります。これらは法域によって決まっており、EUのGDPRでは「オプトイン」形式が、USカリフォルニア州のCCPAでは「オプトアウト」形式が法的に求められています。日本で法的義務でないケースの場合はそもそもクッキーバナーを出す必要はありませんが、ユーザーの信用を得るという観点では「オプトアウト」形式の実装がJIAA(日本インタラクティブ広告協会)のガイドラインによって推奨されています。

4.3.       クッキーバナーの役割とは?

 現在世界的なクッキー規制に対して、オンライン広告業界ではクッキー離れが進もうとしており、様々な技術が開発されている途上です。ただ、どのような技術が開発されても法的にはクッキーを規制している訳ではないので、あまり意味はありません。例えば、クッキーに関しては、Googleが3rd Party Cookieの利用をやめてブラウザのChrome側でユーザーの行動を分析することで外部に情報を出さない仕掛け等(プライバシーサンドボックス)を考えているものの、これも結局は、Chromeによる自動的意思決定がなされているため、十分な情報開示と同意あるいはオプトアウトの機会提供がユーザーの信用を得る上では重要となってきます。このように、どのような新しい技術が今後出てきたとしても、本質的には透明性のある情報開示本人がいつでも拒否できるような本人関与の機会提供が必要となります。そのような実装もクッキーバナーツールで行うことができるため、現段階で現実的なソリューションとして、クッキーバナーツールをIIJは販売しています。
 ところで、ポップアップは邪魔だというユーザビリティの問題及び無意識に同意ボタンを押しているので意味がないのではないか?という双方の観点から、我々もクッキーバナーがクッキー規制に対して完璧なソリューションだとは思っておりません。しかしながら、過去10年EUでは、クッキーバナーを出すことで主に事業者側のWebやマーケティングの担当者には個人情報保護に対する意識が高まりました。彼らも自宅に帰れば一消費者ですから、他の企業の実装に対する目も厳しくなり、家族と話すこともあるのだと思います。そのような日々の積み重ねが消費者側のプライバシーに関する権利意識の高まりにも多少なりとも寄与してきたのだと思います。そのような背景もあり、世の中全体としては、何もしないよりはやった方が消費者のプライバシー保護の観点ではよい方向に進むと思っています。もし、ユーザビリティの観点でも他にもっと素晴らしいソリューションが出てきたら、そちらを採用し対応していきます。
 大事なことは原理原則で、特に透明性のある情報開示と本人がいつでも拒否できる機会を提供することです。その点において現段階での分かりやすい実装方式が、クッキーバナーツールということになります。特にユーザーの離脱の観点はデジタルマーケティングの担当者の方々は気になると思います。これは最終的には経営判断かと思います。例えば、多少の離脱であれば積極的な情報開示を行った方がユーザーの信用を得て結果としてブランド価値を高める上では有用と判断し、クッキーバナーを導入されるかもしれませんし、あまりに離脱率が高いということであれば、クッキーバナーではない形での積極的な情報開示の仕方を工夫するということもあり得るでしょう。いずれにしても、ユーザーの獲得だけに気を取られて透明性を犠牲にすると消費者の気持ちが離れ、結果としてブランド価値を棄損する恐れがあるという点に留意頂ければと思います。IIJではこれまでの多くの日本を代表する企業への導入経験から貴社の透明性の向上のために法的な観点と企業の社会的責任の観点でアドバイス可能です。お気軽にご相談ください。

株式会社インターネットイニシアティブ
ビジネスリスクコンサルティング本部長
小川晋平

 

 

 

おススメ

おススメコンテンツ

おススメeBook

おススメサービス

関連記事