プライバシーよりデータ保護(個人の感想です)
こんにちは!
主婦なのに口べたな主婦ねこです!
今回は,プライバシー(Privacy)とデータ保護(Data Protection)の違いをざっくり整理したうえで,私はプライバシー保護も大切だけどデータ保護の方が大事だと思う!という,すごーく個人的な話をしようと思います.本記事を通してプライバシーやデータ保護の話が,身近な話題に感じて頂けると嬉しいです.
プライバシーとデータ保護の違い
まずは,そもそものプライバシー(Privacy)とデータ保護(Data Protection)の違いをざっくりまとめます.
プライバシー(Privacy)はアメリカで育った概念
プライバシー(Privacy)という言葉が,法律上の権利として議論されるようになったのは,1890年にウォーレン(Samuel D. Warren)氏とブランダイス(Louis D. Brandeis)氏の提唱した「プライバシー権」からです.当時のアメリカではイエロージャーナリズムと呼ばれる扇情的な報道が盛んで,このような報道に巻き込まれることのない「ひとりにしておいてもらう権利(right to be let alone)」として「プライバシー権」が提唱されました.
その後,アメリカでは,政府による個人情報の集中管理を目指した『ナショナルデータセンター構想』による反発をきっかけに,1967年,アラン・ウェスティン(Alan Westin)氏によって「プライバシー権」は「個人、グループまたは組織が、自己に関する情報を、いつ、どのように、また、どの程度に他人に伝えるかを自ら決定できる権利」であると再定義されました.現在では権利主体を「個人」に限定し、「自己情報コントロール権」として広く知られた概念になっています.
ということで,アメリカの個人データに関連する法律にはPrivacyという単語が入るものが多い印象です.一番有名なカリフォルニア州の州法はCalifornia Privacy Rights Act (CPRA)ですし(その前身はCalifornia Consumer Privacy Act(CCPA)です),起案されては立ち消えするアメリカ合衆国の個人データに関する法律名はAmerican Data Privacy and Protection Act(ADPPA)だったりAmerican Privacy Rights Actだったりします(※1).(ADPPAにはData Protectionの文字も入っていますが.)
データ保護(Data Protection)は欧州発祥
一方の欧州では,1977年にドイツが連邦データ保護法(Bundesdatenschutzgesetz、BDSG)を制定したのを皮切りに,コンピュータによる自動処理から個人の人権を保護するための法律が制定されていきます.これはナチス・ドイツのホロコーストがIBMのパンチカードシステムを用いて非常に効率的に進められたという事実を鑑みて,国家権力がコンピュータによるデータ処理によって,人々の人権を脅かすことがないようにするという目的があると言われています(※2).
その後,1981年には欧州評議会が「個人データの自動処理に係る個人の保護に関する条約(条約108号)」を採択,1995年の「EUデータ保護指令(Data Protection Directive)」を経て,2016年にEU域内で「一般データ保護規則(GDPR:General Data Protection Regulation)」が採択されました.(ちなみにGDPRの前文と条文にはPrivacyという単語は1度として出てきません(※3).)
PrivacyもProtectionもどっちも頭文字がPなので非常にわかりにくいのですが,アメリカと欧州では,個人データに関して何が脅威なのかという前提から,使う言葉まで大きく違うんですね.
ちなみに1980年のOECDプライバシーガイドラインは両者の姿勢の相違を調整するために策定されたのだとか.(本当はもっと色々と複雑な事情がありそうですが割愛(※4).)
はい、大切な話はここまでです!
プライバシーよりデータ保護(個人の感想です)
さてここからは,私のとーっても個人的なお話.
私が個人データ関連の話題に触れるようになったのはPETs(Privacy-enhancing technologies)との出会いから.技術的にはとても魅力的で,プロトコルを眺めているだけでうっとりするのですが,肝心の「プライバシーを保護する」ことの必要性がいまひとつピンと来てませんでした.
時は流れ,2人のかわゆ~い子供たちが生まれて再びPETsに再開したのが2020年頃.関連する個人情報保護法のキャッチアップをしていて以下の記事に出会いました.(というのはちょっと嘘で,ホントは2021年春のGROCOM六本木会議のシリーズ(※5)を聴きつくし,関連する記事(※6)を読み漁りました.)
データ保護はデータによる差別を防ぐこと.
これは...わかる!私にもその価値が!!
かつての上司が私に言った「女性はコミュニケーション能力が高いものね」という言葉がふとよぎり(いや、そこ期待されても困る!),つられて…いろいろと思い浮かぶことが.あぁ,あの煩わしさが,データによっても起こるかもしれないというのは…かなり嫌な世界だなぁと思いました.
ちなみに差別の再生産みたいな話になると「オレには関係ない」って思う方もいるかもしれませんが,データによる差別は,今まで差別から逃れてこられた男性にも起こりえます.
例えば,たま~に「魚の食べ方がきれいな奴が,結局,仕事できるやつなんだよな~」みたいな謎の人間観を持っている人,いますよね.いや,魚をきれいに食べることは素晴らしいんだけど,仕事できるかとは関係ないですよね.AIだって似たような学習をしている可能性はあります(※7).そしてその学習結果が広くあまねく利用されるようになったら,いたるところで,魚の食べ方でその人の仕事の評価が決まる…かもしれない.…まぁ,魚の食べ方はデータ化されにくいので可能性は低いですが,似たような「いや,そこカンケーないだろ!」って話は起こりえます.ディストピア小説の世界ですよね.
AIにハスキーと狼を分類させて,分類に寄与した部分を可視化したら,背景で判断してたって話.
本人(本犬?)をみてあげて!
そんなわけで,世の中の差別はなくならないけれど,個人データによって,差別がより潤沢にバラエティー豊かになる世の中を防ぐデータ保護が,私は大切だと思っていますし,個人情報保護法で適切に規律してほしいと思っています.法律ド素人の私には,法解釈的な妥当性は判断できませんが,いち生活者として,また,ふたりの子供の親として切に願うばかりです.
というわけで今度の金曜日のJILISの緊急シンポジウムも楽しみにしてます!
追記
高木浩光先生より頂いたご指摘を追記させていただきました.
改めて,ありがとうございます.
プライバシーとデータ保護の違いのところ、米国法にprivacyの語があることについては、公的部門のPrivacy Act of 1974ではデータ保護と同じ内容だった点(詳しくは拙稿連載論文(6)(7)を参照)に注意。しかし、1990年代以降それが忘れられており、現在も乖離。他国にも影響。https://t.co/PFSIde3tZB
— Hiromitsu Takagi (@HiromitsuTakagi) July 22, 2024
連載(6)https://t.co/GNEsoQzT24
— Hiromitsu Takagi (@HiromitsuTakagi) July 22, 2024
連載(7)https://t.co/FTQ5SlriTg
(7)もオープンアクセスになっていた。(8)はまだ会員のみ。
あとこの辺、データ保護が勃興した1970年代の文献を見ると、そういうことは全然ほとんど言われていないのですよ。
— Hiromitsu Takagi (@HiromitsuTakagi) July 22, 2024
問題とされる差別はその種のものではなく、データ処理を前提にすると些細なデータ項目というものは存在しない(全てのデータ項目が統計的に差別を生む)という意味での差別なのです。 pic.twitter.com/wVVDQnhMVr
Privacy Act of 1974は上記のポストでご指摘頂いている通り,公的部門(連邦の行政機関、軍事機関等々)を対象とする連邦レベルの法律で,記録システム(system of records)に含まれる個人の記録にかかる収集・保持・利用等に関する義務を規律しています.
また本編で触れた,ここ数年のアメリカのプライバシー関連法案であるAmerican Data Privacy and Protection Act(ADPPA)と,American Privacy Rights Act(APRA)について,ネットニュースレベルでですが少し調べたことを補足します.
American Data Privacy and Protection Act(ADPPA)は2022年ごろにアメリカで議論されていた連邦法案です.
イェール大のジャック・バルキン(Jack Balkin)教授らの提唱する「duty of loyalty(忠実義務)」を中心とした法案だったようです.「duty of loyalty(忠実義務)」の考え方は,上記の記事に解説がありました.
バルキン教授によると、データ主体(個人)とデータ保有者(IT企業など)の関係は、依頼者と弁護士や医者など専門家との関係に類似しているという。個人は企業のサービスに関する情報が企業側に比べて乏しく、個人情報を与えなければサービスが受けられないなど弱い立場にあるからだ。よって個人情報を扱う企業側には医者らと同様に注意義務や忠実義務が発生し、プライバシー保護を怠った場合には、その義務違反が問われることになる。
ただ「(忠実義務は)プラットフォーマーにささいな行動制限を課すだけで、信頼性を担保してしまうことになる」(上記の日経新聞記事より抜粋)などの懸念の声があったようです.そもそもの「duty of loyalty(忠実義務)」という考え方を疑問視する声もあるようで,たとえばSNSなどのプラットフォーム事業者ですが,彼らのビジネスには一般ユーザだけでなく広告事業者など複数の主体が関わります.この場合,両者に対する信認義務の間には利益相反が生じる可能性があり,この場合,ユーザのプライバシーを優先する理由が「duty of loyalty(忠実義務)」では説明できないのではないかとの指摘がされています(※8).
一方で今年(2024年)の4月に超党派から草案が提出され話題になっているのがAmerican Privacy Rights Act(APRA)です.「米国版GDPR」と表現しているメディアもあり,ADPPAよりは独自色が強そうには見えませんが(※9)…詳細については今後もウォッチが必要そうです!(力尽きた)
参考情報
(※1)アメリカのプライバシー法案に関するニュースです.
(※2)GDPRの生まれた背景.
小向先生と石井先生の『概説GDPR 世界を揺るがす個人情報保護制度』に以下のように記載されています.
欧州は、厳格な個人情報保護制度を持つことで知られている。その背景として、第二次世界大戦時にナチスドイツによるユダヤ人への迫害があったことなどがよく挙げられる。これに限らず、民族、宗教、信条、自出等に基づく差別は、個人情報の最もグロテスクな利用方法である。ヨーロッパでは差別や迫害の歴史への反省から、個人情報に関わる人権保護についての意識が高いとされる。
(※3)個人情報保護委員会のサイト.GDPRの前文と条文(翻訳付き)があるので「privacy」で検索かけてみてください.
(※4) OECDプライバシーガイドライン成立までの経緯に触れられていてとても興味深いです.(元論文もいつか読みたいです)
(※5)GLOCOM六本木会議の「個人情報保護法制のこれから」シリーズ
(※6)関連記事.ほかにも色々読んだかも.JILISレポートを買った記憶が.
当然,個人情報保護法の3年ごとの見直しの有識者ヒアリングも読みました.(パワーポイントより文章の方がわかりやすい…)
(※7)
Ribeiro, Marco Tulio, Sameer Singh, and Carlos Guestrin. "Why should i trust you?" Explaining the predictions of any classifier." Proceedings of the 22nd ACM SIGKDD international conference on knowledge discovery and data mining. 2016.
(※8)プライバシとデータ保護の歴史の部分は以下の書籍を参考にしました.(コンパクトにまとまっていて素人には良かったです.)
加えて、プライバシーホワイトの教科書を参考にしました.「プライバシーホワイトとはなんぞや」というブログも書きましたので、興味のある方はぜひご参考に!
(※9) APRA関連の記事.
ダータクパターンによる同意取得の禁止なども含まれているようです.
(FTC法でカバーできないんですかね?)
二転三転している様子.
(※) Privacy Act of 1974に関しては以下の記事も参考にしました.
「個人情報保護法制に関する欧米の動向―立法措置と監督機関の比較―」(国立国会図書館)
※アイキャッチ画像はDALL-E3にて作成しました.自由な世界を愛する感じを出したかったんですけど…うーむ.
この記事が気に入ったらサポートをしてみませんか?