巨大さの呪縛と個人の「尊重」

Apple CEO ティム・クックによる演説。GAFAの中でもAppleはプライバシー保護に特に力を入れてきた。2018年10月に欧州議会で開催された国際会議でアメリカにもEUのGDPRに相当する強力な連邦プライバシー保護法の必要性を主張した

GAFAの魔力

　GAFAは魔術師のごとく人々を魅了してきました。

　[G]oogleは検索を通じて日々多くの情報を与えてくれます。

　[A]ppleは洗練されたデザインのデバイスで生活を支えてくれます。

　[F]acebookは世界中の人をつなげてくれます。

　[A]mazonは自宅から多くの商品を手に入れることを可能にしてくれます。

　GAFAのビジネスは、世界中の企業家のビジネスモデルになり、また国境を越えて消費者に利便性をもたらしてきました。そのビジネスの秘訣は個人データにあり、「データを制する者はビジネスを制する」とみなされるようになってきました。

　ヨーロッパやアメリカでは、GAFAを規制するための当局による制裁や新たな立法が検討されており、日本においても規制の検討が始まっています。GAFAに対する課税や市場における独占的地位をめぐる規制のほか、利用者等の個人情報を適切に保護するための規制の在り方の検討が必要となります。

　しかし、GAFAの魔力を狙い撃ちするような魔女狩りの立法は、本質的な問題の解決にはならないでしょう。

　そもそもGAFAのビジネスモデルがもたらした脅威とはどのようなものでしょうか。そして、なぜGAFAを規制しなければならないのでしょうか。この規制の背後にある思想とはどのようなものであり、あるべき規制論とはどのようなものなのでしょうか。私たちの個人データを預かるGAFAにはどのような規制が必要なのでしょうか。特にプライバシーや個人情報保護の観点からこれらのことを以下考えてみることとします。

GAFAへの包囲網

　ヨーロッパではGAFAに対し制裁金が次々と科されようとしています。

　フランスでは、2019年1月、Googleに対し、5000万ユーロ（約62億円）の制裁金を命じました。利用者へのデータ処理に関する情報提供が不十分であったこと、そして広告配信について利用者からの同意の取得の仕方が適切でなかったことが理由となりました。

　イギリス情報コミッショナーは、Facebookに対し、約8700万人の利用者のデータが研究者を通じてケンブリッジアナリティカ等に共有され選挙用広告に利用されてきたことから、本人の同意を得ずにデータ処理を行い、安全管理措置に違反したため、2018年10月に50万ポンド（約7200万円）の制裁金を科しています。

　ドイツ連邦カルテル庁は、2019年2月、FacebookがSNSの優越的地位を利用して第三者のウェブサイトから個人データを収集している実態が利用者からの自発的同意に基づくものとは言えないとして、自発的同意を得ない限り様々なソースからの個人データの収集を禁止する命令を下しました。さらに、ドイツ連邦カルテル庁は2018年11月にはAmazonに対してもその取引実態について調査を開始しました。

　アメリカでも、連邦取引委員会がケンブリッジアナリティカ事件を受けてFacebookへの調査を開始し、また大手IT企業が拠点を置くカリフォルニア州において2018年6月に消費者プライバシー州法が成立するなど個人情報保護法制にも動きが見られます。

　このようにGAFAを取り巻く環境は規制の目の対象となっています。

監視資本主義

　GAFAをはじめとするデータ崇拝者は、個人データをマネタイズし、個人を商品化させ、そして個人をデータの従属的地位へと貶めるリスクを現実のものとしています。

　個人データを駆使したビジネスモデルは、個人データの監視を通じて行われる「監視資本主義」へと変容しつつあります（Shoshana Zuboff, The age of surveillance capitalism, Public affairs, 2019）。

　消費者が自らの個人データがどのように収集、利用、共有されているかを知らないところで、顧客像を造り出し、オススメの広告を配信し、商品を提示させることで対象者の一歩先を読む「おもてなし」をすることができるようになりました。GAFAにみられるようなデータビジネスは、利用者に無料のサービスを提供する見返りに、収集した利用者の個人データをマネタイズすることで成り立っています。

　監視資本主義の台頭により、利用者のプライバシーがなくなったのではなく、利用者のプライバシーの条件がGAFAに象徴されるごく一部の大企業のサービス設定によって左右されかねない状況が生み出されたのです。

　手のひらのスマホでGAFAを利用する私たちは、GAFAのサービスの手のひらで逆に操作される対象となってしまったのです。

人間とデータの主従関係

　GAFAの規制を考えるにあたり必要な視点は、データと人間との主従関係であると考えています。

　ヨーロッパの一連の法執行や立法動向の底流にある思想は、人間の「尊厳」です。別の言い方をすれば、人間が主体であり、データがその客体である、という考え方です。

　この主従関係を逆転させ、もっぱらデータから個人像を導き出し、人間をデータに従属させるような取り扱いは人間の「尊厳」の思想と相いれません。個人へ広告配信し、商品をおすすめし、そして個人の決定を導くデータが主役となるビジネスモデルは、人間の主体性を損なうものであるとみなされるからです。

　かくして、ヨーロッパにおいては、人間の「尊厳」を基調としたデータ包囲網が具体的な立法として、そして法執行として反映されることとなったのです。

人間の「尊厳」の砦としてのGDPR

　欧州連合（EU）では、2018年5月25日から一般データ保護規則（GDPR: General Data Protection Regulation）が適用開始となりました。GDPRは、EU基本権憲章において保障され、人間の「尊厳」の思想に根ざした個人データ保護の権利を擁護するための厳格な立法です。

　GDPRでは、個人データ処理が、人類に寄与するよう企図されなければならないことを理念として掲げています（GDPＲ前文4項）。

　この背景には、かつてナチスがIBMのパンチカードを用いて、居住地域、言語のほか身体的特徴をそれぞれパンチで記録し、そこから得られた情報を元にユダヤ人を見つけ出し、大量殺戮を行ったという過去があります。また、西ドイツで個人データ保護法が整備された後にも、東ドイツでは、シュタージ（秘密警察）が、家族や恋人さえもが協力者として、対象者とされた市民の生活を盗聴・盗撮などで監視し、詳細な個人の記録ファイルが秘密に作成されてきました。

シュタージ博物館の展示。シュタージの監視対象とされた個人は、盗聴や盗撮のほか、家族や恋人を含む協力人の情報提供により個人ファイルが秘密に作成されていた。ベルリンの壁の崩壊後に本人がアクセスすることができ、そこには「第２の自分」が作られていたことが報告されている。ナチスのIBMパンチカードの利用とともに、この反省がドイツの厳格な個人データ保護法の背景になった。

　個人データの誤った利用の歴史が現実のものとして、ヨーロッパの人たちのDNAには刻まれています。GDPRは、このような過去の過ちとの決別を宣言し、将来にわたり個人データが人類に寄与することを狙いとしています。

GDPRによるGAFA規制

　GDPRの厳格な規定についてみれば、各企業には、一定の要件のもと、データ保護責任者を配置する義務があり、データ漏えい等が発生した場合は、72時間以内にデータ保護監督機関への通知を行わなければなりません。個人データがいつまでも企業や政府に保存されることがないよう、削除権・忘れられる権利が明文で認められています。

　これらの権利や義務に違反した場合には、最大で年間総売上の4%または2000万ユーロの制裁金が科されることとなり、実際、2018年5月25日以降、制裁金を命じられた事例がいくつかみられるようになりました。

　GDPRは、そもそもGAFA対策を主たる目的とはしていませんでした。しかし、GDPRにはGAFA規制に用いることができる次のような規定が含まれています。

① 同意
　第１に、同意については、本人の自由意思に基づくものでなければならず、チェック済みの同意は無効であり、いつでも同意を撤回できる権利が認められています。

　GAFAのビジネスは、「同意をするか、さもなくば利用するな（take-it-or-leave-it）」という条件で個人データを収集しています。フランスのデータ保護監督機関がGoogleに対する制裁金命令の中で明らかにしているように、様々なサービスを一元的に集約して、包括的な同意を取得する方法はGDPRの下では無効とされることが示されました。今後、日本の企業を含め、データビジネスにおける同意の取得方法と同意の撤回について再検討が必要となるでしょう。

② データポータビリティ権
　第２に、データポータビリティ権です。データポータビリティとは、個人が自らの個人データを持ち運ぶことを意味し、A社が保有する電子メールをB社へと移転させることなどが想定されます。データポータビリティ権は、競争政策と関連しており、消費者が特定のサービスにロックインされないよう、個人に選択肢を付与することが期待されます。

　なお、データポータビリティは、大きなプラットフォームへの乗り換えをする利用者が増えてしまえば、かえってGAFAのサービスを増強する道具にもなる点で、その運用に留意が必要となります。

③ プロファイリングされない権利
　第3に、企業や政府によるアルゴリズムのみによる選定が行われないよう、雇用や保険における人間の介入を前提とした、プロファイリングを含む自動処理のみによって決定されない権利が明文化されています。

　今日のプロファイリング技術は、インターネットの閲覧履歴や「いいね」を押したボタンから、