ビッグデータとプライバシー:オバマはシリコンバレーを敵に回さない

オバマ大統領は結局、シリコンバレーを敵には回さないんだ、ということがよくわかる報告書だった――。

オバマ大統領は結局、シリコンバレーを敵には回さないんだ、ということがよくわかる報告書だった――。

ホワイトハウスは1日、「ビッグデータ:チャンスを捉える、価値を損なわずに(Big Data: Seizing Opportunities, Preserving Values)」と題する80ページに及ぶ報告書を公表した。

テーマはまさに、〝ビッグデータ時代のプライバシー〟だ。

問題の震源地である米国が、このグローバルなテーマをどう扱うのか。

興味津々で読んだこの報告書は、スノーデン事件で一敗地にまみれた米国のプライバシー政策の、新規まき直し宣言とも言える内容だ......ただ、国際社会が納得するかどうかは別の話だが。

●メルケル首相との会談の前日

報告書の公表の翌日には、ドイツのメルケル首相との首脳会談がホワイトハウスで行われた。このタイミングは、もちろん偶然ではないだろう。

メルケル首相をめぐっては昨年10月、米国家安全保障局(NSA)と米中央情報局(CIA)がその携帯電話を10年以上にわたって盗聴していた疑惑が発覚した。

この盗聴疑惑についてオバマ大統領に電話して直接説明を求め、「友人を監視する、ということをやってはいけない」と激怒した、あのメルケル首相との会談。

盗聴疑惑をきっかけに、米独間で交渉が続いてきた「包括的スパイ禁止協定」の締結も、今回の首脳会談の議題の一つだった。だが、ニューヨーク・タイムズなどによると、監視活動について米国との間に「重大な開きがある」(メルケル首相)として、合意には至らなかったようだ。

首脳会談後の会見でオバマ大統領は、現状では明確な規定がない「他国民へのプライバシー保護措置」について述べている。

これは、「ビッグデータとプライバシー」報告書が示した提言の柱の一つ。つまりは、メルケル首相への〝おみやげ〟でもある。

●発端はスノーデン事件

今回の報告書の発端となったのは、スノーデン事件で明らかになったNSAの大規模な情報監視活動だ。

プライバシー侵害との国際的な批判を受けて、オバマ大統領は1月17日にNSAの改革案を発表する。

この中で、「ビッグデータとプライバシーに関する包括的な検証を行う」とも述べており、それから約3カ月でまとめ上げたのが、今回の報告書だ。

取りまとめにあたったのは、ジョン・ポデスタ大統領顧問。クリントン政権時代に首席補佐官を務めたベテランで、オバマ政権2期目の体制強化の目玉として起用した人物だ。

報告書のチームは他に、ペニー・プリツカー商務長官、アーネスト・モニッツ・エネルギー長官、ジョン・ホルドレン科学技術担当補佐官、ジェフリー・ジエンツ国家経済会議委員長の4人。

報告書のために、アップル、フェイスブック、グーグルなど113の関係団体からの聞き取りを行い、76のパブリックコメントが寄せられたという。

また、科学技術政策局(OSTP)主催で3度のシンポジウムを開催。このうち3月にニューヨーク大学で行われたシンポジウムでは、「『デジタルネイティブ』は幻想だとダナ・ボイドはいう」で紹介したソーシャルメディアと教育問題の専門家、ダナ・ボイドさんがモデレーターを務めている。

ボイドさんは、ビッグデータとプライバシーに関する論考がある、この分野の専門家でもある。

今回の報告書とあわせて、大統領科学技術諮問会議(PCAST)がまとめた「ビッグデータとプライバシー:技術的展望(Big Data and Privacy: A Technological Perspective)」という報告書も公表されている。

●6つの政策提言

今回の報告書のポイントは6つの政策提言だ。

その一つがすでに紹介した「他国民へのプライバシー保護措置」。

スノーデン事件で国際世論が沸騰した、米の監視活動による地球規模のプライバシー侵害について、「行政管理予算局(OMB)が保護措置を講じるべきである」とした。

スノーデン事件の後始末、ということになる。

そして、提言のトップに掲げられているのが「消費者プライバシー権利章典の推進」だ。

消費者プライバシー権利章典」とは、2012年2月、オバマ政権が打ち出したネット時代のプライバシー保護政策。

「プライバシーの普遍の価値を新たなテクロノジーと時代状況に適合させる」として、(1)個人のコントロール権(2)透明性(3)収集条件の尊重(4)セキュリティ(5)アクセス権と正確性(6)収集制限(7)説明責任、という7つの原則をあげている。

2年前の「権利章典」を改めて取り上げ、「商務省はビッグデータの権利章典への影響を評価し、法案のたたき台を起案すべき」としている。

●EUとの違いを強調する

そもそも「消費者プライバシー権利章典」は、その1カ月前に欧州委員会が公表した欧州連合(EU)の「個人データ保護規則案」に呼応するものだった。

これは、1995年に制定したEUのプライバシー政策「データ保護指令」を、ネット時代に対応して大幅に見直す内容で、不要な個人データを削除するための「忘れられる権利」などが盛り込まれ、注目を集めた。

プライバシー政策でEUが動けば、米国もすぐさま動き、独自の立ち位置を確保する。まさに、「プライバシー外交」(堀部政男・一橋大名誉教授)が展開されていた。

IT業界からの猛烈なロビー活動で遅々として審議の進まなかった「個人データ保護規則案」だが、昨年6月に発覚したスノーデン事件で様相は一変する。

「個人データ保護規則案」は、米国・NSAによるプラバシー侵害への対抗策の意味合いを持つようになり、罰金額が100倍に引き上げられるなど規制内容を強化した上で、10月には欧州議会の委員会を通過した。

この間の経緯は、当ブログの「米の情報監視とEUの100倍返し、そしてシリコンバレーが笑う」で概略をまとめている。

『消費者プライバシー権利章典』は、企業に単一のしゃくし定規な要求を厳守させるのではなく、その実施にあたって各企業の自由裁量を認めていくという、一般原則を定めたものだ。

今回の報告書は、「権利章典」をそう位置づけている。「単一のしゃくし定規な要求」とは、明らかにEUの「個人データ保護」を指すものだろう。

スノーデン事件以降の国際世論に対応するため、2年前の「消費者プライバシー権利章典」はアップデートしていく。だが、あくまでEUとの立場の違いは明確にしておく――そういうメッセージだ。

これを6つの政策提言の冒頭にもってきているところに、〝スノーデン事件からのプライバシー政策の新規まき直し〟という報告書の位置づけが見て取れる。

そして、報告書のいう「各企業の自由裁量」とは、シリコンバレー企業へのメッセージでもある。

●シリコンバレーへのメッセージ

スノーデン事件に巻き込まれたのは、首相の携帯が盗聴されたドイツなど諸外国ばかりではない。その片棒を担いだ形になったシリコンバレーも、大混乱に陥った。そのあたりの事情については、以前に「情報監視はインターネットをどのように壊しているか」でも紹介した。

雑誌「ワイアード」のスティーブン・レビーさんの記事によると、ユーザーから見れば明らかな〝裏切り〟行為と映ったこの騒動は、グーグルやフェイスブックにとっては「米政府との戦い」だったのだという。

NSAの監視は対外情報監視法(FISA)に基づく極秘の情報収集であり、情報を提供したことについても公表できないという法のしばりがある。このため、シリコンバレー企業は〝裏切り者〟として批判を受けながら、釈明らしい釈明ができなかったという事情がある。

「各企業の自由裁量」を強調することで、プライバシー情報の取り扱いで批判の的となるシリコンバレー企業に、少なくともEU的なたがをはめるつもりはない、というメッセージにはなる。

さらに、シリコンバレーにはもう1つのメッセージが盛り込まれている。

●電気通信プライバシー法の改正

それが、6項目の政策提言の最後に述べている「電気通信プライバシー法の改正」だ。

議会は電気通信プライバシー法(ECPA)を改正し、ネット上のデジタルコンテンツが実社会で認められているのと同程度の保護水準を確保できるようにしなければならない――未読か既読か、一定期間を経ているかどうかで、メールの取り扱いを分けるような古くさい区別を撤廃することを含めて。

この法律をめぐっては、シリコンバレーとオバマ政権との2010年まで遡る経緯がある。

1986年に制定されたEPCAは、捜査機関による電気通信データへのアクセスを定めた法律だが、インターネット時代、さらにはクラウド時代に対応した改正が行われないまま、20年以上が経過していた。

コロンビア・ジャーナリズム・レビューの記事によると、ECPAではメールの押収手続きについて、送信中、もしくは送信から180日以内の未読メールについては裁判所の捜索押収令状が必要だが、既読もしくは送信から180日以上経過したメールについては、裁判所の許可がいらない文書提出命令でよい、という規定になっているようだ。

メールサーバーからローカルのパソコンへ、小まめにメールをダウンロードしていた時代に比べ、今やメールはクラウドに起きっぱなしというケースも多いだろう。未読か既読か、半年を過ぎたかどうかでプライバシー保護レベルが変わるというのは、確かに「古くさい区別」だ。

これに対し、グーグルやマイクロソフトなどが業界団体「デジタル・デュー・プロセス」を結成。同年3月にオバマ政権に対し、EPCAの改正を求めたのだ。

この要望が、4年後の今になって、実現の日の目を見ることになった。

メッセージは明らかだろう。

●ビッグデータによる〝差別〟

残る3項目の提言のうち、目をひくのは「差別を阻止するための技術的知見の拡大」だ。

連邦政府における公民権と消費者保護に関する主要官庁は、技術的知見を拡大し、ビッグデータ分析により要保護の階層にマイナスの効果を及ぼしそうな実例とその影響を明らかにせよ。そして、法令違反を調査し、解決するための計画を策定せよ。

日本では、ビッグデータとプライバシーの論点が、情報漏洩、なりすまし、などの文脈で取り上げられることが多い。

だが報告書が、現実的な被害が発生するケースとしてここで指摘するのは、不正確なビッグデータの分析による間違ったプロフィールが作成されてしまう問題だ。

間違ったプロフィールは、例えば就職やクレジットカードによる信用付与などの場面で、〝差別〟という形での実害を発生させることになりかねない、と。しかもこれらの〝差別〟による実害は、目に見えにくいために、その根は深い。

●データ漏洩そして教育

報告書はデータ漏洩についても指摘している。「データ漏洩防止法の成立」だ。

オバマ政権は2011年5月に、「サイバーセキュリティ法制に関する提言」を公表しており、この提言に沿ったデータ漏洩対策基準の整備を求めている。

そして、残る柱が「学校の生徒について収集したデータは教育的に限定して使用することの確認」。教育に関するデータの目的外使用の禁止、ということだ。

●人権団体、そしてEUの目

今回の報告書では、「ビッグデータとプライバシー」としながらも、オバマ大統領の諮問の経緯から、NSAの情報監視活動に関する検証は含まれていない。

取りまとめにあたっては、シリコンバレー企業などのほか、プライバシー問題には敏感な電子フロンティア財団(EFF)や米国自由人権協会(ACLU)などの人権擁護団体などからも意見聴取が行われている。

そして、例えばACLUは、「報告書は重要で新しい現実を理解し、積極的な政策提言を行っている」とかなり肯定的に評価している。

一報で、意見聴取やパブコメにも応じている「センター・フォー・デジタル・デモクラシー(CDD)」はこのような批判声明を公開している。

報告書は、データ収集拡大にゴーサインを出しながら、その基本方針は〝まず収集。プライバシーと消費者保護の心配は後回し〟だ。

欧州メディアは、当然ながら辛口だ。

大量のユーザー情報を収集する米国のインターネット企業は、ホワイトハウスがスノーデン事件を受けて取りまとめた調査報告書によって、主な情報収集活動を承認され、難を逃れることができた。

フィナンシャル・タイムズは、そんな書き出しの論評を掲載している。

●EU個人データ保護規則のゆくえ

そもそものEUの「個人データ保護規則案」は、今、どんな状態なのか。

当初は今月下旬に行われる欧州議会選挙前の決着を目指した。だが、それはどうも難しいようだ。

欧州議会は3月12日の本会議で、規則案を可決している

だが新規則成立には、さらに閣僚理事会での承認が必要になる

「個人データ保護規則案」に消極的な英国の情報保護監視機関「情報コミッショナー」のデビッド・スミス・副コミッショナーが、ロンドンで開催されたカンファレンス「インフォセキュリティ・ヨーロッパ」での講演で、後ろ向きな見立てを述べていたようだ

今年中に(規則案が)通るといわれたら、私はビックリするだろう。2015年には成立するかもしれない。そして新規則は、発効までに2年かかる。つまり法改正の話は、早くても2017年より前には出てこないということだ。

●日本の個人情報保護法改正

他国はともかく、日本は?

ビッグデータに対応した法改正議論はすでに始まっている。

現行の個人情報保護法の2015年改正案提出を目指して、政府のIT総合戦略本部の「パーソナルデータに関する検討会」で検討作業が続く。

4月24日までに8回の会合が行われ、6月には大綱決定、7月パブリックコメント、というスケジュールになっている。

4月16日の第7回会合に事務局から提出された、「『個人情報』等の定義と『個人情報取扱事業者』等の義務について」という文書では、「(仮称)準個人情報」「(仮称)個人特定性低減データ」などの新しい概念も登場し、議論は混沌としてきているようではあるが――。

(2014年5月4日「新聞紙学的」より転載)

%MTSlideshow-236SLIDEEXPAND%

%MTSlideshow-236SLIDEEXPAND%

注目記事