DX時代・COVID-19時代のプライバシー

1. 日本国内での個人情報の取扱いに関する利用者の意識と企業の対応

DXの一層の推進が企業の目標となり、積極的なデータの利活用が行われている中、企業での個人情報の取扱いに関して利用者は何を感じていて、企業はそれらに対してどのように考えるべきか、本調査の調査結果をもとに2つの観点から考察した。

• 利用者に対する、個人情報の取扱いについての説明はどうあるべきか
• データに関する利用者の権利への対応はどうあるべきか
   

(1) 個人情報に関する説明への関心が高まらない？

企業は、個人情報を取り扱う際、本人に利用目的を原則通知または公表しなくてはならない。通常このような通知や公表は、利用規約等の文書を用いて行われる。ここではまず、さまざまなサービスを利用するにあたり、利用者がそのような文書をどの程度読んだうえで自身のデータが取り扱われることに同意しているかに関し、次の質問について回答を求めたところ、下図の結果が得られた。
 

図1: 利用規約を読まずに同意する頻度（2018年-2020年）

Q. スマートフォンで以下のことを行うとき、利用規約を読まずに同意する頻度はどの程度ですか。
・モバイルアプリのインストール／ダウンロード
・Wi-Fiホットスポットへの登録
・ソフトウェアアップデートのインストール
・小売店またはオンラインサービスへの会員登録（音楽および動画のストリーミングなど）
・利用規約の変更の通知

N=日本 2018 (1,363), 2019 (1,484), 2020 (816)
注：従来型の携帯電話またはスマートフォン所有者。 2020年は全回答者の半分を対象に調査
出所：デロイト世界モバイル利用動向調査 2018, 2019, Deloitte Digital Consumer Survey 2020

利用規約があまり読まれていない？

回答の状況を見ると、過去3年間で「いつも」「ほとんどいつも」「時々」読むことなく同意してしまう人が全体の過半数(60%～70%程度)になることが分かった。一方必ず読む人（上記回答で「まったくない」）は、全体の10～14%と僅かであった。これらの点は特にこの3年間で大きな変化がなく、継続した傾向になっている。この結果は、デジタル化が進展する中で、自身のデータを提供することに利用者はあまり抵抗を感じていない、と捉えることもできなくはない。ただ一方で、企業が取り扱う個人情報に関し、漏えい・不正利用やいわゆる炎上の事例がこの調査期間においても多く発生していることも踏まえると、そもそも利用規約を読むのを煩雑と感じている、または読まないことに慣れてしまっている利用者が多いと捉えるのが無難と考えられる。

利用目的は通知・公表しなければならない

個人情報保護法（平成27年改正）には、「個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的をできる限り特定しなければならない」（第15条第1項）「個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し又は公表しなければならない」（第18条第1項）と定められている。利用目的の特定にあたっては、個人情報保護法のガイドライン（通則編）に「利用目的を単に抽象的、一般的に特定するのではなく、個人情報が個人情報取扱事業者において、最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」（3-1-1 利用目的の特定）とあり、単に「事業活動に用いるため」や「マーケティング活動に用いるため」といった記載では、具体的に特定していないと見なされる。また、通知・公表することの趣旨については、自身の個人情報がどのように利用されているかを本人が認識できないことから生じる不安感を解消させるとともに、目的外利用の疑いが生じた場合に本人が苦情を申し立て等の対応をとることを可能にさせる点にあると言われている¹。個人情報の取扱いに関して、企業の透明性・説明責任が求められている。

利用者に分かりやすい説明のあり方とは？

企業における個人情報の取扱いの説明には、利用規約等のドキュメントに文章で示すケースが多く見られる。サービスの提供にあたり契約書類を用意するのは必要でありながら、特に個人情報の取扱いに関する説明については、そうした契約書類とは別の形で利用者により分かりやすく伝える以下のような試みもいくつかの企業において見られている。

ケース(1)　長い説明文を細かく分解して読み易くする。
ケース(2)　ポイントに絞った説明を行う画面を用意し、分かりにくい用語や重要な事項などについては、それぞれのリンクを踏むことでその詳細な説明を記載した別画面を見ることができる
ケース(3)　ピクトダイアグラム（個人情報の流れを図示したもの）を用いて視覚的に説明する。
ケース(4)　動画を使って説明する。
ケース(5)　（ターゲティング広告が表示される場合）何故その広告が表示されるのかについて理由や経緯を説明する。
ケース(6)　会社として個人情報を取り扱うにあたっての姿勢・原則を示す。

また、利用者とのコミュニケーションの観点では、同意を求める際にのみ説明を行うといった一過性のものではなく、継続的に利用者に対して情報を発信する、または利用者が必要な際に情報が提供されることも重要になっている。さらには、長期間にわたる行動履歴の収集や、新しいデータ利活用の登場、人々によるプライバシーの捉え方の時間的な変化などがある中、一方的に伝えるだけでなく、利用者の受け止め方を踏まえコミュニケーションを適宜見直していくことも企業に求められるであろう。
 

(2) プライバシーに関する権利に利用者はどれほど関心を持っているか？

利用者本人は企業に対し、自身の情報の開示、訂正、利用停止等を求める権利を持っている。この権利について、企業では、問合せ窓口を設置して電話・郵送で回答するといった対応が従来一般的に行われている。本調査における利用者への次の質問として、「自身のデータの使用を制限したいがどうすればよいか分からない」および「企業とオンラインでやり取りすることで得られる利益のほうが、データプライバシーの懸念より上回る」ことに関し、どの程度同意するか回答を求めたところ、下図の結果が得られた。
 

図2: データプライバシーに対する考え方

Q. 次の記述にどの程度同意するかをお答えください。
・オンラインサービスを利用する際、私のデータの使用を制限したいが、どうすればよいかわからない。
・企業とオンラインでやり取りすることで得られる利益の方が、データプライバシーの懸念より上回る。

N=日本(1,003)

十分に行使されない権利：「どうすればデータ利用を制限できるのかわからない」

上記のグラフを見ると、一つ目の質問である、オンラインサービスを利用する際に自身のデータについて企業における利用を制限することを希望したいが、その方法が分からないことにどの程度同意するかについては、「強く同意する」「やや同意する」という人が全体の過半数(50%超)であった。必ずしも本人の希望どおりに権利が行使されていない様子がうかがえた²。

また二つ目の質問の「企業とオンラインでやり取りすることで得られる利益のほうが、データプライバシーの懸念より上回る」については、「強く同意する」「やや同意する」という人が全体の四分の一(25%)であった。残りの人々は、利益と懸念が同程度かまたは懸念が利益を上回っていると考えていることが想定される。

利用の制限に関する本人の権利については今回の改正法で見直されている

個人情報保護法（平成27年改正）には、企業の保有個人データが本人の同意を得ずに利用目的の達成に必要な範囲を超えて取り扱われている、または不正な手段により取得されたものであるときは、「当該保有個人データの利用の停止又は消去を請求することができる」（第30条第1項）、また本人の同意を得ることなどなく「第三者に提供されているときは、当該保有個人データの第三者への提供の停止を請求することができる」（第30条第3項）と定められている。さらに令和2年の改正法では、利用の停止または消去について、個人の権利又は正当な利益が害されるおそれがある場合にも請求することができるよう要件が緩和される。

「やむを得ない同意」は利用者の意に反する取扱いになり得る

特にデジタル・プラットフォーム事業者が、利用目的の達成に必要な範囲を超えて消費者の意に反して個人情報を取得または利用、第三者提供を行うことについては、独占禁止法における優越的地位の濫用として問題視される可能性もある。また、利用者がサービスを利用せざるを得ないことから、個人情報の取得や利用、第三者への提供にやむを得ず同意した場合についても、その同意は消費者の意に反するものと判断される場合がある³。

利用者の権利への対応のあり方とは？

利用者の権利に関する要望への対応にあたっては、企業では、前述の問合せ窓口の設置の他、本人用の画面を用意して、その画面において自身のデータに関し開示や訂正等を可能にする機能を提供することも行われている。さらには、次のような、より細やかな対応を行えるインターフェースを設けている企業も見られている。

ケース(1)　位置情報等の特定のデータの収集・利用を停止する。
ケース(2)　第三者提供先を企業ごとに選択する。
ケース(3)　他のアプリとのデータの共有可否をアプリごとに選択する。

こうした機能の提供には、人手による対応ではもはや困難になってきており、社内の情報システムにおいて利用者のデータが適切に把握、管理されたうえで、請求対応が自動化されているなど、データオリエンテッドなITの活用が重要になっている。利用者自身によってデータを管理する権利（自己情報コントロール権）をどのように実現するかに関し、一層きめ細かな対応が今後要望されると考えられ、全社横断的にデータを管理することのできる情報システムの導入・運用が求められる。

(3) 総括：利用者との信頼関係を築くことでビジネスに好循環が生まれる

DXの推進におけるデータ利活用には、利用者からの信頼の確保は必要不可欠になっている。信頼が得られない利活用にかかわる事業は、社会から批判を受けるだけでなく、事業の停止に追い込まれてしまうこともある。逆に十分に信頼を得られた事業は、その規模を拡大しさらにプライバシー対策にリソースを投下して好循環を生み出すことができる。データの利活用にあたっては、利用者とのコミュニケーションから情報システムに至るまで、プライバシー対策にかかわる打ち手をどうするか、プライバシーの戦略やガバナンスが重要になっている。

2. COVID-19対策と個人のプライバシーの在り方

COVID-19対策においては、テクノロジーが活用される中で、個人にかかわるデータの取扱いを伴う場合があり、例えば、日本では接触確認アプリや通知システム等のケースが挙げられる。また諸外国おいてもCOVID-19対策におけるデータの利用が同様に進んでいるところである。ここでは、COVID-19対策におけるプライバシーをどのように考えるか、人々の捉え方に関する本調査の調査結果をもとに考察した。

(1) COVID-19対策におけるテクノロジーの活用が日本ではどのように捉えられたか

COVID-19対策でのテクノロジーの活用には、接触履歴や感染の有無等、多くの人の個人にかかわるデータの取扱いがあり、特にプライバシーの観点で注意を要する。ここでは感染拡大防止のために、接触者の追跡や行動の制限、体温の測定についてテクノロジーを活用にすることに関し、日本国内で次の質問について回答を求めたところ、下図の結果が得られた。
 

図3: 接触者の追跡、行動制限、熱感知カメラの利用についての賛否

Q. 新型コロナウイルスが流行した結果、政府が日常生活に課した制限について、おうかがいします。政府によって課された制限が全て解除される場合、政府がテクノロジーを活用したり監視を行ったりすることについて、どの程度賛成または反対しますか、あるいは賛成・反対どちらでもありませんか。
 

N=日本 18-44 (878), 45-75 (1,121)

一定の理解は見られつつも全体的には賛否が明確でない

回答の状況を見ると、各質問（接触者の追跡、行動の制限、および体温の測定）について一様に、約3割の人が「強く賛成する」「やや賛成する」、4割前後が「どちらとも言えない」、2割前後が「やや反対する」または「強く反対する」という回答になっている。また、これも一様に、45歳以上の人がこうした取組みについて比較的寛容な見方を示している。特に熱関知カメラによる患者の特定については、45歳以上の過半数の人が「強く賛成する」「やや賛成する」との回答であった。

個人にかかわるデータの活用には注意を要する

個人情報保護法（平成27年改正）には、「法令に基づく場合」「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」等には、当初の利用目的の達成に必要な範囲を超えて個人情報を取り扱うことができる、また個人データを第三者に提供できるとされている（第16条第3項、第23条第1項）。

さらに、コンタクトトレーシングアプリの活用について、個人情報保護委員会では「利用者のPCR検査結果や、当該利用者の行動履歴（他人との接触履歴）といった、扱いを誤れば当該利用者の権利利益を大きく侵害しかねない情報を取り扱う」とし「アプリの利用は、個人に十分かつ具体的な内容の情報を伝えた上で、当該個人の任意の判断（同意）により行われるべきである」とされている⁴。

(2) COVID-19対策におけるテクノロジーの活用は国によりアプローチが異なる

コンタクトトレーシングアプリについては、さまざまな国において導入が進められている。各国におけるアプリの状況については、次の分類がある。
 

図4 コンタクトトレーシングアプリについての各国比較⁵

これを見ると、取り扱われる情報や情報が記録される場所、情報が当局で管理されるか否か、国によって違いが見られる。概ね日本と欧州は、プライバシーへの配慮が比較的なされている一方で、東アジアの特定の国においては、個人にかかわるデータの取扱いに当局が介入する度合いがより高いと言える。

国によって捉え方も異なる?

COVID-19対策での、個人にかかわるデータの取扱いについては、国によって人々の考え方も異なるようである。政府による、個人に関わるデータのモニタリングについて、日本を始め、UK、オーストラリア、中国、フィンランド、ドイツ、スウェーデンの人々に次の質問の回答を求めたところ、下表の結果が得られた。
 

図5 政府による健康データのモニターに関する人々の賛否

Q. 新型コロナウイルスのような疾病の大流行を抑制できる1つの方法として、人々の健康のモニターを強化することが考えられます。これを実施する方法は複数ありますが、人々の個人データ（例：健康データ、外出先、接触者）にアクセス（収集および分析など）することが挙げられます。次の対になった記述を読み、あなた自身のご意見に最も近いものを選択してください（記述A、記述Bのどちらがよいかをお答えください）。

A: 「社会およびビジネスに課せられたソーシャルディスタンス（社会的距離）等の制限が早期に解除されるのであれば、たとえ本人の許可がなくても、政府は個人の健康データ（病気の有無、居場所、接触者など）をモニターできるべきである」
B: 「たとえ社会およびビジネスに課せられたソーシャルディスタンス（社会的距離）等の制限が長期化しても、本人の許可の有無にかかわらず、政府は個人の健康データ（病気の有無、居場所、接触者など）を閲覧することができるようにすべきではない」

N=中国：999、UK：2,011、フィンランド：249、オーストラリア：999、スウェーデン：499、日本：1,000、ドイツ：1,000
注：中国は18-50歳、それ以外の国は18-75歳の全回答者の半数を対象にした調査

これを見ると、欧州や日本やオーストラリアでは、賛否が分かれるかまたはBの方がよいと考える人が比較的多い一方で、中国では政府によるモニターに関し「絶対にAの方がよい」「ややAの方がよい」と回答する人は過半数(63%)であり、その差が明らかになっている。こうした捉え方の差には、それぞれの国での制度、歴史や慣れといった社会的な背景が関係していると考えられる。
 

(3) 総括：COVID-19対策におけるデータの利用は、今後非常時のプライバシーを考えるうえで重要な前例になる

COVID-19対策におけるプライバシーの考え方・対策について、日本などでは比較的慎重なアプローチが取られている一方で、特定の国によっては当局による監視を強化しているケースも見られている。後者のケースでは、詳細に個人の行動を追跡し管理することで早期に事態を収束できたとする見方ができなくはない。しかしながら、より多くの国においては前者の対応が取られており、今回の調査結果を見ても本人の利益と公益とのバランスが重要と認識されていると思われる。こうした対応は、今回のCOVID-19対策においてだけでなく、今後類似の状況が起こった際、非常時のプライバシーを考えるうえで度々参照される事例になるに違いない。