本連載では、ITセキュリティーに関連したホットトピックを取り上げ、動向や対策をひもといていきます。今回は、プライバシー関連規制の最新動向を解説します。
※「日経コンピュータ」2023年7月20日号より、一部加筆の上、転載。
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/012300337/070400007/
日経BPの了承を得て転載/無断転載・複製を禁じます。
注目すべき3つの動向
デジタルやAI(人工知能)の利活用が急速に社会に浸透するなか、プライバシーやデータ保護に関する取り組み強化の声が年々高まっています。
本記事では、グローバルにおけるプライバシー規制関連で今年特に注目すべきと考える、以下3つの動向について紹介します。
- 米国のデータプライバシー保護
- 子供のプライバシー保護
- AIのプライバシー保護
米国のプライバシー保護
米国はこれまで民間部門全体を対象とした包括的データ保護規制は連邦レベルで存在せず、医療や金融などの個別分野での立法や各州独自の関連規制が制定されていました。
しかし、2022年6月に米国データプライバシー保護法(ADPPA)の草案が上院下院の複数名の議員から発表され、連邦法としての包括的なデータ保護規制の制定の機運が高まっています。
ADPPAでは、強固な監督メカニズムの創設と実効性のあるエンフォースメント(執行)を導入すると同時に、「忠実義務(Duty of Loyalty)」を求めているのが特徴です。
忠実義務は、個人情報の取得や利用について企業がその個人に忠実であることを求めるもので、具体的には、データ最小化やプライバシー・バイ・デザインなどの実施を義務付けます。また、制限・禁止されるデータ処理の類型として、位置情報の第三者への移転や、生体情報の収集・処理・移転など8つの制限・禁止対象となるデータ処理を示し、当該データ処理にあたっては厳格な同意・通知要件を義務付けています。
なお、本ADPPAは下院本会議での採決が拒否され2022年中には成立に至っていません。ただし、2023年6月時点で改定草案の提案に向けた議論が進められており、近いうちに改定草案が公表されるとみられています。
州法規制の代表はCPRA
前述の通り、米国ではこれまで州単位でデータ保護法制が整備されてきました。その中でも2023年1月より施行されているカリフォルニア州プライバシー権利法(CPRA)が米国のプライバシー法規制の代表的な位置づけとなっています。
CPRAは2018年に採択され2020年1月から施行されているカリフォルニア州消費者プライバシー法(CCPA)を改正する内容です。カリフォルニア州の住民/消費者から個人情報を取得する事業者が広く適用対象となっています。
消費者に対しても、事業者が保有する自身の個人情報に関して、開示、削除、販売に係るオプトアウトを要求する権利や、これら権利の行使を理由として差別されない権利などが与えられています。本法に違反した場合、2023年7月1日以降は、違反ごとに最大7500ドルの民事制裁金が課される可能性があります。したがって、これまでのCCPAをベースに既に対応済みの場合は大幅な修正対応はないものの、CPRAへの順守対応が急務となります。
CCPA/CPRAの順守に当たっては、個人情報の処理や移転の詳細に関するリストを作成するデータマッピングを行う必要があります。その結果を基に消費者からの各種請求への対応が必要となる場面を特定したり、プライバシーポリシーを含むコンプライアンス文書に反映・見 直ししたりします。各種要求に対応するための社内体制・規定の整備・更新も必要となります。
図に示したように、米国ではカリフォルニア州以外でも複数の州で同様のプライバシー法が今年施行されることから、米国向けにサービス提供する事業者は提供先の州法に応じて対応状況を確認することが必要です。
米国のデータプライバシー関連規制の状況|連邦法・州法によるデータ保護規制が登場
子供のプライバシー保護で違反
子供のプライバシー保護対策はこれまでも各国でさまざまな規制がなされてきました。昨今では、さまざまなデジタルツールやサービスを子供が利活用し、さまざまな弊害や問題事例が出てきていることを踏まえ、これらへの対応が改めて重要視されています。
具体的には以下3つの違反事例が話題になりました。
子供のデータプライバシーに関連する主な制裁事例|子供に関する違反事例が相次ぐ
1つめは、英国のデータ保護当局であるICOが2023年4月、TikTokが子供のプライバシーを保護していなかったとして英国データ保護法違反により1270万ポンドの制裁金を課すと公表したケースです。違反とされたのは、親の同意なしに13歳未満の子供のデータを処理していた、ユーザーに対して分かりやすい方法で適切な情報を提供していなかったなどの点です。
2つめは、アイルランドのデータ保護当局であるDPCが2022年9月に、Instagram(MetaPlatforms Ireland Limited)に対して、4億500万ユーロの制裁金を課すことを公表した事例です。本件では、2021年3月に18歳未満の子供向けにInstagramのアカウントについて公開アカウントにするかプライバシーアカウントにするか選択できるようにするまで、子供を含む全てのユーザーのアカウントについてデフォルトで公開状態になっていました。このことについて、明確かつ透明性のある形式で情報提供がなされていなかったとして、GDPR違反と指摘されています。
最後の事案は、米国においてゲーム「Fortnite」を運営するEpic Games Inc.を巡る問題です。同社が児童オンラインプライバシー保護法(COPPA)違反などのプライバシー侵害により2億7500万ドルの罰金を支払うことなどを、2022年12月に連邦取引委員会(FTC)が公表しました。
Epic Gamesの違反内容
児童オンラインプライバシー保護法(COPPA)は1998年に制定された連邦法で、13歳未満の児童を対象としたWebサイト事業者やオンラインサービス事業者がその対象です。児童の個人情報を収集、利用、開示する際には、その児童の親に対して通知をしなければならず、検証可能な同意を親から取得しなければならないと定めています。
Epic GamesはFortniteユーザーについての事前の調査やマーケティングなどから、多くの子 供がFortniteを使用していたことを認識していました。それにもかかわらず、親の検証可能な同意を得ることなく子供の個人情報を収集していました。この点や、子供がゲーム内で嫌がらせなどを受けていたにもかかわらず、テキストおよび音声のチャットをデフォルトでオンにして、子供を傷つけていた点をCOPPA違反と指摘しています。
この他にもFortniteでは、2018年までカード保有者の承認なく子供がアイテムを購入できるようになっていたり、アイテムを閲覧しようとしてボタンを押しただけで課金されたりといったさまざまなダークパターンが用いられているとして、2億4500万ドルを返金することも課されています。
このようにオンラインゲームをはじめとして子供が簡単にデジタル/オンラインサービスを利用することが可能となっている状況を踏まえ、さまざまな対応策が検討されています。
例えば米国のカリフォルニア州においては、2022年9月にカリフォルニア年齢適正デザインコード法が制定されました。本法は、18歳未満の子供がアクセスする可能性が高いオンラインサービスなどを提供する事業者に適用されます。
当該事業者の義務として、サービス提供前のデータ保護影響評価の実施や、子供のプライバシー設定を高いレベルに設定すること、プライバシーに関する情報を目立つように提供し子供の年齢に適した明確な言葉を使用することなどが定められています。本法は2024年7月より施行予定です。
また英国ICOも2023年2月に「ゲームデザイナー向けの諸注意」という文書を発行しています。本文書では、事前のリスクアセスメントの実施や、プレーヤーの年齢を特定する手法を特定・実装、初期設定が最も高いプライバシー設定となっているようにするなどを求めています。
このように2023年は子供のプライバシー保護に対する取り組みが更に強化されると予想されます。
AIのプライバシー
ChatGPTをはじめとする生成AIの急速な普及に伴い、AIのガバナンスに関する議論も本格化しています。プライバシーの問題はその1つの論点に過ぎませんが、既存のプライバシー/データ保護の規制では対応できない新たな論点を提示する可能性もあります。本問題にどのように対応するのか、各国の取り組みを注視する必要があります。
特にChatGPTに対しては各国のデータ保護当局が調査を始めており、イタリアのデータ保護当局が3月30日にChatGPTの国内利用の一時停止を命令し、調査を開始しました。その後、OpenAIが改善措置を発表し、4月28日に一時停止命令を解除しましたが、本事案以降、ChatGPTのプライバシー保護に関する関心が各国で高まっています。
4月にはドイツやスペイン、フランス、カナダなどの規制当局がChatGPTの調査を開始する旨を公表しました。
各国の個人情報保護当局の対応状況|ChatGPTへの調査が始まる
日本も個人情報保護委員会がOpenAIに対して、「要配慮個人情報の取得」「利用目的の通知等」について6月2日に注意喚起しています。
ChatGPTの具体的な問題点として、イタリアのデータ保護当局は、OpenAIの以下の点について問題視しました。ChatGPTのデータ処理ロジックやデータ主体の権利などの情報をWeb上に公開し通知することや、誤って生成された個人データの修正/消去が可能となるツールを提供すること、13歳未満の利用者、親権者の同意のない13歳から18歳までの利用者を除外するための年齢確認システムを導入することなどです。
ChatGPTに求められる対応はその他生成AIサービスでも同様と予想されるため、AIサービスを検討する場合は、ChatGPTに求められている内容なども踏まえて慎重に対策を検討する必要があります。
例えば広告やマーケティングの領域において、AIは大量の消費者データに基づくトレンド分析や高度な行動ターゲティングなどを可能にすると見られています。このような個人のプロファイリング目的でAIを利用するにあたっては、前述のCPRAなど一部の国の法律では、厳格な顧客への通知や同意の取得要件について規定されています。
また、サイバーセキュリティーの観点で、個人や企業ネットワークの監視にAIを活用する場合も、場合によっては個人あるいは従業員の監視につながるリスクが指摘されています。各国のプライバシー規制に基づき、対象者への明示的な通知と同意取得が求められる可能性があります。
現時点は各国でプライバシーに関するAIのリスクについての検討が始まった段階です。今後見直しなどされる可能性はあるものの、既存の法律、規制、政策がすでにAIに直接適用されていることに留意し、検討を進めることが必要です。
事業者に求められる対応
米国の法規制、子供やAIのプライバシーに共通する点として、いずれも事業者に取り扱う個人データに対する透明性や説明責任を強く求めていることがあります。特に子供に対しては従来の一般向けプライバシーポリシー以上に分かりやすいデザインや説明が求められます。
また、AIがどのように個人データを取り扱っているのかがブラックボックスとならないよう、開発者側に説明責任が求められます。米国の各州の法規制などもこういった点を事業者側が事前にリスク評価をした上で対応することを求めています。