データを個人のコントロールに戻すために
インターネットの当初は、世界中の個人が発信することで民主的かつ平等につながるツールとしての期待が語られた。しかし現実にはGAFA(Google、Amazon、Facebook、Apple)などサービスが普及し、プラットフォーム化が進むことにより、個人は無償のサービスの便益の代償として自らのデータを差し出す形になった。欧州のGDPR(一般データ保護規則)が生まれてきた背景には、このような個人データの収集への警戒から「データの主権を個人に取り戻す」という理念がある。またその半面ではデータのガバナンスを向上させることでデータの流通を促し、データ活用のビジネスを推進するという考え方もある。
先ごろの米国のフェイスブックの公聴会での諮問以降、さらにインターネットビジネスと個人データの扱いについての議論が生まれてきている。
こうした中、GDPRが欧州で施行された2018年の5月25日に開催された「MyData Japan 2018」は、「自らの意思で利活用できる個人データとしてのマイデータ」を正面に据えたものだった。MyDataというイベント自体は、2016年、フィンランドのヘルシンキの開催から始まり、日本では昨年に引き続き2回めの開催となる。
庄司昌彦(国際大学GLOCOM 主任研究員・准教授/Open Knowledge Japan代表理事)
開催にあたって主催のOKJP代表理事、GLOCOMの庄司昌彦氏は、「オープンデータとマイデータ、この2つは混同しやすい。私にとってオープンなものがマイデータで、すべての人々にとってオープンなものがオープンデータ。2つはコインの裏表の関係として、どちらも重要となる」と述べた。そして、昨年のヘルシンキのMyDataイベントで「マイデータ宣言」として、「信頼」「自己決定」「人間中心のビジョン」という3つのビジョンが発表されたことを紹介した。
橋田浩一氏「GDPRの要はデータポータビリティ」
オープニングのセッションでは橋田浩一東京大学教授が講演。橋田教授は「今後のAIの発展のためには潤沢なデータの循環が前提になる。そのためには、データの主体である個人が自らの意思で利用を判断する事が必要だ」という。
GDPRの基底にあるのもこうした「本人同意」と「データ主体」という考え方であるとし、GDPRの特徴を以下のように示した。
- EEA(EU含む31ヶ国)域内の個人のデータが対象で域外の事業者にも適用される
- 第7条:データ処理に関する同意同意の取り消しが随時可能で同意と同程度に容易
-
第17〜19条:訂正・消去・処理制限の権利
- ーパーソナルデータの管理者は本人の請求に応じて訂正、消去、処理の制限をおこなう
-
第20条:データポータビリティの権利
- データ管理者に提供した自分のデータを、構造化され一般に利用される機械可読な形式で受け取り、当該管理者の妨害なしにそのデータを他の管理者に移転することができる
- 第22条:自動的決定(プロファイリングなど)に従わない権利
- 第45条:データのデータの域外移転には移転先での十分なデータ保護が必要
-
第83条:罰金 2000万ユーロと年間最大世界売り上げの4%の高い方
(橋田浩一氏の発表資料より抜粋)
橋田浩一氏 当日発表資料より
上記の中でも重要なコンセプトは、データポータビリティだ。GDPRの基本理念であるデータポータビリティが完全に実現すれば、個人データの蓄積と管理はプラットフォーム事業者ではなく、個人に移行することになる。では、こうした「自己管理の出来る個人データ」を活用できる社会の仕組みはどのようなものになるのか?橋田教授は、マイデータは「中央で管理するよりは個々のサービスの現場に分散させて管理するほうが現実的」だという。
