「欧州の個人情報保護、世界の標準になる」　ＧＤＰＲ担当の当局者が見せる自信

1月下旬、ベルギー・ブリュッセルでは、欧州を中心とした50カ国以上から学者や政治家、弁護士、民間企業の担当者、NGOなどの代表者が集まる国際学会「コンピューター、プライバシー、データ保護の国際会議（CPDP）」が開かれていた。1000人を超える参加者が集まる中で、最も注目を浴びていた登壇者のひとりが、アルブレヒトさんだった。

今年5月25日のGDPRの施行を前に、欧州では、GDPRをめぐって「どんな解釈がなされ、どんな罰則が科されるのか」といったことへの関心が高い。この会議でも欧州当局には「本当に欧州を統一したルールになるのか」「うまく機能するとは思えない」といった厳しい質問も飛んでいた。しかし、会議の合間にインタビューに応じてくれたアルブレヒトさんは「施行の準備は順調に進んでいる。GDPRは、これから世界の基準になると考えている」と自信を見せた。

「人々が知らない間に、誘導されてしまうかもしれない」

――ものすごく基本的なことを聞きます。なぜ、いま、個人データの保護制度が必要なんでしょうか。

みなさん「個人データの保護」と聞くと、単に政府による監視、例えば警察による監視から個人を守るみたいに考えられることが多いんじゃないかと思います。でも、これはもはや、問題を正しく表現した例と言うことはできません。

もちろん、政府による監視について考えることは重要です。でも、それは一般の市民にとって、あまりメーンの問題にはならないと思います。それよりも、問題なのは、個人の行動や生活、そしてパーソナリティが、あちこちで追跡できるようになっていることなんです。

例えば、スマートフォンのアプリです。コミュニケーションとか、オンラインショッピングとか。こういうところから、個人情報が集められていきます。もちろんそれはおもに、ビジネスのために集められるわけですが、同時に、犯罪者もそれを入手すれば、使うことができるようになります。あるいは、人々を悪い方向に導こうという人たちが、悪用することも考えられます。

ひょっとすると、あなたが、自分のまったく知らない間に、あるいは感じない間に、誰かに誘導されているかもしれない、ということが起こりえます。つまり、こういう環境のもとでは、人間はすごく脆弱なんです。

――データを集めることで、私たちが操られてしまうということでしょうか。

私たちには、自分の人生を決める権利がありますが、知らない間にそれが操作されているかもしれないということです。ですから、誰もが、少なくとも追跡されていもいいのか、あるいは追跡されたくはないのかを選ぶ権利と、それができる環境を持つべきなんです。つまり、私がこれを使いたくない、と言えば、そこから抜け出せるようなしくみが必要です。

ほとんどの場合において、ある特定の目的のためにあなたの情報が収集されている場合は、「この目的のために、あなたの情報を集めます」と伝え、それに同意を得ることが大事だと考えています。私は、情報の使用目的やそれの制限、あるいは管理などを信用して「ＯＫ、集めていいですよ、使っていいですよ」と言えればいいんです。その代わり、それ以外に使うことはやめてね、ということです。もし他の用途に転用するなら、もう一度同意が必要でしょうということです。それが、基本的な考え方です。

GDPRは「基礎的な保護」にすぎない

――GDPRには「厳しすぎる」という批判もあります。

みなさん、そう言いますけれども、まったくそんなことはないと思っています。基本的に、データ主体（データを集められる個人のこと）の同意を得たうえで、データの収集や処理を進めてくださいということです。それは、厳しすぎるとは言えないと思います。

はっきり言っておかなければならないのは、ヨーロッパのデータ保護は、決して、データのやりとりを禁じるものではありませんし、データの処理を禁じるものでもありません。単に、それを進める前に同意をもらってくださいと言っているだけです。もちろん、きちんと情報を与えたうえで、データの主体が「イエス」という必要があります。実効性のある形で、同意を得なければいけません。誤解にもとづいているものは、同意とは言えません。

規制の全体像を見てもらえれば分かりますが、単に人々になにが起こっているかを知らせて、そして「イヤなら、イヤ」と言う意思決定をできるようにしようということです。誰も、「イエス」とか「ノー」とか言うことを強制されてはならないということです。あくまで、個人の選択にもとづくべきなんです。

欧州の規制は「世界標準になる」

――会議では「GDPRが世界標準になっていく」という発言もされていましたね。

確かにそうなっていくと思っています。世界標準にしていく、という意味は、世界中のあちこちで同じルールを採用してもらうということではありません。もう少し単純な話で、世界で活動する企業の行動が、欧州基準にあわせたものに変わっていくのではないか、ということです。なぜなら、彼らはいま欧州のルールが一番厳しいと知っているからです。そして、欧州は世界的に見て最大の市場のひとつで、無視できません。そう考えると、まず一番厳しいルールにあわせておいたほうがいいでしょう。

もちろん私たちはそれを強制するつもりはありません。しかし、大半の国のルールよりも欧州の基準のほうが厳しいならそれに従っておくほうがいいし、そうなっていくのではないか、ということです。

さらに、他の国に欧州のような基準が広がっていく可能性もあります。というのも、彼らが新しくデータ保護規制を導入するときに、欧州と同じものにしておけば、すでに国際的な企業はすでにそれにしたがっているので、混乱を避けられると思います。

GDPRの導入にあたって、ＥＵ基準は厳しすぎるのではないか、という懸念があることは知っています。でも、もう一度言いますが、私はこれが厳しすぎるとはまったく思っていません。求めているのは、透明性の高い処理プロセスを置くことや、データ保護の担当者を置くこと、データ主体に情報を公開し、どうしたいのか決める機会を与えることです。これがあれば、サービスを提供してそこから利益を上げることも認められます。つまり基本的に、これは低度の、基礎的な保護です。

――それが、世界にも受け入れられていくと。

これは「いい考え方だ」と世界中に理解してもらえると思います。なぜなら、多くのひとたちは、もはや何がどのようにスマートフォンのアプリ中で起こっていて、どういうアルゴリズムものごとが決まっているのかということをつかむのは難しくなっているからです。例えば、アプリの利用者に示される価格や、金利といったものがどう決まっているのか、ということは、よく分からなくなっていると思います。

そこで、最低限でも、どうやって個人が測られているは知らされるべきです。さらに、それが妥当な方法で、妥当な用途に使われているのかどうかも知らされるべきでしょう。そのためのルールをつくったのです。

――もうひとつ、コンピューターのデータ処理の結果だけに基づいて、自動的に個人を判断することを禁じた、というのも新しい考え方ですね。

まず、個人データの自動処理だけにもとづく意思決定の禁止については、例外規定を置いています。すべてを禁止しているわけではなく、認められるケースもあるということです。ただし、例外を除けば認められないということです。

コンピューターがデータを処理する問題が、通常のデータ処理と違うのは、それがものすごく大量の情報を扱い、かつ非常にそれが正確に見え、高い信頼を得ていくと言うことです。そこに、人間の判断を差し挟む余地はありません。

ところが、そうした高い信頼を得る自動処理とはいえ、ミスはありえるんです。処理上のミスもあり得るし、誤った認識をすることもあり得ます。だからこの問題は、非常に慎重に扱わなくてはいけません。

――そこで、人間が必ず判断に関わることを求めているわけですね。

そういうことです。そのために、人間が介入することをルール化しました。データを処理された個人は、じゃあ、どういうロジックで処理されたのか、と尋ねることができます。私たちは、互いに人間ですので、そこで話をして互いを信頼することができます。機械が信頼されることもあると思いますが、問題は、誰かが機械に問題を訴えても、機械には自意識がないということです。

――人間となら、コミュニケーションができるということでしょうか。

まさに、それが違いです。もちろん人間は間違えることがあります。少なくとも機械と同じくらいにはミスをするでしょう。でも機械の間違いがより問題なのは、機械が扱うデータの量が非常に多いので、間違いの影響が非常に大きく広がりかねない、というところにあります。さらに本質的に、人間が設計する以上、コンピューターにもミスはあり得る。だから、私たちはコンピューターを人間が監督することが必要だと考えているのです。反論を受け、人間となら、話ができます。

――しかし残念ながら、プライバシーや個人情報の保護は、関心が高いテーマとは言えません。

そうですね。利用者は少なくとももう少し、疑り深くてもいいのかもしれません。そして欧州の人々は、すでにそれなりに注意深くなっていると思います。そして、私は世界のどこでも同じようなことが起きてくると考えています。なぜなら、人々は遅かれ早かれ、データがいかに力を持っていて、それが他人に使われうるかということを実感すると思うからです。そして、他人から計測されたり、評価されたりすることを少し減らしてほしいと思うでしょうし、そういうデータを集められる環境では、匿名でいたいと思うこともあると思います。

「統一ルールの制定が、欧州のデジタル単一市場づくりにつながる」

――プライバシーの保護が不十分であれば、社会にとってもなにか問題が起きますか。

それは、人々がすぐに新しいデジタル技術を使うことを控えるということでしょう。さらに、より悪い方向にことが進めば、国に「政府はもっと厳しくデータを保護すべきだ」と、まるで国境を閉じるようなことを求めるのかもしれません。だから、もし、グローバル市場を維持して、さらにデジタルの新しい技術に国を開いていくのであれば、個人の保護を通じて相互信頼のある環境をつくっていくことが重要だと思います。

もともと、GDPRを起草する段階で、ふたつの理由がありました。

ひとつは、グローバルデジタル市場の中で、執行可能な形で強力な保護の基準をつくっていくということです。

ただ、同時に、データが流通される統一された地域をつくり出すという狙いもありました。個人データが交換され、かつ、すべての人が、相互信頼にもとづいてそのデータを利用できる環境をつくることです。これは市場を開放し、欧州のデジタル単一市場をつくりだすことにつながるのです。統一ルールがあることで、企業から見ればEUを単一の大きな市場としてビジネスチャンスをつかめます。

――これからの課題は、どう考えていますか。

ふたつあるでしょう。ひとつはGDPRを国際基準にしていくことです。例えば日本が、EUが求める十分な保護水準にあるかどうかなどをすりあわせていくことが、次のステップになります。私たちは国際水準をつくっていくために、各国当局とのすりあわせを進めていく必要があります。保護の仕組みは世界各地で異なっていますから、そこをどう解決していくか。

もうひとつは、サイバーセキュリティでしょう。個人データの保護については、GDPRをつくりました。ただ、同じようなルールをサイバーセキュリティ全般においてつくっていく必要があると考えています。例えば、IoTとかAIとか、そういうものに対して、どういう国際ルールを作っていくのか。さらに、どういう共通市場をつくっていくのか。

IoTにしても、AIにしても、個人データにかかわる部分は、GDPRでカバーできると考えています。データを処理したいなら、こういうルールを守ってくださいという明確な基準をつくりました。ただ、個人のデータを使わない機械学習や、機械対機械のコミュニケーションにはこれらのルールが適用できません。ですからサイバーセキュリティやAIについても、何がどこまで許されて、そのデータの処理にはどういうことが必要なのかということは、考えなくてはいけないと思います。

GDPRを制定する議論の中では、技術的な側面からも、どうやって個人を追跡できないようにするかを検討していますし、同意を得るためにはどういう説明をすればいいかなども詳しく検討し、そのためのアイコンなどもつくっています。こうしたGDPRの様々なアイデアは、世界中のサイバーセキュリティの強化に応用できると考えています。