2025年7月17日に開催されたセッションの内容を記事にまとめました。非常に示唆を含む内容でした。
ご興味のある方はMyData Japanに参加されるか、来年のConferenceに参加を検討いただければ良いと思います。
参加した者としては、現在の日本におけるMyDataの位置と将来的な展望を参考にできた素晴らしいカンファレンスでした。
このセッションでは、政策担当者や学術研究者を交えて、哲学的な内容も含みますが、非常に示唆のあるディスカッションとなっています。
「同意」はもう古い? AI時代のプライバシーとデータ保護の最前線を探る
2022年7月に行われた情報法制研究大会(JILIS)では、「これからのプライバシーと個人データ保護」と題したセッションが開催されました。慶應義塾大学の山本龍彦教授、個人情報保護委員会の佐脇紀代志事務局長、東京大学の宍戸常寿教授、弁護士の呂佳叡氏が登壇し、ジャーナリストの若江雅子氏の進行のもと、技術の進化と社会の変化のなかで、私たちのプライバシーと個人データをどう守り、どう活用していくべきか、白熱した議論が交わされました。
本記事では、このセッションの内容を基に、現代における個人情報保護の根源的な課題と未来への展望を、できるだけ具体的に、そして詳細にお届けします。
問題提起:「泳げないプール」で“同意”は溺れている(山本龍彦教授)
セッションの口火を切った山本教授は、現代の「同意」が置かれている状況を「泳げないプール」という巧みな比喩で表現しました。
「ある人々をプールに入れ、『泳げるようになることは不都合だ』と考えた者が、あえてゴツゴツした岩を置いたり、強い水流を流したりして、物理的に泳ぐことが極めて難しい『泳げないプール』を作ったとします。当然、中の人々は泳げません。その状況を見て、プールの設計者は『彼らには泳ぐ能力がないのだから、泳ぐことを諦めさせるべきだ』と主張できるでしょうか?」
これは、現代のデジタルサービスにおける「同意」の現状を鋭くえぐり出すものです。複雑で長大な利用規約、巧みに設計されたUI(ユーザーインターフェース)、いわゆるダークパターンなどによって、私たちはサービスを利用するために、実質的に「同意せざるを得ない」状況に置かれています。このようなアーキテクチャ(環境設計)によって骨抜きにされた「同意」を見て、「もはや同意は機能しない(無意味だ)」と結論づけてしまう議論に、山本教授は警鐘を鳴らします。
重要なのは、「泳げない」と諦めることではなく、誰もが適切に意思決定できる「泳ぎやすいプール(=同意しやすいアーキテクチャ)」をいかに作るかだと、山本教授は主張しました。
さらに、議論の根底にあるプライバシー概念の歴史的な変遷を4つのフェーズで整理しました。
- 第1期:私生活秘匿権(宴のあと事件など)
- 私生活をみだりに公開されない権利。
- 第2期:自己情報コントロール権(70年代~)
- 自己に関する情報の流れを自らコントロールする権利。
- 第3期:アーキテクチャ・構造論
- 個人の自己決定を実質的に支えるための環境や仕組み(デザイン、構造)を重視する考え方。「そこそこ滑らかな繋がり」の中で、個人の意思決定を尊重する。
- 第4期:同意機能不全論
- 同意は形骸化しているため、個人のコントロールよりも社会全体の利益や効率性を最大化する(データ流通を促進する)ことを目指すべきだとする考え方。「非常に滑らかな繋がり」と社会全体の最適化を志向する。
山本教授は、特にこの第3期と第4期の考え方が、現代のデータ保護政策における根源的な対立軸になっていると指摘します。これは単なる法律論ではなく、「私たちはどのような社会を目指すのか」という、社会像の選択の問題なのです。
行政の視点:リスクベースで考える「本人関与」の未来(佐脇紀代志事務局長)
次に、規制当局の立場から個人情報保護委員会の佐脇参事官が、3年ごと見直しの議論の背景を説明しました。
佐脇氏は、デジタル社会における個人データがもたらすリスクを以下の4つに分類しました。
- 個人の尊厳を害するプロファイリング
- 不当な差別的取り扱い
- 自己の意思決定への不当な影響
- 事業者による自律的なコントロールの喪失
現行の個人情報保護法は、「当事者間(事業者と本人)の自律的なガバナンス」と「本人による関与・監視」を基本構造としています。しかし、データ処理が高度化・複雑化するなかで、この仕組みだけでは十分な保護が難しくなってきているのが現状です。
そこで浮上するのが、「政策的介入」という考え方です。
「本人に直接的なリスクが及ばない、あるいは影響が極めて軽微なデータ処理(例:個人を特定できない形での統計作成)については、画一的に本人の同意を求めるのではなく、事業者側に厳格な安全管理や透明性確保の義務を課すことで対応する」
これは、リスクの性質や大きさに応じて規制のあり方を変える「リスクベース・アプローチ」であり、本人の「同意疲れ」を軽減しつつ、実効的な保護とデータ利活用の両立を目指すものです。
佐脇氏は、この新しいアプローチが「本人との対応関係が切れているか」「本人の具体的な権益への影響はどうか」という「権衡」の視点を導入するものであると解説しました。ただし、この例外を認めるためには、本当に本人の権益に影響がないかを担保する仕組みや、法違反に対する強力な抑止措置がセットでなければならないと強調しました。
多角的な議論:法、実務、メディアの視点から
セッションでは、山本教授と佐脇氏の問題提起を受け、活発な議論が展開されました。
政策形成過程の課題と透明性
宍戸教授は、「カーナビ」の比喩を用いて、全体最適と個別最適のバランスの難しさを指摘しました。
「カーナビが示す最短ルート(全体最適)は、必ずしも個々のドライバーが通りたい道(個別最適)と一致しない。政策も同様で、社会全体のデータ流通という効率性を追求するあまり、個人の権利がないがしろにされてはならない」
また、呂弁護士は、近年の「外部送信規律」(ウェブサイトやアプリが利用者の情報を外部に送信する際のルール)の政策形成過程を例に挙げました。当初の案が、業界団体などからのロビイングによって後退し、結果として現場の事業者にとって非常に分かりにくく、遵守が難しい制度になってしまったと指摘。この経験から、透明で多様なステークホルダーが参加できる政策形成プロセスの重要性を訴えました。
「本人関与」という言葉の罠
山本教授は、佐脇氏が用いた「本人関与」という言葉自体にも疑問を呈しました。「関与(participation)」という言葉は、あくまで事業者が主体のデータ処理プロセスに、本人が「参加させてもらう」というニュアンスを帯びています。本来、データに関する権利の主体は本人であるはずで、データ主体(データサブジェクト)の権利という観点から制度を設計すべきではないかと主張しました。
現場の実務家の苦悩と、使いやすいルール設計の必要性
呂弁護士は、ルールが複雑化・曖昧化することで、善意の事業者までもが対応に苦慮し、結果として萎縮効果を生んでいる現状を指摘。法律家や専門家だけでなく、現場の担当者が直感的に理解し、実践できるシンプルで分かりやすいルール設計こそが、コンプライアンスの鍵であると強調しました。
結論:私たちはどんなデータ社会を目指すのか?
このセッションを通じて、現代のデータ保護が、単なる法解釈の問題ではなく、より根源的な社会像の選択に直面していることが浮き彫りになりました。
- 個人のコントロール権を最大限尊重し、多少の不便さは許容する社会か?
- 社会全体の効率性や便益を優先し、データが滑らかに流通する社会か?
- そのルールは、誰が、どのようなプロセスで決めるべきなのか?
山本教授が提起したように、これらの問いは、技術や法律の専門家だけのものではありません。それは、「私たち一人ひとりが、どのような社会に住みたいか」という問いそのものです。
「泳げないプール」のなかでただ流されるのか、それとも「泳ぎやすいプール」を皆で作り上げていくのか。このセッションは、私たちにその選択を迫る、示唆に富んだ議論の場となりました。あなたの望む未来のデータ社会は、どのような姿をしていますか?