イマドキのプライバシーの考え方はどういうもの?

みなさまこんにちは!竹位和也と申します。前回、プライバシーとは、そもそもなんだろうか。」をテーマといたしました。今回はその続きとなります。引き続き肩の力を抜いた記事を書いていきたいと考えていますので、どうかよろしくお願いいたします!

 

 「ITと医療」という大きなテーマをもとに、一般的によく知られていることから業界ならではの事柄など、様々な視点でお伝えさせていただこうと考えています。

今回は「プライバシー」という視点で、以下の通り3回に分けて投稿いたします。

 

第1回:プライバシーとはそもそもなんだろうか?

第2回:イマドキのプライバシーの考え方はどういうもの?

第3回:医療の世界ではプライバシーの考え方はどうなっている?

 

今回は第2回ということで「イマドキのプライバシーの考え方はどういうもの?」について書かせていただきます。

 

前回は、ITの進化・普及により、新たなプライバシーにまつわる問題がみられるようになったことを書かせていただきました。 簡単に振り返ると、「SNSなどによる投稿や拡散」や、「ランサムウェアなどによる情報の窃取」などがプライバシーを脅かすことがあるという話でした。 今回はまた他の具体例をあげてみましょう。

 

2010年にスペインで 、グーグルの検索結果に「自身に関する不適切な情報が表示されているので、表示されないようにしてほしい」という訴えが起きました。訴えの内容を簡単に言うと、「確かに昔は過ちを犯したこともあったが、今はまっとうに生きている。しかし周りは(検索などで)今の自分と異なる自分を認識されてしまい、生きづらい状況にある」とのこと。これは情報が劣化せず保持され、不特定多数が容易に情報にアクセスできるようになった情報社会だからこそ生じた問題と言えます。

 

同じような訴えは日本でも起きており、「表現の自由」や「知る権利」などとのバランスをどのように取っていくべきか?という別の課題も含めて、議論が積み重ねられています。 余談ですが、過去のなかったことにしたい思い出を黒歴史と言ったりすると思いますが、私にとっての黒歴史と言えば、片思いの相手が授業中にばれてしまったことでしょうか。

 

さて、新たなプライバシーの問題もみられるようになっている中で、法律やルールなどの枠組みも変わってきています。日本とEUの状況について、それぞれみていきましょう。

 

2017年5月30日に、改正個人情報保護法が施行されたことはご存知の方もいらっしゃると思います。 主なポイントは以下の通りです。

 

 

・5000名以下の個人情報を取り扱う事業者も法規制の対象となった

・個人情報の対象となる情報を明確化した

・特定の情報の取り扱いを厳しくした

・匿名加工情報を取り扱えるようになった

 

 

従来は一定以上の規模の事業者が対象となっていましたが、改正後は原則すべての事業者が個人情報保護法に従う必要があります。 小規模企業はもちろん、個人事業主も非営利団体も同じく対応が求められるわけですが、日本の文化という水準まで浸透していくにはまだまだ時間がかかるように個人的には思います。

 

また、個人情報の対象となる情報が明確にされたり、特定の情報の取り扱いを厳しくしたりされ、世の中の変化を受けた規制も織り込まれています。その一方で、「個人が特定できないように加工すれば、その情報を情報提供者に断ることなく利用してもよい」という定めも盛り込まれました。これは個人情報の利活用を促進する道筋も法律で示したことを意味しますが、実際には「どのくらい匿名加工すれば法的にOKか」について、個人情報保護法ではあまり明確にはされておらず、具体化するための取り組みが追って進められているという状況にあります。

 

個人情報保護法に関して具体的に知りたい方は、以下もご覧になってください。

 

経済産業省「改正個人情報保護法に関するパンフレット」

 

2018年5月25日から施行される、EUの新たなルールです。 ヨーロッパ諸国はもとよりプライバシー保護への意識が高いのですが、この一般データ保護規則の概要に触れた時は、少々驚かされたことを記憶しています。 以下に、特に特徴的だと感じたものを述べます。

 

 

・EU各国が共通で遵守しなければならないルールとして制定された

・「忘れられる権利」が盛り込まれた

・違反者にはかなり高額の罰金が科せられる

 

 

EUでは今まで「データ保護指令」が1995年から適用されてきていましたが、これはデータ保護指令をもとに、EU各国で関連法を制定し運用するという、ゆるめの位置づけでした。それが指令ではなく規則に格上げとなったことで、EU各国はみな等しく一般データ保護規則に従った運用が求められるようになりました。

 

また、「忘れられる権利」も定めていることも特徴といえます。 冒頭で「グーグルの検索結果に自身に関することを表示しないようにしてほしい」という訴えがあったことを書きましたが、まさにそのような考え方がルール化されたイメージです。 事業者側から見ると、きちんとした情報の管理が行えていないと対応しきれなくなるリスクがあるので、非常に気を遣わざるを得なくなったといえるでしょう。 おまけに、違反した者には「最大2000万ユーロ(約25億円)もしくは当該組織の全売上高の4%に相当する金額」という、かなり高額の罰金を科すことになっています。事業者の規模を問わず業績に影響を及ぼす額となっているところから、EUの本気度が伺えます。

 

ちなみに、EUは日本の個人情報やプライバシー保護の取り組みが不十分とみられ、EUから日本へ個人情報を持ち出すことが原則認められていませんでした。

 

2018年3月時点では、EUと日本の間で個人情報の相互流通の実現に向けた対話が行われている状況ですが、その行方に関わらず、日本企業も一般データ保護規則に従った個人情報の取り扱いを行わなければ、前述の罰金を科されるおそれがあることに違いはありません。

 

一般データ保護規則について詳細を知りたい方は、以下もご覧になってください。

 

デロイトトーマツ「GDPRの制定とその影響」

 

新たなプライバシーにまつわる問題や法律やルールの変化についてみていきましたが、一層個人のプライバシーを保護することが意識される一方で、個人情報の利活用も意識されていることも重要な視点です。

 

ITの視点においては、IoT、ビッグデータ、AI、ディープラーニングなど、様々な情報やデータを活用してくアプローチが重要視されてきていますが、「より多くの情報やデータが得たい!そうすればもっといいことが起こるはず!」という思いを持ちつつも、新たなプライバシーの問題や、法律やルールの変遷をみて、「個人のプライバシーに配慮したアプローチが成功のカギだ」と捉えていく必要もあるかもしれません。 このような考え方は、業界などによってはよりシビアに捉えていく必要があります。 私が属している医療分野がまさにそうなのですが、それについては第3回目にて書いていきたいと思います。


 

 

Facebookでシェア
ツィート
Please reload

​新着記事
Please reload

株式会社Write Design

〒170-0013

東京都豊島区東池袋2-60-2

池袋パークハイツ2F

TEL/03-6403-4137

  • Facebook Social Icon
  • Instagram Social Icon
​メッセージを送る

Copyright(C)2017 Write Design  All right reserved.​