消費者自身が個人情報の取り扱いを「コントロール」できるように

　次に、個人情報保護法改正案2つ目のポイントである「消費者によるコントロール権」についての説明に及んだ。

　「消費者によるコントロール権とは、消費者自身が自分の個人情報の『利用停止』『消去』『第三者提供の停止』を要求できるということです」（嶋田氏）

　第三者提供の停止については、法改正を前に一部の企業で対応が実施されている。たとえばYahoo!の場合、2019年10月にプライバシーポリシーを改定し、Yahoo!Japanのデータをソフトバンクグループに提供する際、ユーザー自身がそれに同意／撤回するかの選択や、同意する場合においても提供先のグループ会社の選択を行えるようになった。NTTドコモも同様で、同社が提供する「パーソナルデータダッシュボード」に「dアカウント」でログインすると、基本情報・利用情報・位置情報・医療健康情報という4カテゴリーについて、ドコモグループ各社やdポイント加盟店、その他提携先企業に提供して良いか選択できるようになっている。

　「事業者のみなさんは、ユーザー自身に細かい利用範囲を開示して、さらにいつでもそれを停止できるようにしたら、誰も個人情報を提供してくれなくなるのではないかと懸念するかもしれません。しかし、これからはこれぐらい徹底して透明性を担保しなければ、逆にユーザーからの信頼を得られず、ユーザー離れにつながりかねない、とこれらの企業は判断されています」（嶋田氏）

　嶋田氏によれば、欧州のGDPRはさらに厳格に同意項目を設定するよう言われているという。サービス利用を目的とした許諾である「サービス利用規約」と、性別や行動履歴などをもとにレコメンドをするなど「プロファイリングのため」の許諾は、文書を分け、別々に承諾を取らなければならない規則になっている。パーソナライズや第三者提供といった任意の同意項目については、いつでも撤回できるようにすることが義務付けられている。

　個人情報保護法改正案のポイント3つ目は「消費者保護」。特に注意したいのが、Cookie IDのようなIDの取り扱いである。事業者が第三者にデータ提供をする際に、提供元として個人情報が含まれないデータでも、提供先において第三者のCookie ID等と紐付ければ個人情報が特定できてしまうケースがある、という問題だ。この場合は提供元でも個人情報として取り扱う事が必要となる事が、改正案に盛り込まれる予定だ。嶋田氏によれば、消費者視点で考える場合は連携する企業間でデータの受け渡しをした際に、最終的にユーザーにどのような影響があるかを十分に考慮すべきだという。

移りゆく個人情報保護法のトレンドにふさわしい企業の対応とは

　これから先、3年ごとに改正される個人情報保護法のトレンドに企業はどのように対応していくべきだろうか。嶋田氏は、「多くの企業は『自社はきちんと個人情報を管理・活用できている』と考えていますが、ユーザーの多くは『自分が提供した個人情報がしっかり管理され、自分のために正しく利用されているか不安だ』と感じています」と話す。こうしたギャップを埋めるためには、その時々の法規制対応を実施するだけではなく、消費者と企業の間で「トラステッド・リレーションシップ」つまり信頼関係を構築していくという考え方が必要であるという。

　個人情報保護におけるトラステッド・リレーションシップとは、まずユーザー視点で個人情報提供のメリットや使い勝手を考えることだ。つまりアフターデジタルの世界においてよく言われるように、ユーザーが自ら進んで「どうぞ個人情報を使ってください」と情報を提供してくれるような世界のことだ。それに加えて、ユーザーの情報がどんな企業に・どのように扱われ、そしてそれをユーザー自身で制御できるか。企業は万全のセキュリティで預かった個人情報を守ることができるのか。こうしたことが、ユーザーとの信頼関係を左右する。

　嶋田氏は、一人ひとりの個人情報を丁寧に扱えるかどうかによって、ユーザーの信頼関係が大きく変わってくるだろうと言う。