「データポータビリティ」の権利も個人が持つべき
有園:これ、使いこなせると個人としては便利ですよね。たとえば購買履歴を他社に移管できるということは、Amazonで買った商品のレコメンドが楽天で出てこなくなるわけで。
太田:そうなんです。仮にHuluとNetflixでデータを共有すれば、「これ前に観たっけ?」ということもなくなります。ただ、現状では自分のデータをある企業からダウンロードできても、それを他社が受け取る体制が整っていないので、仕組みはできたけれど本格運用はこれから、というステータスです。
有園:もうひとつの個人向けプロダクト、「Bunsin(ブンシン)」というのは?
太田:Bunsinはプライバシー保護アプリで、要はAmazonなり楽天なり各ECでの買い物やサービス利用時に、使い捨てのメールアドレスやクレジットカード番号を提供するものです。
有園:なるほど。これらの個人向けツールは、率直に言うとまだそんなに知られていないと思うのですが……。
太田:残念ながら、そうなんですよね。情報銀行はまだ課題も多くて、まず、そこまで個人の側のニーズが顕在化していない現状がある。加えて、個人の権利を担保するサービスなのに、企業から収益を得るビジネスモデルだと企業視点に寄ってしまうのでは、という懸念もあります。
そのあたりを把握しつつも、事業性をいったん脇に置いて「個人が今いちばん必要なものってなんだろう」と考案したのがこのBunsinというサービスなんです。今はユーザー増を目指しつつ、プライバシー保護技術を企業へ提供することも視野に入れています。
IDの集約リスクを防ぐ「分散型アイデンティティ」の仕組み
有園:既に海外ではGDPRに代表されるように「個人情報保護」がかなり厳格になってきていますよね。DataSignのサービスが置かれている状況にも関連すると思いますが、日本と比べた場合の海外での法規制について、現状を解説してもらえますか?
太田:海外、特にヨーロッパの考え方は、確かに日本の数歩先を行っています。ただ、日本も個人情報保護委員会、総務省を中心に、それに追随しようとはしています。
GDPRだと、たとえば前述の個人が自分のデータを移管できる「データポータビリティ権」は、第20条に既に定義されています。Facebookが個人から「自分のデータをGoogleに移してほしい」と要望されたら、それをやってあげるのが義務なんです。
……ただ、厳密には個人のデータをダウンロード可能にする「開示請求権」への対応は義務でも、他社への移管までは“努力義務”という記載になり、進んでいません。確かに、Googleが受領できる形にデータを加工する義務をFacebookに負わせるのはなかなか難しく、これは推移が待たれるところです。かつ、ダウンロード自体も当然ながらプラットフォーマーとしては渋る傾向にあり、完全に運用フェーズに移行してはいません。
有園:GDPRはGDPRで、やはり課題は多いのですね。他には?
太田:DID(Decentralized Identity)という分散型アイデンティティの仕組みも規格化されてきています。簡単に言うと、今はメールアドレスや電話番号、あるいはFacebookやGoogleのIDを「デジタル上での個人の証明」に使っていますが、それらは一度データが突合されてしまうと容易に第三者が個人を特定できてしまうので、リスクが高いですし、FacebookやGoogleを本当に信じられるのかという懸念もあります。
そのため、A社に提供するID、B社に提供するID……というように、提供IDをすべて別々にし、そこにひもづく情報も自分で選択して証明できる仕組みを実現できるのがDIDです。先ほどの「Bunsin」は、この思想が根底にあります。
