以下の文章は、Access Nowの「Why data minimisation matters for safe data transfers and more」という記事を翻訳したものである。
この記事は、2022年9月6日に開催されたG7-DPAラウンドテーブルでのスピーチ(フルバージョンはこちら)を短縮・編集して掲載したものである。
自由で開かれたインターネットの実現のみならず、オンラインの人権を実現するためにも、信頼できるデータ流通は重要である。しかし、人々の情報を保護する強固かつ包括的なデータ保護、データセキュリティ、プライバシー・セーフガード、および人権フレームワークがなければ、これらのメリットは何一つ実現できない。この10年間で、世界各国の政府は個人データの保護を進展させた。しかし、依然として残るギャップが、データ保護とプライバシーの権利の十分な行使を妨げている。
個人情報保護の最大のギャップは、データハーベスティング(収穫)にある。多くの市民社会団体、学者、規制当局が、その経済的・社会的利益や適法性にさえ疑問を抱いているにも関わらず、現在、このデータハーベスティングがデジタル経済モデルの根幹を支えている。多くのテクノロジー企業や政府は「すべてを収集する(collect it all)」アプローチをとる。このアプローチは、データの最小化(data minimisation)や目的の限定(purpose limitation)といったデータ保護の基本原則と矛盾する。デジタル経済が持続可能であるためには、公的機関も民間企業も同様に、データハーベスティングからデータデトキシング(解毒)へと移行し、量より質を優先させねばならない。
インターネットとオンライン経済の性質上、国境を越えてサービスを提供するため、データを摩擦なく流通させることが求められる。だが、これはデータ保護の原則を無視したり、引き下げるためのフリーパスではなく、そうすべきでもない。今日の世界では、個人データの保護はぜいたく品ではなく、必需品なのである。多くの国がプライバシーを人権として認識し、その多くがデータ移転のためのツール等のデータ保護フレームワークを採用、近代化し、開発を始めている。
なぜ「すべてを収集」したがるのか
個人データ保護の法整備が進んでいるにもかかわらず、多くの企業はビジネスモデルも実務上も、データ保護とプライバシーを尊重してはいない。今も莫大な量の情報が収集・保存・移転されており、プライバシーへの配慮は二の次にされがちだ。
2015年、英国、フランス、ドイツの300以上のICT企業を対象に行われた調査では、収集したデータの72%が最終的に利用されていなかったことが明らかになった。世界各地で実施された調査でも、企業が収集するデータの60~80%が利用されないままになっていることが指摘されている。人工知能やプロファイリングの台頭により、企業はこの未使用のデータからいかにお金を稼ぐかに腐心するようにもなっている。だがそうではなく、「そもそもなぜそのデータを収集したのか」を自問自答すること、あるいはそれができないのであれば、その問いを規制当局から突き付けられることが必要とされているのである。
休眠データの危険性
オンライン企業は、すべての人物のあらゆるデータを収集してきた。これは、ユーザにかなりの危害をもたらし、とりわけ雇用、健康、住宅、教育の機会に影響を与えるデータ駆動型差別につながる恐れがある。そうした事態を防ぐためにも、以前から提唱されてきたデータ最小化、目的制限の原則に従うべきなのだが、ほとんど無視されているのが実態だ。
こうした原則に拘束力がなかったり、あっても執行されなければ、企業や組織は必要以上にデータを収集し続け、人々が被害を受ける可能性は高まり続ける。未使用のデータが不必要に保管されたままになったり、不必要に管轄区域を越えて移転されたりするたびに、人々の権利が危険にさらされることになる。さらに、データ漏洩や悪用、適切な権限のないアクセスなどに、企業は潜在的な責任を負うことになる。
企業の中には、透明性と強力なセキュリティを約束することで、「すべてを収集する」慣行の継続を正当化するところもある。そうした約束は大切だが、収集するデータの量の削減とセットでなければ十分とはいえない。データ漏洩を防ぐ最良の方法は、そもそもデータを持たないことなのだから。
データ収集は「少なければ少ないほど良い」
人工知能の発展とのつながりでデータ最小化を考えることも重要である。規制当局は、データ収集のビジネスモデルと、現在構築されているアルゴルズムの関係性に取り組まねばならない。大量のデータが透明性を欠くAIや自動化システムに投入され、広告の掲載や製品の販売、さらにはテキストや画像のコンテンツが生成されている。規制当局が、デジタル経済とAIの成功のカギはできるだけ多くのデータを集めることだという誤解を解くことも重要だろう。実際に必要なのは、より制限され、可能な限り質を高めたデータなのだから。
前進するために
データ最小化の執行は、データ移転やデータ保護の課題への特効薬ではないが、緊張を緩和することはできる。結局のところ、収集するデータが少なければ少ないほど、保存すべきデータも移転させるべきデータも少なくなる。そのためには、企業が製品やサービスを提供する上で必要最低限のデータのみを収集し、その透明性を高め、すべてのデータを安全に保管するよう、インセンティブを与えなければならない。理論上は、将来の目的が定かではないが「役に立つ」かもしれないデータの収集は、データ保護の原則に反しているのである。
データ保護とは、データを一切使用するなということではない。データを賢く、セキュアに、必要かつ最低限の方法で使用することである。データ最小化、目的制限、データセキュリティ、透明性は交換可能なものではなく、それぞれが重複し補完しあう、それぞれに重要な原則である。こうした原則を順守することにより、企業は自信をもって事業を展開でき、人々は自分と自分の情報が安全であると安心することができるのである。
Why data minimisation matters for safe data transfers and more – Access Now
Author: Estelle Massé / Access Now (CC BY 4.0)
Publication Date: September 8, 2022
Translation: heatwave_p2p
Material of Header image: