ビッグデータは、私たちが言うと思わず吐き出してしまいそうなほど、「第四次産業革命」* の「石油」としてブランド化されてきました。それを剥ぎ取ると、私たちは部分的に、個人のデータがどのように新しい仮想ビジネスを編み出すために使用されるかについて話していることになります。
これはアプリ経済の基盤であり、企業もそのことに気づき始めています。
アプリ経済は、Facebook のような「無料」プラットフォームがユーザーのデータへのアクセスを第三者に許可することで繁栄してきた。
企業の世界では、ソーシャル フィードがビジネス システムに取り込まれ、金融サービス会社がユーザーの財務状況や習慣を調べ、ローンやその他の商品を提供するかどうかの決定を下す際に利用されることがあります。
Facebookが8700万人のユーザーデータをケンブリッジ・アナリティカと「不適切に」共有していたことを認めたことで、これまで「無料」とされてきたデータに今後も依存し続けることが安全なのかという疑問が生じています。この疑問は、欧州連合(EU)の一般データ保護規則(GDPR)が5月に施行され、権限や罰金に関する規制が武器化される中で、ますます重要になっています。
どこにでもデータがある
Facebook は、ユーザーのプライバシーと開発者を味方につけておきたいという願いとの間で線引きをしながら、ここで安定した扉を閉めようとしてきた。
しかし、Facebookはスタートアップや企業の開発者に公開されているオンライン上の個人データの唯一の情報源ではありません。膨大な数のデータセットがオンライン上に存在します。それらは完全に合法であり、実際、その多くは政府やその代表者によってアップロード・管理されています。何がそれらを合法としているのでしょうか?ほとんどの場合、それらを使って個人を特定することはできません。そして、データから個人を特定できないのであれば、GDPRの観点から言えば、何をしても構わないのです。
大規模な分析のためにデータを収集する場合、そのデータの対象者を特定する必要がありますか?そうでない場合は、個人を特定できる要素を除外したデータ提供を求めてください。
プライベートですか?
ビッグデータサイトを掘り下げて、人名だらけのデータを閲覧していました。例えば、最初のエントリはセーワグ氏、リー氏、パタン氏に関するものでした。そして、ご存知ですか?これは全く合法です。テンドルカール氏が「マン・オブ・ザ・マッチ」に選ばれたという情報も同様です。これは2008年のオーストラリア対インドのテストマッチの結果データで、パブリックドメインです。
しかし、データが公開されているからといって、それが自由に使えるというわけではありません。盗まれた可能性もあります。近年の大規模な情報漏洩事件を考えてみてください。
しかし、データが個人情報であり、個人を特定できるものであり、かつ非公開の場合はどうでしょうか?まず、対象者に対し、データの入手元と利用目的、そして最も重要な点として、なぜその行為を行う権利があるのかを明確に説明する必要があります。あなたが管理者(つまり、データの処理方法を定義する者)である場合、データ対象者にその旨を周知徹底させるのはあなたの責任です。また、データを保持する正当な理由がなく、対象者の同意に基づいている場合は、その同意の取得と管理はあなたの責任となります。
誰が責任を負うのか?GDPRの新しい点の一つは、データの不正使用の場合、管理者と処理者の両方が責任を負うようになったことです(以前は管理者のみが責任を負っていました)。不正なデータを受け取ったからといって、もはや責任を免れることはできません。
あなたが管理者であり、他者にデータを提供する場合、契約に基づき、他者がデータをどのように利用できるかを指示する必要があり、また、データ主体に合意内容を伝える必要があります。少なくとも、相手方がデータを不正に利用した場合には、あなたの主張を有利に進めることができます。
この文脈で、Facebookの事件を見てみましょう。ケンブリッジ・アナリティカはデータを盗んだのでしょうか?いいえ。ザッカーバーグが3月21日にFacebookに投稿したように、データを大量に収集したアプリは「約30万人がインストールし、自分のデータだけでなく友人のデータも共有していました。当時のプラットフォームの仕組みを考えると、(アプリの作者は)数千万人の友人のデータにアクセスできたことになります」
個人データの共有に対する気軽な姿勢こそが、アプリ経済を存続させている唯一のものだ
続きを読む
後から考えれば設計が最善ではなかったことは明らかですが、設計通りに機能していました。Facebookは2014年に動作方法を変更することでこれを認めました。そして今回、この設計変更を行った際に、アプリ開発者と、現在は解体・リブランドされたケンブリッジ・アナリティカに対し、以前に取得したデータを削除するよう指示しました。「開発者がユーザーの同意なしにデータを共有することは当社のポリシーに違反するため、直ちに当該アプリをプラットフォームから禁止し、アプリ開発者とケンブリッジ・アナリティカに対し、不当に取得したデータをすべて削除したことを正式に証明するよう求めました。両社は証明書を提出しました。」
Facebook は、あまりにも多くのデータが吸い上げられることを許していたため、これを防ぐために変更を加え、アプリ開発者に余分なデータを削除するよう指示したが、少なくとも 1 人のアプリ開発者がそうしたと主張して嘘をついたと述べている。
5月25日以降、私たち全員が生きることになるGDPRの世界では、物事はシンプルです。データ管理者が、データを提供している第三者データ処理業者に対し、当該データの保管および削除に対する同意がもはや存在しないと伝えた場合、第三者はそれを実行する義務があります。そして、データ管理者がこれを確実に実行するために合理的な努力を払った限り、責任を負うのは第三者です。
つまり、あなたがその第三者である場合、データを使用する継続的な権利をしっかりと確信している必要があるということです。
違反はもう過去の話
さて。もしかしたら、選挙への影響や、上院がFacebookのCEOマーク・ザッカーバーグ氏にそれほど厳しい対応を取らないことなど、報道の騒ぎや期待に気を取られているのかもしれません。あまりにも気を取られすぎていて、私がまだ「b」という言葉に触れていないことに気づいていないのかもしれません。
「侵害」といえば、データの窃盗、つまりハッカーやマルウェア作成者が企業システムに侵入したり、マルウェアを仕掛けたりしてデータを盗み出し、システム所有者を処罰の対象にするというイメージが一般的です。GDPRの条文で「個人データ侵害」の定義を読んだとき、まず企業がハッキングされる状況を思い浮かべます。それも当然です。なぜなら、「『個人データ侵害』とは、送信、保管、またはその他の方法で処理された個人データの偶発的または違法な破壊、紛失、改ざん、不正な開示、またはアクセスにつながるセキュリティ侵害を意味する」とあるからです。
しかし重要なのは、GDPR違反とみなされるには、データが盗まれる必要はないということです。処理の基本原則(合法性、公平性、透明性)に従わなかったり、データ主体に何をしているのかを伝えなかったりするだけで十分です。データを誰かに渡す必要すらなく、法律違反とみなされるのです。
それだけでなく、GDPRの条文にある「処理」の定義を見ると、「収集」「構造化」「保管」といった言葉が出てきます。そうです、保管です。保管さえあれば処理とみなされます。つまり、正当な理由なく保管すれば違法な処理とみなされるのです。
結論
ビッグデータを処理しているなら、データ盗難は大きなニュースになりますが、データの不正使用によって大きな罰則が科せられるケースは他にもたくさんあることを常に念頭に置く必要があります。そして、その内容は簡潔にまとめると、そのデータを保有する正当な理由がない限り、そのデータを使用することは許可されません。ですから、今すぐ、できれば昨日までにデータを処分しましょう。GDPRが施行されれば、個人データの漏洩や盗難よりも、不正使用による訴追や罰金が増えると予想しています。
リポジトリがハッキングされ、ICOに対してリポジトリを保護するためにあらゆる合理的な措置を講じたことを証明できれば、ICOは相応の対応をしてくれるでしょう。しかし、ICO SWATチームが、あなたが本来扱うべきではないテラバイト単位のデータを熱心に、効率的かつ安全に扱い、対象者の権利と自由を無視していたと判断した場合、状況はおそらくあなたに有利には進まないでしょう。®
