ビッグデータの活用とリスク防止

オンラインショッピング、オンラインブッキング、各のAPP……インターネットが様々な分野で活用されることで膨大な量のデータが形成されている。それらのデータは多くの企業にとって非常に価値のあるものである。前期の製品開発やユーザーニーズ調査を行う際に、ビッグデータ分析により適切なビジネス戦略を立案することができる。また、販売においても、データ分析に基づいた「ユーザープロファイル」は企業の価格設定、販売予測、販促計画の策定などに役立つ。

いかにビッグデータを獲得するか、いかにビッグデータを活用するかは、多くの企業が直面している、または今後直面する問題である。

今年、年初より施行されている『民法典』第127条では、データと仮想財産が初めて保護の対象とされた。一方、11月より施行されている『個人情報保護法』では、個人情報に係るビッグデータの所得・使用に対する制限が明確にされ、主にその第24条では「自動化された意思決定行為」に対する規制が反映されている。「自動化された意思決定」とは、「コンピュータプログラムを通じて個人の行動習慣、興味または経済、健康、信用状態等を自動的に分析・評価して意思決定する活動を指す。」(同法第73条)。

まずは、この前訴訟に追い込まれた「携〇アプリケーション」のVIP向けの価格が新規ユーザー向けの価格を遥かに上回るという「ビッグデータによる価格差別扱い」行為について、『個人情報保護法』第24条第1項では、「個人情報処理者が個人情報を利用して自動化された意思決定を行う場合には、意思決定の透明度および結果の公平性・公正性を保証するものとし、取引価格等の取引条件において、個人に対して不合理な差別的待遇を行ってはならない。」と規定している。従って、出前プラットフォーム、オンラインショッピングプラットフォーム、オンラインシタクシー予約、オンライン旅行などに携わる企業はそれを重視するとともに、上述の規定に違反していないか否かを自己検査するべきである。

次に、「自動化された意思決定の方法により個人に対して情報のプッシュ通知、商業的なマーケティングを行う」行為について、『個人情報保護法』第24条第2項では、「その個人的特徴に対して向けられたもの以外のオプション項目も同時に提供するか、個人に対して簡便な拒否方法を提供しなければならない」と規定している。例えば、ピザを2回オンライン注文した者に対して、出前APPはピザの関連情報のみを通知してはならず、その他の情報をオプション項目として提供し、商業的な情報の通知を拒否するためのオプション項目も提供すべきである。拒否のオプション項目は簡単で便利に行われるものでなければならず、分かりにくい煩雑に設定してはならない。

第三に、「自動化された意思決定の方式により、個人の権益に対し重大な影響をもたらす決定を行う」行為について、『個人情報保護法』第24条第3項では、「個人は、個人情報処理者に対して説明を求める権利を有し、かつ個人情報処理者が自動化された意思決定の方式のみによって決定を行うことを拒否する権利を有する」と規定している。但し、「個人の権益に対し重大な影響をもたらす決定」の判断基準については明確にされていない。『情報安全技術・個人情報安全規範』(GB/T 35273—2020)では、「自動化された意思決定の方式により個人与信・融資限度額を決定し、または面接者の自動化選別などに用いられる」例が示されているため、参考にすることができる。

注意すべきことは、『個人情報保護法』第55条により、個人情報を用いた自動化された意思決定を実施する場合は、個人情報処理者は、個人情報保護の影響評価を事前に行い、かつ処理の情況を記録しておかなければならない。又、GB/T 35273—2020によると、「自動化された意思決定の方式により、個人の権益に対し重大な影響をもたらす決定を行う」場合は、個人情報保護の影響評価を事前に行うとともに「個人情報主体に対して、自動化された意思決定の結果に対するクレームルートを提供し、自動化された意思決定の結果に対する人為的再審査を認める」。要するに企業は関連規則を制定する際はこの点を重要視するべきである。

実務において、一部の企業は製品またはサービスにおいて、個人情報収集機能を有する第三者自動化ツールまたはサービス(コード、スクリプト、インターフェイス、アルゴリズムモデル、ソフトウェア開発キット、アプレットなど)にアクセスする必要があり、コンプライアンスに基づいた管理を如何に実施するかも問題となっている。GB/T 35273—2020によると、以下の措置を講じるべきであるということだ。(1)技術テストを行い、個人情報の収集・使用が約定に合致することを確保する。(2)第三者に組み込まれたまたはアクセスされた自動化ツールによる個人情報の収集を監査し、約定を超える行為を発見した場合、即時アクセスを遮断する。