HOME > 研究活動 > USJI Voice > USJI Voice Vol.40

研究活動

USJI Voice

USJI Voice Vol.40

「プロファイリング」とその規律――日米欧の現状

2018.12.19
山本龍彦
慶應義塾大学法科大学院教授

Ⅰ.はじめに

相手のプライベートを知るために時間とコストをかけて深い信頼関係を構築する時代は終わった。人工知能(AI)を使ったプロファイリングがあるからだ。米国の小売大手、ターゲット社が、顧客の購買履歴を用いて――最もプライベートな事柄である――妊娠の有無をプロファイリングし、妊娠が予測される者にベビー用品のクーポン券を送っていたことは余りに有名である。この予測技術は、情報を多く持つ者にとって極めて有用である。購買履歴やウェブの閲覧履歴など、それ自体センシティブでない情報を集積し、アルゴリズムを用いてプロファイリングを行えば、本人に気付かれぬことなく、また同意取得など面倒な手続を経ることもなく、センシティブ情報を事実上獲得できるからである。プロファイリングは、振ることで様々なものが出てくる「打ち出の小槌」のようなものだ。
この技術は、ターゲティング広告を含むマーケティング領域を超え、今や(a)選挙運動、(b)人事採用・労務管理、(c)与信など、実に様々な領域で用いられている。(a)選挙コンサルが、Facebook情報を用いて利用者の政治的傾向やフェイクニュースへの脆弱性をプロファイリングし、その結果が2016年米大統領選でトランプ陣営に利用されたと考えられている。(b)日本でも既に多くの企業が、採用活動に職務適性を予測するプロファイリングを利用し、採用後の労務管理場面でも、離職率や鬱病等を予測するプロファイリングを行っている。(c)みずほ銀行とソフトバンクが、プロファイリングを用いて顧客の社会的信用力をスコアリングするJ.Scoreを既に立ち上げているほか、NTT ドコモなど名だたる企業が同様のスコアリング事業への参入を発表している。
プロファイリングが、このように一般化し、我々の生活や民主主義それ自体に与える影響が大きくなればなるほど、それが公正かつ適切に行われることが重要となる。妊娠や鬱病のような身体的・精神的状態や、どの政党を支持しているかといった政治的傾向は、本来、それを誰に開示するかについて厳格な本人のコントロール下に置くべき情報であり、これをプロファイリングによって勝手に予測することは、プライバシー侵害のおそれを生じさせる。また、プロファイリングを用いた選挙運動は、有権者の心理動向を読んで、その投票行動を秘密裡に操作しうる点で、民主主義の質を大きく変容させよう。このことは、2016年米大統領選だけでなく、英国の欧州離脱(ブレグジット)を決定づけた同年の英国国民投票を見ても明らかである(どちらもプロファイリングを得意とするケンブリッジ・アナリティカ社が関与している)。さらに、プロファイリングが人事採用や与信の場で広く用いられるようになれば、本来は考慮に入れるべきではない個人情報(人種や遺伝情報等)を用いた不公正なプロファイリングや、偏った、あるいはバイアスのかかったデータセットを用いた不公正なプロファイリングが、個人の人生を大きく狂わせることにもなる。

Ⅱ.欧米の状況

このような社会的影響力をもったプロファイリングをいかに規律していくべきかは、世界共通の課題となっている。世界に先駆けてこの課題に取り組んだのは、無論EUである。2018年5月に運用を開始したEUの一般データ保護規則(General Data Protection Regulation, GDPR)は、プロファイリングを「any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyze or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behavior, location or movements」と定義し(4条4項)、プロファイリングに対して異議を唱える権利(right to object)を個人に認めた。この権利が行使された場合、データ管理者(controller)は、個人の利益等を乗り越える「やむにやまれぬ正統な根拠(compelling legitimate grounds)」を示さない限り、プロファイリングを中止せねばならない(21条)。また、GDPRは、プロファイリングのような自動処理のみに基づき重要な決定を下されない権利を認めた(22条)。これにより、管理者は、プロファイリングの結果だけで貸付けを拒否したり、採用を拒否したりすることができなくなった。GDPRは、プロファイリングのみに基づいて重要決定を行うことを例外的に認めているが、この場合でも、管理者は、個人の権利を保護するために適切な措置を講じなければならず、少なくとも人間の介在を得る権利(right to obtain human intervention)、自らの見解を表明する権利(right to express his or her point of view)、決定を争う権利(right to contest the decision)を保障しなければならない。さらにGDPRは、「公正と透明性の確保のため(to ensure fair and transparent processing)」、管理者は、プロファイリングを用いた自動決定の「ロジックに関する意味のある情報(meaningful information about the logic involved)」等を告知しなければならないとしている(13条)。
憲法文化として、政府からの自由や表現の自由を重視してきた米国では、もともと市場における自由な情報流通を重視する傾向にあった。したがって、例えば連邦最高裁が、医療プライバシー保護のために処方者識別情報の利用を規制する州法を違憲としたことにもあまり驚かない。2011年のSorrell v. IMS Health Inc.判決(564 U.S. 552)は、処方者識別情報の利用や分析は、製薬会社がマーケティングという営利的な言論を行う前提となるから、個人情報の利用・分析の規制は表現の自由の制約に当たり、合衆国憲法修正1条に違反するとしたのである。この考え方からすれば、米国では、プロファイリングは表現活動の前提として、憲法上保護されるとも解される。しかし、2016年米大統領選でFacebookの個人情報がトランプ陣営のプロパガンダのために分析・利用されたことで、プロファイリングの規制に向けた動きも出てきている。例えば、2018年6月に制定されたカリフォルニア州消費者プライバシー法(California Consumer Privacy Act of 2018, CCPA)は、「個人情報(personal information)」の定義を拡張し、その中に「推測(inferences)」(個人情報から引き出された、個人の好み、特性、見解、心理的傾向、能力、適性等に関する推測)を含めた。そして、事業者は、消費者の求めに応じて、プロファイリング結果である「推測」を消去したり、第三者への販売を中止したりしなければならないとされた。与信のためのスコアリングについても、連邦取引委員会(Federal Trade Commission, FTC)が、公正信用報告法(Fair Credit Reporting Act, FCRA)の適用範囲を拡張することで規律しようという動きを見せている。

Ⅲ.日本

このように見ると、欧米ではプロファイリングに対する法的規律が進みつつあるといえる。他方で日本には、未だこれを直接規律する法律は存在しない。個人情報保護法(Act on the Protection of Personal Information)は、2015年の改正により、「要配慮個人情報(special care-required personal information)」の取得について本人の事前同意を要することとしたが(17条2項)、一般的な個人情報を集積し、そこから要配慮個人情報をプロファイリングすることについては特段の規定を設けなかった。したがって、多くの事業者は、この技術の利用によって、本人の事前同意なく迂回的に鬱病や政治的傾向といった要配慮個人情報を「取得」できる状況にある。
もっとも、ガイドラインや自主規制のレベルでは、プロファイリングを規律しようという動きもある。例えば、総務省による2017年の「放送受信者等の個人情報保護に関するガイドライン」は、放送事業者は視聴履歴を取り扱うに際して、要配慮個人情報を推知したり、第三者に推知させたりすることのないよう注意せねばならないと規定している(34条)。また、メリカリ(メルペイ)やリクルートキャリアといった有名企業は、与信や採用・労務管理場面でのプロファイリングの自主規制を検討し始めている(NBL誌1137号・2019年1月)。2015年の個人情報保護法改正時、政府内でプロファイリング規制は「継続して検討すべき課題」とされたこと(2014年「パーソナルデータの利活用に関する制度改正大綱」)、プロファイリングにはプライバシー侵害だけでなく、民主主義や公正で開かれた社会のあり方そのものを危険に晒すおそれがあることを踏まえれば、政府は、ガイドラインや自主規制で上記リスクを抑止できないと考えられる場合には、欧米の規制動向を参照して具体的な立法的措置を速やかに講ずるべきであろう。

 


【筆者略歴】
山本龍彦(ヤマモト タツヒコ)

慶應義塾大学法科大学院教授。慶應義塾大学グローバルリサーチインスティテュート
(KGRI) 副所長。
内閣府消費者委員会「オンラインプラットフォームにおける取引の在り方に関する専
門調査会」専門委員、経済産業省・公正取引委員会・総務省「デジタル・プラット
フォーマーを巡る取引環境整備に関する検討会」委員、総務省「AIネットワーク社会
推進会議・AIガバナンス検討会」構成員。主な著書に、『憲法学のゆくえ』(日本評
論社、2016年〔共編著〕)、『プライバシーの権利を考える』(信山社、2017年)、
『おそろしいビッグデータ』(朝日新聞出版社、2017年)、『AIと憲法』(日本経済
新聞出版社、2018年〔編著〕)などがある。

 


USJI Voiceは、USJIの連携大学の研究者による政策関連オピニオン・ペーパーです。USJI Voiceでは、日米関係やその関連トピックに関心のある専門家の方々に向けてさまざまな記事をお届けします。
USJI Voiceは、執筆者であるUSJI連携大学研究者の個人的見解に基づくものであり、USJIとしての公式見解ではありません。

本資料に掲載している情報(文章や写真など)は、日米研究インスティテュートもしくはその連携大学の著作物です。個人の私的使用および引用などを除き、本資料に掲載している情報を、著作権者に無断で、複製・改変、転載などすることを禁止します。

  • 関連タグ
ご支援のお願い
  • 連携大学

  • GET UPDATES

    USJIでは、イベント等の情報をメール配信しています。お申込み/配信停止はこちらから。