前回のコラムではGoogle Chromeがサードパーティcookieをブロックする件について解説しました。世界的なプライバシー保護の流れの中で、ブラウザが技術的にどうやってそれを実現するかという話でした。

今回は法的な規制について触れていきます。

■CCPAとGDPR

この1月からカリフォルニア州でCCPAが施行され、EUではGDPRという規則が2年ほど前から施行されています。CCPAやGDPRに共通している重要なポイントは

– 個人情報（行動履歴データを含む）を取得する際には同意をとる
– 取得した個人データは要請に応じて開示と削除をできるようにする

ことが求められています。CCPAの場合はさらに個人情報を提供しなかったからといって不利な扱いを受けることを禁じる、削除対応が要請から45日以内に行われなければならないなど、厳しい制限が課されています。

法的な規制の場合、適用地域のみで守ればいいという大原則があります（適用地域外で事業をやっていたとしても、適用地域の個人情報を持つ場合は適用対象）。GDPRはEUのみ適用対象で、日本国内で日本人向けにサービス展開する場合は適用されません。
しかし世界的にこのような流れになっていることもあり、日本でも行動履歴データを含む個人データの扱いにおいて新しい法制度が確立される動きがあります。おそらく「同意」と「開示・削除対応」はマスト、そして何が＋αされるかが問題になるでしょう。

■ウェブサービスのデータ収集者に求められること

当面は日本国内で事業する際には特に制限はないですが、今後発生するであろう規制に対して準備をしておく必要はあるでしょう。個人情報を入力して会員登録する場合のみならず、行動ログを取得する際にも「同意」と「開示・削除対応」を実現できるようにシステムを組んでおく。これができないのであれば、個人情報／履歴データ取得自体をあきらめたほうがいいかもしれません。

そうなると、外部ツールにデータ蓄積を依存していることはリスクになり得ます。外部ツールがどのようにデータの管理をしているのかをツール利用企業が知る必要があります。そのツールが同意・開示・削除に対応できなければなりません。個人情報の要請に対し「ツールが対応していない」は言い訳にはなりません。

GoogleアナリティクスではクライアントIDの削除機能があるので対応はできますが、それ以外のツール、特に国産ツールはデータの蓄積自体がNGになる可能性もあります（グローバルのツールのほうが対応が進んでいる）。ITPやChromeの3rd party cookie問題はウェブの世界の問題でしたが、法的な対応ということになればアプリでも対応が求められます。

■データとの向き合い方の変遷

これまではデータとの向き合い方として、「とりあえず取れるデータは貯めておく」というスタンスが有効でした。データの取得コストと蓄積コストが小さかったからです。

それだけではデータを持つ意味がないので、「データを溜めるだけでなく分析する」べきだと言われるわれるようになってきました。

一方でデータを溜めておくだけでも「何か問題が発生したときに追跡のために使う」という監査の視点では重要な意味があるわけですが。

そして今後は「貯めたデータは管理可能な状態で、要請に応じてすぐに開示・削除できるようにしておく」必要が出てきました。

データを取得して蓄積するコストは小さいのですが、管理可能な状態にしておくのは意外と大変です。削除といってもデータベース、さらには過去のテキストログから必要十分なデータだけを削除する必要があるのです。アーカイブしたログデータから特定の個人の履歴データのみを削除するのが容易でないことは想像できるでしょう（CCPAの場合はこれに45日という制約を付けている一方で13か月以上前のデータは手を付ける必要がない）。

■プライバシー保護の功罪

プライバシー保護の動きは時に技術の進化を妨げます。データの活用ではなくデータの管理にコストをかけざるを得なくなり、さらにデータが分断されることから分析自体も困難になります。

一方で面白いのは中国の動きで、中国にはプライバシーそのものがありません。国策でデータを国家や特定企業に集めるため、データの取り扱いにおいては他国より早い技術進歩が見込まれるようになるわけです。データが集まりやすく、AIが学習を進めやすい環境がそこにあるわけです。

中国のような国家や、ユーザとの膨大な接点をもつGAFAクラスのプラットフォームでないとデータを集めることは困難になります。中途半端な規模の事業体では手に入るデータが使いにくいものになっていく側面があるのは否定できません。