個人データの開示請求対応管理の在り方
個人データの開示請求を例に、データポータビリティの対応やAIによる自動的なプロファイリング分析における課題を解説する。
個人データの開示請求を例に、データポータビリティの対応やAIによる自動的なプロファイリング分析における課題を解説する。
社会のデジタル化が進むにつれて、企業の取り扱う個⼈データは⾶躍的に増⼤し、その活⽤⽅法も⾼度化していくと想定されるため、従来の管理の仕組みのままではさまざまな課題が⽣じると想定される。
例えば、本⼈による開⽰請求への対応をとってみても、これまでは請求者の個⼈データを紙に印刷し、郵送で回答するといった例が少なくなかった。しかし、今後のデータ社会においては、顧客に関するあらゆる情報が継続的に収集・蓄積され、その⼈物のビッグデータ(⼤量データ)が形成されるというケースも珍しくないだろう。そのような場合、開⽰請求に対して印刷物で回答するのは現実的でなく、ウェブ上で⾃ら閲覧・調査できるような仕組みを提供するか、データ全体を汎⽤的な形式で抽出して指定されたクラウドへ伝送するといった「データポータビリティ」への対応が求められることになる。データポータビリティ対応については、特定企業によるデータの囲い込みを防ぐという観点からも、規制の必要性が議論されている。
また、収集したビッグデータを基に顧客のプロファイリング分析を実施し、推定した顧客属性に応じて、提⽰するサービスの内容や割引率などを調整している企業も少なくない。しかし、分析に⽤いたデータがそもそも本⼈のもので間違いないのか、あるいはそのデータが本当にその本⼈の属性を正しく⽰しているのか、本⼈が知るすべのないまま⼀⽅的に誤った判断が⾏われているケースもあるだろう。企業のプロファイリング分析に対しては、今後ますます判断ロジックの透明性、関連情報の本⼈への提供が求められると想定される。
しかしながら、最近ではこうした分析が⼈⼯知能(AI)により⾃動で⾏われる例も増えており、そのようなケースでは、もはやロジックを説明すること⾃体が困難になっている。もしAIによる⾃動的なプロファイリング結果が、料⾦の決定といった重要な意思決定に結び付いている場合には、本⼈がその⾃動意思決定を拒否できるか、意思決定に関連する追加情報を提⽰できる機会の提供が必要とされるだろう。
海外の個⼈データ保護規制においては、既に前述のような対応を企業の義務として規定するケースが出てきている。⽇本の企業においても、このような課題を認識し、海外規制の動向も視野に⼊れながら、デジタル時代の管理ルールを検討することが求められる。
プロファイリングなどによる自動意思決定を規制する法令例
| 国 | 該当する主な規制・条項の例 |
|---|---|
| 欧州 | EU一般データ保護規則(GDPR)第22条 |
| 中国 | 中国サイバーセキュリティ法(CSL) |
| ブラジル | ブラジル一般データ保護規則(LGPD)第20条 |
| ロシア | ロシアデータ保護法(OPD)Section 16 |
日刊工業新聞 2019年6月25日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。
執筆者
KPMGコンサルティング
パートナー 大洞 健治郎