EUで進むデータポータビリティ権、導入の背景と日本における動向
IT・情報セキュリティ
今年5月に発効する「EU一般データ保護規則」(GDPR)に定められる「データポータビリティ権」。日本でも関心が高まった結果、経済産業省と総務省が合同で検討を進めるなど、その動向も注目されているが、「データポータビリティ権」とはどのような権利で、導入された場合にメリットはあるのだろうか。森・濱田松本法律事務所の増田 雅史弁護士に聞いた。
データポータビリティ権とは
データポータビリティ権とはどのような権利ですか。
「データポータビリティ」とは、あるサービスが特定のユーザーに関して収集・蓄積した利用履歴などのデータ(以下「個人データ」という)を他のサービスでも再利用できること、すなわち持ち運び可能であること(=ポータビリティ)をいいます。
そして、これを可能とする新しい権利が「データポータビリティ権」です。具体的には、各サービスのユーザーが、自身の個人データの管理者(以下「管理者」という)に対して行使可能な、以下の各権利を指します。
- 自身の個人データを、その管理者から一定のフォーマット(構造化され、一般的に利用され、機械により読み取れる形式)で受け取り、他の管理者に移転する権利
- 自身の個人データを、異なる管理者間で直接移転させる権利
その特徴は、単に自身の個人データにアクセスできるだけでなく、その持ち出しや移転を可能にすることにあります。これによって、あるサービスで蓄積された個人データを別のサービスではじめから利用することや、個人データを異なるサービス間で相互運用することが可能となります(ただし、サービスにおいて収集された個人データは丸ごと移転の対象となるのに対し、当該個人データをもとに作成された分析データなどの派生物はその対象外です)。
これを技術的に実現するためには、複数のサービス間で共通して利用可能なデータフォーマットの整備や、管理者間でのデータ送受信方法の共通化が必要となります。データポータビリティ権が創設された場合、管理者はその権利行使に備え、フォーマット等の共通化を進めることとなります。
EUから始まるデータポータビリティ権、日本の動向は
データポータビリティ権は海外ではどのように認められていますか。
EU(欧州連合)における取組みが世界の先駆けとなりました。実は前述したデータポータビリティ権の内容は、2018年5月25日に発効する「EU一般データ保護規則」 1(General Data Protection Regulation。以下「GDPR」という)の20条に“Right to data portability”として定められているものです。
GDPRはEUの法令体系上の「規則」であり、その発効と同時に、EU域内において加盟各国の国内法より優先して適用されます。つまり、EU全域でもうすぐデータポータビリティ権が創設されるということです。欧州委員会はその準備として、GDPR20条の解釈や運用に関するガイドラインを公表しています2。
これに対する他国の動きはまちまちですが、たとえば2017年2月、ニュージーランドのプライバシー委員会委員長 John Edwardsが同国におけるデータポータビリティ権創設を提案するなど、これに追随する動きもみられます。
日本においてもデータポータビリティ権に関する検討は進められており、2017年11月には、経済産業省と総務省が共同で「データポータビリティに関する調査検討会」を開始しています3。ここでは諸外国の状況調査や課題の洗い出しが行われていますが、今後の動きとしては、まず医療や金融といった特定の分野に限定した形で実施の可能性が探られていくと予想されます。
データポータビリティ権が創設された背景
なぜ、このような権利を創設する動きがあるのでしょうか。
欧州委員会による前記ガイドラインは、データポータビリティ権を導入した目的が、自身の個人データをコントロールする権限を本人に得させることにある旨述べています。また同ガイドラインでは、個人データの管理者間の競争、ひいてはサービス事業者の乗り換えや新規サービスの創出を促すという意義も謳われています。
データポータビリティ権があれば、ウェブサービスのユーザーは自身の個人データを他のサービスに簡単に移転できるわけですから、新たなサービスに乗り換える際の負担は小さくなります。これによって、すでに多数のユーザーを獲得している特定のプラットフォームの優位性は減少し、他のプラットフォームや新規サービスとの間でサービスや価格の競争が起こりやすくなるわけです。
この目的意識の背景にあるのは、GoogleやFacebookといった米国発のプラットフォーム事業者による支配構造の維持・強化に対する懸念と思われます。欧州委員会は実際、2015年12月に公表したデータ保護制度改正に関するFAQ4の中で、「スタートアップや小規模企業が、デジタルジャイアンツに支配されたデータ市場にアクセスでき、プライバシーフレンドリーな方策により更にたくさんの消費者を惹きつけられるようになる」と述べ、前述の大手事業者たちへの敵愾心を隠そうとしていません(下線は筆者による)。
データポータビリティ権を創設するメリットは
データポータビリティ権が創設されると、ユーザーと事業者、それぞれにとってどのようなメリットがあるのでしょうか。
データポータビリティ権の創設による主な効果は、欧州委員会の上記説明に集約されていますが、具体的に想定されるメリットをもう少し詳しく考えてみましょう。
ウェブサービスを利用する個々のユーザーにとっては、サービス選択の自由度が高まる点が最大のメリットといえます。また、ユーザーが事業者間の競争により経済的な利益を直接得られるチャンスも広がりそうです。たとえば、携帯電話通信サービスについてモバイルナンバーポータビリティ(MNP)制度が導入された後のように、競合する事業者間で「乗り換え」を推奨するための割引施策が盛んになると予想しています。
事業者にもメリットがあります。特にスタートアップ事業者にとっては、これまで先行する事業者たちが長い年月とコストをかけて収集してきた個人データを自らのサービスでもスムースに利用できることから、より少ない投資で競争の土俵に上がることができるようになります。また、これまでデータ収集に必要な投資を考えると非現実的と思われたサービスであっても、既存のデータを活用することでビジネスとして成立する可能性が生じるなど、事業創出そのものを誘発する効果もありそうです。
さらに、個々人が自身の個人データを管理可能となること自体が、新たな事業機会を創出する可能性もあります。「情報銀行」と呼ばれる仕組みです。
データポータビリティ権の創設により、個々人は自身の個人データをコントロールできるようにはなるものの、それを自身ですべて行うことは簡単ではなく、今後のデータ量の増大によりますます困難になると思われます。そこで求められるのが、個人データを一括して受託し、各事業者への情報提供を本人に代わりコントロールする存在であり、これを銀行ビジネスになぞらえて「情報銀行」と呼ぶことがあります(前出の図において「信託型代理機関」と表記されているものが、それにあたります)。日本においては、2015年の個人情報保護法改正によりすでに実現可能な仕組みとなっていますが、もしデータポータビリティ権が創設されれば、その注目度は一気に高まると予想されます。
-
「REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) 」 ↩︎
-
「Guidelines on the right to "data portability", wp242rev.01_en」(PDF) ↩︎
-
経済産業省「データポータビリティに関する調査・検討会を開催します」 ↩︎
-
「European Commission - Fact Sheet Questions and Answers - Data protection reform」 ↩︎
森・濱田松本法律事務所 東京オフィス
- IT・情報セキュリティ
- 知的財産権・エンタメ
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟