個人情報データ、永遠に残ってしまうものですか？

死後もデータはさまよい続ける？

永遠に若くして健康に生きられれば！ これは誰しもの願いであり、不老不死を目指す研究は続いているものの、いまのところ老化と死はあらゆる人にとって避けられないテーマです。それにしても、自分が死んでしまってもいろいろインターネット上で自分についてのデータは残っていくものなのでしょうか？ もしや永遠に？

あらゆる疑問を専門家にぶつけるGiz Asksシリーズ。今回のテーマは「個人情報データ、永遠に残ってしまうものですか？」です。なかなか答えが分かれる難問でもあるやもしれません。

Meg Leta Jones

ジョージタウン大学、Communication, Culture & Technology准教授

永遠に存在するものなどありません。いま人気のある商用目的のサイトでさえ、せいぜい誕生して25年以内のものばかりです。2000年代を迎え、インターネットバブルがはじけた頃からまだほんの20年なのです。Facebookでさえ、まだ誕生して15年程度です。1980年代や90年代にインターネット上にあった初期のサイトは、ほとんど姿を消してしまっています。サイトやフォーラム、プラットフォームというものは、生まれては消えていく存在なのです。リンクは途切れ、アーカイブや記録は廃れていくものです。

デジタルデータというものは、非常にもろく、ファイルのやり取りには、いくつものレイヤーの過程を経ることが求められます。つまり、データにスムーズにアクセスするためには優れたメンテナンスが必要で、よほどの趣味人か専門組織、保存団体など、限られた人でなければ、いつまでもデータにアクセスできるよう努めたりはしないでしょう。

自分のデータが、どれほどの期間にわたり、オンラインに残り続けるかは、自分がどのような人物かということにも関係しています。もし有名人であれば、数多くのデータ保護を試みる人たちの手に渡って、長く長くアクセス可能になっていく可能性が高まります。忘れられる権利を行使することも、有名になれば難しいものとなるでしょう。もし忘れられる権利を着実に行使できるなら、自分の個人情報データがオンラインに残り続けることは一切ないよう、努力できるはずです。

ちなみに、自分についての情報が誰かほかの人のデータで参照されていたり、話のなかで引用されたりすることもあります。その場合、やはり自分のデータを保持している巨大企業が別の企業によって買収されたりして、そこがコンテンツやデータベースを消し去ってくれるのを願うしかないかもしれませんね。

どこかにデータが残っているとしても、それがオンラインにあるかどうかということは重要なポイントとなるでしょうか？ たとえオンラインに残ってしまっていたとしても、いま個人情報へ自由にアクセスするには、数々の障壁を乗り越えねばなりません。欧州では、2014年にEUの裁判所が、Google（グーグル）に対して、特定の検索結果を表示しないように求める判決を出して以来、大勢の人々が忘れられる権利を行使してきました。もしどこかにデータが残っているという状態を解消できなければ、オンラインに情報は残り続けることを意味します。でも、そこへどうやってたどりつくかは、また別問題です。昔の情報を参照するには、有料のサービスに加入しなければならないメディアが増えていますし、SNSでも他人が個人情報を参照できないようにするプライバシー設定の導入が進んでいますから。

永遠に記録が残り続けるなんて心配は、しなくてよいものなのです。それよりも心配すべきなのは、いますぐにでも有害な結果をもたらす情報の力と、消え去っていく文化を残すためのインフラが整っていないということでしょうね。

Fred H. Cate

インディアナ大学、Center for Applied Cybersecurity Research、法学教授

企業や政府機関というのは、常に多大の個人情報の収集を進めているものです。その収集手段もさまざまで、携帯機器やスマートフォン、ビデオカメラ、アプリ、メール、ウェブ閲覧履歴、プログラムやサービスの利用スタイルからオンライン決済などなどありとあらゆるもので、個人に関する情報は吸い取られていきます。しかもそのほとんどは、誰もが参照できるオンラインにある情報として残るのではなく、どれほど自分についての情報が収集されたのか、多くの人々はもっと透明性ある仕方で明らかにしてほしいと考えています。そして間違った情報であれば、それを正したいと望んでいる人たちもいることでしょう。

とはいえ、こうしてユーザーが知らないうちに収集され、企業やサードパーティによって共有されているデータというのは、ほぼ永遠に残り続けます。米国内においては、収集する個人情報の上限が法的に定められてはいません。しかし、たとえ法的に上限が定められていようとなかろうと、AIのトレーニングやセキュリティの研究目的などで収集されるデータには、ストレージ容量の上限というものが存在しているでしょう。

仮にストレージ容量に上限があったとしても、データの消去に人間は関心がありません。皆さんのうち、古くなった連絡先やメール、写真を、その都度、消していくようにしているなんて人は、どれくらいいるでしょうか？

つまり、データが収集されるかどうかや、その上限がどこにあるのかということが大きな問題となっているのではないように感じています。空気や海の水を片っ端から収集しては調べてみますか？ そう尋ねるようなものかもしれません。データ保護を問題にするのではなく、人々やコミュニティに注目し、どんなメリットやデメリットをデータに与えているのかを問題視するべきです。どれくらいの間、データが残るのかや、どんなふうにデータが収集されたかではなく、どのようにそのデータは使われるのか？ もし有害で、大きな問題を引き起こす形で用いられるならば、それを禁止したり、データ収集に同意を求めるべきです。一方、研究目的など、プライバシー保護がなされているならば、自由に進めてよいデータ収集もあるでしょう。

社会的に懸念される別の分野においては、すでに有効な対策が活用されています。たとえば、米国および欧州における人間を対象とした研究調査の場合は倫理委員会のようなものがあって、調査に同意する旨を事前に署名してもらったり、あるいは署名までは不要で自由に進めてよいといった基準が存在しています。データ倫理委員会のようなものを作り、個人情報データの収集を監督したり、責任を求めたりするのがよいのではないでしょうか？

Anu Bradford

コロンビアロースクール、法学教授

必ずしも永遠に残り続けるわけではないと、EUは規定しています。EUの定めたGeneral Data Protection Regulation（GDPR）によって、個人に関する特定のデータが、もし不正確だったり関連性がないものであったりするなら、永久に消去するよう要求することができるようになりました。いわゆる忘れられる権利ですが、Google Spainをめぐる欧州の最高裁判所での判決で初めて確立されました。

この裁判では、あるスペインのユーザーがGoogleに対して、自分が金銭的な問題を抱えていたことを伝える古い新聞記事へのリンクを検索結果に表示しないよう求めました。新聞記事の内容は正確でしたが、すでに借金を返済し終わっていたからです。Googleは、この求めに応じることを拒否しました。結局のところ裁判所はGoogleに対して、ユーザーの求めに応じて永久に検索結果から当該記事へのリンクを除外するように命じました。もう検索しても出てこないようにすることが求められたのです。それ以来、GDPRには、この忘れられる権利が明示され、多くのほかの国々でも、似たようなプライバシー保護法が成立しました。

忘れられる権利というものは多くの議論を呼び起こしてきましたが、効果も発揮してきました。情報を消去することは、言論の自由に反すると批判する人々がいます。たとえば、米国の裁判所は忘れられる権利を擁護するよりは、基本的には、言論の自由こそプライバシー保護に勝るものだとの概念を有しています。

ところが、EUの忘れられる権利は、実際には成果を上げてきています。GDPRは、検索エンジンにいわゆるインセンティブを出し、情報消去が進んできました。もしGoogleのような企業が判断を迫られた場合、たいていは情報を消去することを選んでいるのです。なぜなら、情報消去に応じなかった場合に課せられる罰金額は、世界的な売上高の最大4％にも上る可能性があるのに対し、たとえ情報を過度に消去しすぎたとしてもなんら罰金は定められていないからです。その結果、2019年5月に公開された報告によると、Googleは2014年5月以降、280万件に上る情報消去の求めに対してその約44％に応じてきました。

忘れられる権利は、EUがデジタル経済の監督機関としての役割を果たしていることを示す、ほんの一例にすぎません。米国政府はデータのプライバシーに関して、主に各企業の手に保護責任をゆだねる姿勢を見せてきたのに対し、EUはさまざまな国の商習慣を定めることにもなる、非常に多くの法規制を定めてきました。現在ほとんどの世界の大企業は、EUを念頭に置いたプライバシーポリシーを定めざるを得なくなっています。

Facebook、Google、Microsoftのグローバルなプライバシーポリシーは、GDPRに沿ったものになっています。Facebook、Twitter、YouTubeは、コンテンツの削除にかかわるヘイトスピーチの定義をEUの定義に合わせています。その結果、個人情報データに関しても、どのように保存され、利用され、共有され、送受信されて消去されるのか、永遠にオンラインに残り続けるのかについて、EU本部のあるブリュッセルで定められていくと答えたとしても過言ではないでしょう。

Sandra Wachter

オックスフォード大学、Oxford Internet Institute准教授、ハーバード大学、法学客員准教授

個人情報の基本的なプライバシー保護という観点で、EUのGDPRは、EU域内のみならず、その境界を越えてすばらしい第一歩を踏み出しました。残念なことに、GDPRを初めとする保護法というのは、アウトプットではなくインプットに重きを置いています。収集された個人情報から、どこまで活用してよいのかまでは定めていません。たとえばある企業は、位置情報の収集の許可を求めるかもしれませんが、その収集された情報がどんなふうに活用されるのかまでは、多くを明らかにしません。

ただ、このポイントは重要です。プライバシーに関連した問題は、往々にして自分が同意した個人情報の収集段階ではなく、情報が収集された後、機械学習やAIによってデータが活用され、非常にプライベートな情報が次々と用いられていく過程で生じるからです。そのデータには、自分の性的嗜好、年収、居住形態、宗教、政治志向、性別や障害に関する認識など、非常にプライベートなものも含まれるでしょう。ほとんどのユーザーは、まさか収集に同意したデータからこのようなものまで明らかになっているとは、気づいてもいないからです。

この段階の法規制の難しさは、多くの人々が企業秘密によりこうした情報活用はプライバシーが保護されていると考えがちなところにあります。収集に同意した個人情報から導き出されたデータは、今度はその企業や公的機関のものになると考えがちなのです。そのデータは、収集元になった個人も監督する権利を有するのかどうか？ これをめぐっては、興味深い論戦が繰り広げられてきました。

たとえば、Apple Cardのことを考えてみましょう。Apple（アップル）は、信用情報をスコアリングしています。Appleが顧客の個人情報を収集して導き出した信用スコアというのは、Appleのものでしょうか？ それとも、その顧客のものですか？ もし顧客のものであるのならば、個人情報を収集されて導き出される信用スコアを、顧客は自分で修正したりできるのでしょうか？ 信用スコアを消去する権利は、顧客が有していますか？ それともAppleが有しているのでしょうか？

いま私は、AIが道理にかなった範囲で活用可能なものを定めるべく、今後数年間にわたる研究プロジェクトを進めています。倫理的に受け入れられる情報分析のスタンダードとは？ 現在この分野で定まったものはなく、責任ある仕方で用いる方法を規定したものがないため、この分野の研究が必要なのです。個人を保護する権利とビジネスが目指すものの間には、よいバランスを保つことが大切です。