プライバシーのリテラシー

1.近況

f:id:seko-law:20190824122743p:plain

娘が1歳の誕生日を迎えました。

仕事では一時期より純プライバシーみたいな話は減っていて、セキュリティやビジネスに寄った話が増えている気はするのですが、就活生の話やナンバープレートの話は興味を持って追いかけています。

来月は有給が取れてJILISのイベントにも勉強に行けそうなので、今日は自分の思考の整理もかねて、最近のプライバシー関連ニュースを見て思ったことを記事にしてみようと思います。

2.日本のプライバシーリテラシーは低いのか

「プライバシー領域は難しい」という話は多くの弁護士から聞きますし、個人的にもそうだなとは思います。気を抜いていると不勉強だというツッコミが必ず飛んできます。

他方で「海外企業はプライバシーリテラシーが特別高いのか」というとそんなこともなくて、ヨーロッパでも

  • プライバシーポリシーで同意取ったと思ったけど、説明不足で無効でした
  • テーブルから氏名を消したから匿名化かと思ったけど違いました

みたいな、どこかで聞いたような失敗をしています。

ただここで認識しておくべきだと思うのは、ヨーロッパだとDPAがしっかり警告なり制裁金なりを課して、それが間違った法解釈であることを明確にしており、社会にも正しい解釈が浸透する形になっていることです。

XXX事件ってよくわかんないけどグレーな感じだったよね

 みたいなことを繰り返していると、それこそリテラシーの差は開いていくと思います。

 3.ではどうするか

このままプライバシーに関する議論が深まっていき、あるべき法解釈が皆に共有され、個人情報保護法の改正で明確化されるのは理想的な形だと思います。

他方で、プライバシー領域がグレーに感じられるのは、色々な利益を背負って法解釈やロビイングが行われているからだとも思われ、簡単に収束することはないとも思います。 

4.私案

企業側が炎上を気にして「レピュテーションリスク」を頻繁に口にする一方、厳格な法解釈には乗れないというのであれば、一旦ルールベースの話から離れるのがよいのかなと考えるようになってきました。

  •  法律の定めはともかく、社会やユーザーはこういうことを期待してますよね
  • 今度の取組みはa,b,cという要素から、プライバシーのリスクが高いですよね
  • そうであれば、法律が要求している最低限の取組みではなく、こういうことをしませんか

 というリスクベースの話の方が良い方向に向かう気がしています。今年はNISTプライバシーフレームワークのリリースが予定されていることだし(参考:前回記事)、この辺もう少し考えを深めたいなと思います。