中国に影響を受ける形で、数年前から国内でもスコアリングビジネスに挑戦するケースを目にするようになりました。スコアリングはプライバシー的にデリケートな領域なので、少なくとも日本でやる以上それなりの検討が必要です。

しかしながら、現状デファクトスタンダードになるようなルールはありません。そこで今日は、スコアリングビジネスの検討におけるガイドライン（ここでは補助線的な意味）として何を用いたら良いのかを考えてみます。

 

 1.総論

関連する制定法としては、ぱっと以下のものが思い浮かびます。

• 日本：なし
• EU：GDPR第22条関連
• US：Fair Credit Reporting Act関連

スコアリングビジネスをどう定義するかによって色々変わってくると思いますが、日本にはスコアリングビジネスを正面から規制する制定法がないことを前提に、日本の関連文書やEU/USの制定法を見ていくことで事業検討の補助線としていくのが良いのかな…と考えています。 

 

2.日本

制定法は無いものの、色々な団体が声明や報告書を出しています。有名所はカバーしているつもりなのですが、倫理（哲学？）に寄り過ぎていたり抽象度が高すぎることも多い印象です。現状で一番使いやすそうなものは、プロファイリングに関する提言案かなと思っています。提言案の中にチェックリストがあったり、優先度の色分けがされている点も実用性に配慮されていてすごくい良いです。もっとも本文中に

これらはあくまで「たたき台」である。

との記載もある通りで、ルールの提言というよりは観点の提言に近いです。社内で利用する場合にも、「議論を収束させる段階」というよりは「議論を発散させる段階」で活躍する資料かなという印象を持っています。*1

 

3.EU

GDPR上にはプロファイリングに関する規定があり、これがスコアリングビジネスにもあてはまることが多いと思います。 

第22 条 プロファイリングを含む個人に対する自動化された意思決定
1. データ主体は、当該データ主体に関する法的効果を発生させる、又は、当該データ主体に対して同様の重大な影響を及ぼすプロファイリングを含むもっぱら自動化された取扱いに基づいた決定の対象とされない権利
を有する。 

 プロファイリングについてはガイドラインが出ていて、こちらも同じく巻末に"Good practice recommendation "がついているので、チェックリスト的に使えると思います。とはいえ、GDPR周りは違反事例があってこそ議論が深まり、意思決定層が持つ危機感も高まるという構造があるので事例の蓄積待ちという面も強いです。

 

4.US

私もUSのプライバシー法を勉強している時に感じたのですが…スコアリングビジネスって言うとすごくモダンな感じがしますが、結局やっていることは信用性の評価なんですよね。信用性（credit）の評価なら昔から金融業界がやっていて、米国ではFCRA(Fair Credit Reporting Act)から続く一連の法規制があります。冊子にもなっていておしゃれ。

FCRAからは、

• 利用可能な目的
• 内容の正確性を担保するための手段
• 利用可能なデータの年限の目安（7年）
• 本人に不利益な行為を行う時には通知が必要なこと

等々が読み取れるので、これらを選別しつつ拾っていくと結構具体的なルールができると思います。

 ----------------------------------------------------

以上です。

プロファイリングに関して議論されていることの多くには倫理がからんでくるため、手の付け方が難しいな…と私も思っていました。倫理面の議論に対するキャッチアップはもちろん必要なのですが、ひとまず

• 「事実と評価」でいえば事実部分
• 「評価プロセスと評価結果」でいえば評価プロセス部分

に着目してかけられる制限をかけていく。そのことを通じて間接的に評価部分・評価結果部分の正しさを担保してく…というのが、現段階でできることなのかなと考えています。