1月28日は「Data Privacy Day」でした。プライバシーの尊重とデータの保護への信頼を確保することをテーマとして、データの守秘と保護に関する意識の向上および議論の喚起のために、世界各国でさまざまな取り組みが行われます。そもそも「プライバシー」と「データの保護」とは何だろう、という話を、歴史的な経緯から見ていきましょう。とはいっても、たかだか130年ぐらいの、とても浅い歴史です。

「一人にしておかれる権利」から「自己に関する情報をコントロールする権利」へ

　プライバシー（privacy）は「私生活」「個人の秘密」といった意味で、日常生活でも使われる単語です。この用語を「法律上の権利」として最初に取り上げられたのは、1890年に米国の法律雑誌であるハーバード・ロー・レビューに掲載された「The Right to Privacy」という論文です。その背景には、新聞や雑誌などのメディアが、個人の私生活をニュースとして取り上げるようになったことがありました。この論文では、プライバシーは「一人にしておかれる権利」として定義されました。

　プライバシーの権利は米国の多くの州で認められ、プライバシー侵害を巡りさまざまな判例が積み重ねられました。1960年、法学者ウィリアム・プロッサーは、これらの判例を分析して、プライバシーの侵害行為を以下の4つの類型に分類しました。

　こうして一旦は整理された「プライバシー」の概念ですが、情報化の進展により本人の知らないところで個人にかかわるデータが蓄積され利用される事態への懸念が起こりました。コロンビア大学のウェスティン教授は、1967 年に発表した『プライバシーと自由』で、プライバシーの権利を「自己に関する情報をコントロールする権利」と定義しました。この定義は広く受け入れられ、プライバシー権は自分に関する情報を他者に知らされないというだけでなく、取得された自分の情報の適正な管理や、誤りの訂正、削除を求めることまでを含めた積極的な意味を持つものになりました。

その後、インターネットの普及、ビッグデータ解析技術の進歩、AIの活用などの技術の発展にあわせて、プライバシーにも「追跡されない権利」「忘れられる権利」など、新たな権利が定義され追加されています。しかしこれらはいずれも「自己に関する情報をコントロールする権利」が拡大されたものであり、本質的な考え方は変わらないのではないかと思います。

プライバシーを守る共通のルール作り：OECD 8原則

　1970年代には欧州各国でもプライバシー保護に関わる法律が整備されはじめました。これらの法律は、一般市民の個人に関わる情報を保護する法律として「データ保護法」と呼ばれます。

　これらの法律は各国の国内を対象としたものなので、規制の対象やデータの取り扱いなどが各国の事情により異なる点がありました。経済のグローバル化と情報化の進展により、国境を越えた個人データの移転が行われるようになると、ルールを共通化する必要が生じてきました。1980年にOECD（経済協力開発機構）は、「プライバシー保護と個人データの国際流通についてのガイドラインに関する理事会勧告（プライバシー・ガイドライン）」を制定しました。

　OECDのプライバシー・ガイドラインは、プライバシー保護の対象を「識別された、あるいは識別されうる個人に関するすべての情報」と定義し、これをプライバシー保護の対象としました。そして、個人データの取り扱いについて、8つの原則を定めています。

＜OECDのプライバシー・ガイドライン8つの原則＞

　8つの原則では、自分自身の個人データについて、提供するかどうかは自分が決められること、あらかじめ聞いていた目的以外には使用されないこと、提供した情報は常に更新され安全に管理されること、提供をやめたいときにはいつでもやめられることが書かれています。言い換えると、「自己に関する情報をコントロールできる」という、プライバシー権を守る原則となっています。

　また、個人データの国際流通に関しては、加盟国はプライバシー保護を名目とした過度の規制や、国外への個人データの流通を阻害するような施策を差し控えるべきであることとされています。ただし、ガイドラインの原則を守れていない国に対しては、個人データの流通を制限できるとすることで、規制の緩い国に個人データが集中し、結果的にプライバシーが守られなくなるような事態を防ぐものとなっています。

　この原則は、日本を含む世界各国の個人情報やプライバシー保護に関する法規制の基本原則として取り入れられています。

欧州評議会108号条約とData Protection Dayの始まり

　OECDプライバシー・ガイドライン制定の1週間前、欧州評議会は、世界で最初の法的拘束力がある条約として「個人データの自動処理に係る個人の保護に関する条約」（欧州評議会条約108号、以下108号条約）を採択し、翌年1981 年1月28日には各国の署名に付されました。内容としては、OECDのプライバシーガイドラインと同様、各国が制定すべき個人データ保護と国際流通に関する原則を定めています。

　日本ではOECDプライバシー・ガイドラインに比べてあまり知名度のない108号条約ですが、その後1995年にEUが採択したEUデータ保護指令、およびその後継として2018年に施行されたEU一般データ保護規則（GDPR）にも大きな影響を与えています。2018年10月には情報技術やネットワークの進化やビジネスのグローバル化に対応して、108号条約を更新するための修正議定書が採択されました。現在、108号条約締結国による批准手続きが進められています。

　2006年4月、欧州評議会は108号条約の署名が開始された1月28日を「Data Protection Day」に制定しました。2007 年以来、毎年この日はデータ保護やプライバシー保護の推進にかかわるさまざまなイベントを実施しています。

世界のData Privacy Dayへ

一方、米国とカナダで始まった「Data Privacy Day」の活動は、SNSを利用するティーンエージャー向けに、オンラインでのプライバシー保護に関する教育にフォーカスしていました。ヨーロッパのData Protection Dayにあわせて、2008年1月28日に最初の「Data Privacy Day」が行われています。米国では議会の承認を経て毎年1月28日は国家規模の「National Data Privacy Day」となっています。

　先に始まったのはヨーロッパでしたが、取り組みは米国から世界各国に広がり、ヨーロッパ以外の国では1月28日は「Data Privacy Day」と呼ばれるようになりました。というわけで日本でも1月28日は「Data Privacy Day」なのです。ちなみに欧州評議会のウェブサイトにある「Data Protection Day」の紹介文には、「ヨーロッパ以外では「Privacy Dayとして祝われている」と書かれています。太っ腹ですね。

　インターネット上では、SNSだけに限らず、ウェブサイトの閲覧やECサイトでの買い物など、さまざまな局面で個人データが流通することが増えています。プライバシーの保護というと「自分の情報をとにかく隠す」のが正しいと考えがちですが、今の法律や国際ルールは「自己に関する情報を正しくコントロールする権利を守る」という観点で制定されています。自分でコントロールできる範囲で個人データを提供することは、決して怖いことではないのです。

＜参考文献＞