Social

Digital Rights
(デジタルライツ)と
企業のESGの関係

2022.2.2

本記事ではESGの『S』(ソーシャル)にあたる消費者の情報保護、特に拡大を続けるデジタル領域内での人権について解説します。国際社会や政府が設けるプライバシー規制と、日々目まぐるしく進む物事のデジタル化の狭間で絶妙なバランスが求められる個人情報の取り扱いについて、企業の情報管理やESGの議論と絡めて紹介します。

1 デジタルライツ（デジタルライツ）とは
2 遅れる政府の規制と自己流規制を進める企業
3 自己流規制が自社に与え得る影響
4 日本企業における意味合い
5 ESG情報を自社の企業価値向上に効率的に繋げるために

デジタルライツ（デジタルライツ）とは

世の中のデジタル化の進展と同時に注目を集めているトピックの一つに「Digital Rights（以下「デジタルライツ」）」が挙げられ、日本語では「デジタル権」とも呼ばれています。広義にはインターネットを含むデジタルメディアへのアクセスから使用までの法的権利全般を指しますが、最近では、人権に着目した企業の情報管理やESGに関する議論が増えています。本記事では、主にデジタルライツに関わる人権問題について取り上げます。

デジタル化により、日常の買い物からビジネスといったあらゆる場面で、情報がデジタルデータとして扱われる様になっていますが、その中には大切な個人情報も含まれます。デジタル化された個人情報は様々な企業のプラットフォームに格納され、多くの場合、特定の企業ページへのアクセスを増やすためのデータ分析や、利益を上げるための分析に使用されています。消費者一人一人の目に届かないまま、意図していない形で情報が再利用されることも頻繁になってきました。近年では、多くの企業が個人情報保護のポリシーを設けています。企業はポリシーの遵守を主張する一方で、デジタル化された個人情報の使用量、幅は拡大の一途を辿っています。次節以降では、こうしたデジタルライツを巡る近年の流れや規制の展開について、企業のESG経営との関連の観点から紹介していきます。

遅れる政府の規制と自己流規制を進める企業

近年の流れの中で問題視されていることの一つに、人権保護に対する政府と企業の間のスピードのギャップが挙げられます。デジタル化の社会への浸透は加速する一方、政府のルール作りが追い付いておらず、企業向けの規制がない状態／項目が散見します。企業は目の前で日々進んでいくデジタル化に対応するため、独自に規制を設ける必要性に迫られています。しかし、企業ごとに程度の差が生じ、また、曖昧なガイドラインを基にした自主的な取り組みとなるが故に、利益重視の企業にとってデジタルライツの保護は最優先事項となりづらく、後手に回る状態が続いています。

例えば、Amazon.com, Inc.(以下アマゾン)は米国で、顧客が手のひら（掌紋）をかざして入店・決済までできるスキャナー「Amazon One」をAmazon GOの店舗に導入しました(*1)。コロナ禍において、コンタクトレス（店員と顧客の接触なしに）で買い物ができるという点で一見便利なサービスですが、掌紋のスキャン、収集、その後の使用範囲についての情報が開示されておらず、デジタルライツへの懸念の声が上がっています。複数の米国上院議員は、アマゾンに対して公式書面による情報開示を求めていますが、これは偏に、現在の米国に掌紋認証の適切な規制が存在しないことによります(*2)。

2019年には、中国大手のテック企業であるHuawei Technologies Co., Ltd.（以下ファーウェイ）が中国国内で深刻な人権侵害を行っているとして、英国の複数の政治家が同国外務大臣宛に問題提起の書簡を送りました(*3)。そうした背景には、英国政府が5Gのインフラ整備にファーウェイのサービスを利用することを検討したことが挙げられます。こちらも、英国、中国共に、5Gとそれに関連する人権への規制が満足に確立されていないことが原因の一つとされています。

本来、政府は、国民が納得するプライバシーポリシーを策定し、デジタルライツの保護を担います。しかし、政府自らがデジタルライツを侵害するケースも見られます。例えば、ロシアでは2020年、警察による顔認証機能付き市内監視カメラの使用拡大の計画が発表され(*4)、国内外の人権活動家、弁護士、NGOより非難の声が上がりました。

これには、国際規範の欠如も関連しています。国連は、世界人権宣言や子どもの権利条約など、人権保護の枠組み作りにおいて主導的役割を果たしてきました。しかし、デジタルライツに焦点を当てた国連規約は未だ存在せず、デジタル化への対応は、既存規約の拡大解釈や、小さな改定や追記にとどまっています。最近では2021年6月、国連難民高等弁務官（UNHCR）がミャンマーからバングラデッシュに逃れたロヒンギャ難民の個人情報管理に使用する指紋などの個人情報をミャンマー政府に渡したとして、国際社会より強く非難されました(*5)。これも、指紋認証に関する国際条約が存在しないことによるものです。このように、国際規範がないことから各国政府のガイドライン作成が遅れ、それが企業の独自のガイドライン作成にも繋がっているのです。尚、国連はデジタルライツに対して、2016年の国連決議で「オフラインでの権利と同じように、オンラインでの権利も保護されなければならない。(“the same rights people have offline must also be protected online.”)」と述べるに留まっています(*6)。また、デジタルライツには様々な種類がありますが、中でも上記の様に掌紋、顔、指紋など体の情報を用いた個人情報の管理は「生体認証」と呼ばれ、その利便性からデジタルタライツ分野で今後更なる主流化が予測されています。これらは住所や電話番号と異なり生涯変わらない情報であることから、一度流出すると取り返しがつかないため、慎重派の意見も多くあります。

自己流規制が自社に与え得る影響

そうしたトレンドを踏まえ、いくつかの国の政府は徐々にデジタルライツに関する規制を整備し始めていますが、これまで自己流規制を進めてきた企業との衝突が発生しています。

USの事例

アメリカで記憶に新しい事例としては、Facebook, Inc.(以下フェイスブック)（現：Meta）の裁判が挙げられます(*7)。2015年、イリノイ州のフェイスブック利用者が同アプリの自動タグ付け機能に対し、自分の写っている写真が知らないうちにタグ付けされたことをきっかけに、同社がユーザーに開示なく顔認識データを収集したとして集団訴訟を起こしました。フェイスブックはカリフォルニアに本社を構える会社ですが、これがイリノイ州の生体情報プライバシー法（Biometric Information Privacy Act/BIPA）に違反するとして、2021年に5億5,000万ドル（日本円で600億円相当(*8)）の支払いが命じられています。その他、Facebookがヘイトスピーチやデマなどの有害コンテンツの蔓延に果たした役割を指摘する内部文書が公開され、盛んに報じられました(*9)。その影響もあり、2021年9月、フェイスブックは数百人のエンジニアが個人情報データに頼らずに広告を表示する新しい方法の開発に取り組んでいると発表しました(*10)。現在では社名もMeta（メタ）へと変更し(*11)、新たな領域での事業展開を進めていますが、どれもメタバース（メタ＋ユニバース）空間でのサービスとなるため、デジタルライツへの更なる配慮が求められます。またGoogleは、同社のウェブブラウザChromeのトラッキング技術を無効にする計画を発表しています(*12)。

EUの事例

EUは2020年12月、GAFA（グーグル、アマゾン、フェイスブック、アップルの頭文字）を念頭に据えた巨大テック企業に対し、EU 域内に4,500万人以上のユーザーを持つ企業がEU内でビジネスを行うための厳格なルールを定めた法案を発表しました(*13)。今回の法案は「デジタルサービス法（DSA）」、「デジタルマーケット法（DMA）」の2つから構成されています。DSAは、個人化された追跡広告がどのように作成されるかをユーザーに明示する義務といったEU市民のデジタルライツ保護に焦点を当てています。DMAは、特定種類のデータは規制当局やライバル企業と共有しなければならないなど、該当企業の規制を目的としています(*14)。違反企業に対しては、世界年間売り上げの最大10％が罰金として科されるなど、罰則規定も定めています。

注目すべきは一連の流れのスピードです。2021年に本法案の議論、発表がなされ、2022年初めよりEU加盟国との交渉が始まりました。EUは今年中に本法案を施行することを目指しており、政府の規制策定のスピードが加速していることが伺えます(*15)。

オーストラリアの事例

オーストラリアでは、プライバシー当局が2021年11月、AI顔認識サービスを提供する米ベンチャー、Clearview AI（以下クリアビューAI）に対し、プライバシー法違反だとしてオーストラリア国民の顔画像と関連データの削除命令を行いました(*16) (*17)。クリアビューAIはFacebook、YouTube、Twitter、Instagramなどのソーシャルメディアなどから顔画像を自動収集し、それをもとに米国組織に顔認識サービスを提供しています。提供先は米連邦捜査局（FBI）や国土安全保障省（DHS）を含んだ600以上の米国法執行機関に及びます。オーストラリア情報コミッショナー事務局（OAIC）は、クリアビューAIによるネット上からの膨大な顔画像の収集行為が「本人同意のない機微情報の収集」「不当な手段による個人情報の収集」などを禁じた同国のプライバシー法に違反していると指摘しました(*18)。これに対してクリアビューAIは、「オーストラリア国内でビジネスを行っておらず、顧客もいないため情報コミッショナー事務局には管轄権がない」として不服申し立てを行っています(*19)。ところが同社のビジネスに関しては、ドイツで2021年1月、EUのプライバシー保護法制「一般データ保護規則（GDPR）」違反が認められ(*20)、カナダでも同月、ケベック州のプライバシー保護法への違反が認定されているなど(*21)、複数の国でのプライバシー違反の認定がなされ国際的にも物議を醸しています。先述のEUの例にも見られるように、企業は国を超えて同じビジネスを行っていても国が違えば要求も異なります。そのため、デジタルライツへの適切な配慮がなければ自国でのビジネスモデルが他国では機能しなくなる可能性があります。自国の規制のみ気にすればよい時代ではなくなってきているのです。

日本企業における意味合い

日本にはGAFAやクリアビューAIほどの議論が巻き起こる事例はまだほとんどなく、デジタルライツ関連では個人情報漏洩に関する話題が多い段階です。しかし、GAFAなどの高度なデジタル技術を用いてサービスを提供する企業や組織が増えている他、独自に個人情報のデジタル化に対応しながらサービス提供を行う企業も多く存在します。どちらにせよ、デジタルライツは今後企業がビジネスを行う上で議論の要となり得る事項です。それだけでなく、デジタルライツの扱いを疎かにすることは、ESG経営での “S (Social)” の評価と企業全体の価値を下げることに繋がる、あるいは、会社の運営費用を増加させる恐れもあります。

MSCIは2017年7月、米大手消費者信用情報会社であるEquifaxのデータ漏洩を受け、同社にESG評価で最低ランクを付与しました。ESG評価が低い銘柄は、ESG評価の高い銘柄よりも資産価格の変動リスクが高いと判断され、全ての投資家、特にインパクト投資家や社会的責任投資家にとって懸念材料となり得ります(*22)。 Equifaxは信頼回復のために法務コストを増加させ、その額は過去最大を記録しました(*23)。MSCIによる評価は、日本企業に対しても広く実施され、国内外の多くの投資家が参照していることを踏まえると、この事例は、デジタルライツの議論ではまだ個人情報漏洩の話題が多い日本でも同じリスクがあり、現時点でもデジタルライツへの取り組みが経営における優先事項であることを示唆しています。

加えて、日本でも2021年9月、デジタル庁が新設されました(*24)。政府は行政面でのデジタル改革に積極的であり、またマイナンバーをはじめとした個人情報のデジタル化を行う「デジタル政府」の推進にも積極的です。それに伴い、デジタルライツの規制が設けられることが予想されています。先に取り上げた米国、EUに似た事例が日本国内で起こる可能性も十分あり得ると言えます。つまり、デジタルライツとESG経営の関連性は今後更に増していくということです。

従来、欧米が先導したルールや環境規制が、国際規範となった数年後、日本で追随されるモデルが一般的でした。しかし、世界が同時に影響を受ける時代になりつつあります。また、直近のトレンドとして、新型コロナウィルスの大流行の影響も無視できません。一時的に世界の温室効果ガスの排出量が大きく減少したことがきっかけで、 “E(Environment)”より“S (Social)” の方が世の中から注目を集める事象が起きています(*25)。そのため今後は、これまで以上に企業のESGの“S (Social)”に関与するデジタルライツを考慮したビジネスを行うことが重要になってくるのです。

ESG情報を自社の企業価値向上に効率的に繋げるために

本記事で取り上げたように、個人情報のデジタル化が世界的に、且つ早いスピードで進む中で、デジタルライツをESG経営の主要項目の一つと捉えてビジネスを進めることが非常に重要です。また、ESG経営や投資を通じて、自社の企業価値を高める機会を増やし、あるいは企業価値を毀損するリスクを低減したいと考えておられる企業は多数あるかと思います。ではどうやってその機会やリスクを低減することができるでしょうか。

まずは、その機会やリスクを正しく把握することが非常に重要になります。但し、正しい把握のためには長期的利益の観点で、自社だけではなく、他社や他業界を含めた多数のESGデータを比較分析していくことが必要になります。

他方、ESG指標は代表的なものだけでも国内海外に数十とあり、それぞれの指標で数十以上の評価項目が設定されています。また、これらの指標基準も毎年アップデートされています。従って、国内海外のESGトレンド及びそこから波及する自社への事業リスクや機会を体系的に「広く」把握し続けることは多くの企業にとって容易ではありません。

また、把握したトレンドやESG指標を自社の事業データと関連付けて定量的に考察し、自社の事業戦略に繋げる「深い」分析も多くのデータ処理や工数が必要になります。ESG指数の『S』という個別要素に目を向けても、様々な指標と計算手法があり、分析が複雑に構造化されています。

こうした「広く」「深い」分析アプローチを効率的に行うためには、各社がそれぞれで調べて対応するより、ノウハウを集約した専門家部隊が実行した方が不要な工程を削減し、また同じ工程を行う速度も速いため、極めて効率的かつ効果的となります。

本記事では1つのESGトレンド事例を抜粋して紹介しましたが、クオンクロップでは、外資系戦略コンサルティングファーム出身者を中心としたESG経営データ分析の専門家チーム及びAIを含む独自の分析ノウハウを活用し、各企業が「選ばれる」ために必要十分なESG活動量を把握し改善を支援する「ESG/SDGs経営度360°診断＆改善支援」などのサービスを提供しております。

ESG経営分析のチームが社内に既にあり、ESG経営を既に推進している企業様における分析の効率化のみでなく、ESG経営分析のチームは現状ないものの、これからESG経営に舵を切る必要性を感じておられる、比較的企業規模が小さい企業様に対しても活用いただけるサービスです。ESG経営の効率的な加速のための、科学的かつ効率的な分析アプローチにご関心のある企業様は、是非クオンクロップまでお気軽にお問い合わせください。

クオンクロップESGグローバルトレンド調査部

引用文献

*1 https://jp.techcrunch.com/2020/09/30/2020-09-29-amazon-introduces-the-amazon-one-a-way-to-pay-with-your-palm-when-entering-stores/

*2 https://techcrunch.com/2021/08/13/amazon-biometric-data-senate-letter/

*3 https://www.forbes.com/sites/ewelinaochab/2020/01/06/when-a-tech-company-engages-in-severe-human-rights-violations/?sh=3a8cb44e6943

*4 https://www.hrw.org/news/2020/10/02/russia-expands-facial-recognition-despite-privacy-concerns#

*5 https://www.thenewhumanitarian.org/opinion/2021/6/21/rohingya-data-protection-and-UN-betrayal

*6 https://www.theverge.com/2016/7/4/12092740/un-resolution-condemns-disrupting-internet-access

*7 https://techcrunch.com/2020/01/29/facebook-will-pay-550-million-to-settle-class-action-lawsuit-over-privacy-violations/

*8 2022/1/30時点の為替レートより110円/USドルで換算

*9 https://japan.cnet.com/article/35178549/

*10 https://www.nytimes.com/2021/09/16/technology/digital-privacy.html