ELSIとは、新しい技術を研究開発し、社会実装する際に生じる技術的課題を超えた課題のこと。倫理的（Ethical）、法的（Legal）、社会的（Social）という各観点からの諸課題（Issues）の頭文字を取って「ELSI（エルシー）」と呼ばれ、データビジネスをはじめとする新しいビジネス領域に企業が取り組む上で避けて通ることのできない課題として、国内外から注目を集めています。

2019年より、電通は発足直前の大阪大学社会技術共創研究センター（ELSIセンター）と産学共創プロジェクトをスタート。企業や業界団体のデータビジネス領域におけるガイドライン整備などをサポートするほか、2021年には国内初（※）となる「データビジネスにおけるELSI意識調査」を実施しました。

前回記事に引き続き、大阪大学ELSIセンター長を務めるリスク学の専門家・岸本充生氏、同センター特任助教の倫理学者・長門裕介氏、同センター招へい教員を務める電通ソリューション・デザイン局の朱喜哲氏が、改正個人情報保護法のポイントの一つである「同意」を中心に、今後のELSI対応の展望を語り合いました。

※電通、大阪大学ELSIセンター調べ
 

法改正に伴い、「同意」を取り巻く課題が顕在化

朱：データビジネスにおけるELSI対応の動向として、今最も注目を集めているのが2022年4月に施行された改正個人情報保護法（以下、改正法）です。論点は多岐にわたると思いますが、その中でもビジネスへのインパクトが大きいトピックの一つとして、「同意」をめぐる問題が挙げられます。

改正法でも個人データとなり得る情報の第三者提供について、本人の同意が得られていることの確認が義務付けられていますし、目的を明示した上で同意を取得することが求められています。実際、4月ごろからウェブサイトにアクセスするとポップアップで個人情報の取得に関する同意を求められることが非常に増えていると感じます。まずはこの同意管理に関して、お二人の視点からポイントを教えていただければと思います。

長門：「同意」を哲学的に解釈すると、自分が管理する領域内に相手が侵入することを許可することであり、本来は非常に重みのある行為だと考えられます。しかし、日常的に同意を求められることが繰り返されるうちに、軽々しく同意してしまうケースや、逆に真面目な人ほど毎回プライバシーポリシーを読んで疲弊してしまう、「同意疲れ」と言われる問題が起きています。つまり、ただ単に同意を取得さえすれば良いのではなく、より実質的な同意を得るための方法を考えるべき段階が来ていると思います。

岸本：私が注目しているのは、第19条の「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない」という文言です。違法であるだけでなく不適正な扱いも禁止するということは、倫理的に適正なのかを自ら判断する、あるいは第三者によって判断されてしまう余地が生じているということです。

朱：データビジネス事業者の方々と話をしていても、今回の改正法には解釈の余地があったり、自分たちで個別に判断しなければいけない領域が大きくなっていると感じます。例えば、利用目的が分かるように伝える必要があることは明らかですが、それをどのレベルで行えば良いのか、どんな方法でユーザーに伝えるべきなのかは、企業側の努力義務に委ねられている部分があります。

長門：同意管理の先行事例として、よく引き合いに出されるのが欧州のGDPR（一般データ保護規則）です。GDPRは同意を厳密に定義し、日本企業が欧州から撤退するケースもあるほど厳しい条件が課されており、実際に制裁金が科されるなどの措置も取られています。ですからGDPRは「同意至上主義」と言われることもあるのですが、それほど同意という行為を個人の権利として非常に重く捉えているのだと思います。

岸本：ただし、GDPRでは第6条において、データの取り扱いが適法になる条件が6つ挙げられています。「同意」はそのうちの1つにすぎません。同意以外にも例えば、Legitimate Interests（正当な利益）という考え方があり、自身や社会にとって正当な利益があることが示される場合も情報を取得できるので、必ずしも同意至上主義とは言えないと思います。ただし「正当な利益」であるかどうかの判断基準もまだ確立されているわけではありません。

人が日常的にうそをつかなければならない同意プロセスで良いのか？

朱：同意の問題を考えるときに参照したいのが、医療における「インフォームドコンセント」という言葉です。私たちの調査でも認知度がかなり高い用語であることが分かっていますが、改めてインフォームドコンセントの理念や現状の評価について長門先生からお話しいただけますか？

長門：まず医療現場では、医療の専門家である医者と素人の患者で持っている情報に非対称性があるため、治療や投薬のリスクを知らないまま医者の判断を受け入れざるを得ないことが問題視されていました。その情報のギャップを解決する手段として、インフォームドコンセントに注目が集まったわけです。

朱：まさにデータビジネスにおいて、プラットフォーマーと個人で情報の非対称性があるのと同じ構図ですね。一方で、インフォームドコンセントについては「患者を言いくるめる技術」という捉え方をされてしまい、同意が形骸化してしまった側面があるのも事実です。そこで最近の医療現場では、もう一歩発展させた「シェアードディシジョンメイキング」（共有意思決定）というモデルが提案されています。

岸本：インフォームドコンセントの事例から学べることは、まず「説明と同意」という訳し方をしたことで、説得するための道具と言いますか、とりあえず形式的に手続きさえ済ませれば良いという誤解を招いたことだと思います。もう一つは、外圧によって導入されたものだったということ。やはり医者と患者の双方が本当に必要だという内発的な動機で導入された制度でないと、結局形式的なものになってしまいます。その意味で、今回の同意管理もGDPRへの対応など外圧によって進んでいる側面があるので、形式的にならないように注意する必要があると思っています。

朱：そうですね。政府も形式的な同意では不十分であることをていねいに説明していますし、「同意疲れ」の問題も取り上げています。われわれの調査でも、65％の人がそもそも利用規約やプライバシーポリシーを確認していないという実態がある中で、そこで得られる同意は本当に有効なのかという議論が起きています。

長門：「同意疲れ」はとても重要な問題です。建前上は各ウェブサイトのプライバシーポリシーを一つ一つ確認した上で同意する必要があるのですが、それはユーザーにとって認知的な負荷が大きすぎます。その結果、確認せずに同意することが常態化しているわけですが、それはある意味、ユーザーが「確認しました」とうそをついていることになるんです。サイバー法学者として有名なローレンス・レッシグは、このように人が日常的にうそをつかなければいけない状態になっていることを問題視しています。人に平気でうそをつかせるようなインターフェースで良いのかという、非常に根本的な問題ですね。

朱：ユーザーにうそをつかせることなく実質的な同意を取り、かつ認知的な負荷を減らすインターフェースが求められているということですね。実際、データビジネスが健全に成長していくためには、やはりユーザーの納得感が伴わなければ成り立ちません。逆に、データ倫理を明確に打ち出した企業やサービスが選ばれるようになると捉えることもできます。

ユーザーの選好に合わせた同意形成が次のトレンドに？

朱：ビジネス界の大きな潮流としては、データビジネスが飛躍的な成長を遂げるとともに、生活者の興味を引きつけて囲い込む「アテンション・エコノミー」から、生活者が自らの意思で企業との関係を選択する「インテンション・エコノミー」へと市場構造が移り変わりつつあります。このインテンション・エコノミーの世界観はこれからの同意のあり方にも通じる部分があると思うのですが、いかがでしょうか？

岸本：先ほど長門先生からお話があったように、とにかく都度同意を取得するという考え方はユーザーにとって大きな負荷になります。そう考えると、全てをインテンション（主体的な関心）に任せると負荷が大きくなってしまうかもしれないので、メリハリを付ける必要があると思っています。医療におけるインフォームドコンセントも、手術や臓器移植のような重大な場面で使われており、例えば軽い風邪の治療ではあまり出てこないと思うんです。同意に関しても、まずは利用目的に応じてリスクの大きさを事業者がスクリーニングした上で、この部分は信頼してもらって大丈夫、この部分はしっかりと説明した上で納得してもらう、というメリハリを付けた対応をすべきだと思います。

CRM（Customer Relationship Management）は、売り手が顧客との関係性を管理するという概念であり、VRM（Vender Relationship Management）は、顧客が売り手を管理するという概念。

朱：「信頼」は大切なキーワードだと思います。すでに北米では今の形式的な同意取得は時代遅れだという議論が進んでいます。その次の形として言われているのが、企業がまず説明責任を果たし、その信頼に基づいてユーザーにかかる負荷は最低限にしていくという方法です。

長門：信頼をどう規定し、形成していくかがポイントですよね。「信頼を得るようにしてください」と法律で定めただけでは機能しない可能性がありますし、大企業とスタートアップでは前提となる信頼の値が違う場合もあるので、健全な競争が働くのかという点も議論の対象になるかもしれません。

朱：北米ではいわゆる「脱同意」の潮流に伴い、プライバシーテックの領域が注目を集めています。最近だと、同意管理プラットフォーム（CMP）に代わる次のトレンドとして、Preference Management Platform（PMP）という言葉が出てきています。これは、データ利用について個別に細かく同意を取るのではなく、ユーザーの選好や嗜好をくみ取った上で同意を形成するような仕組みで、ユーザーとのコミュニケーションや信頼醸成が非常に重要になります。

岸本：個別に同意するのは負荷が大きいけれど、包括的に同意するのは抵抗がある時に、例えば、医学の研究目的であれば自由に個人データを使ってください。マーケティング目的には使わないでください。というように部分的に包括同意することは、まさにユーザーの選好にのっとった同意プロセスですよね。そのような情報をあらかじめ登録しておき、あとは自動的に利用を認めるような方法も考えられそうです。

朱：なるほど。同意とひと口に言っても、その都度個別に同意する場合もあれば、全部お任せで包括的に同意する場合もあるし、ユーザーのPreference（選好・嗜好）に沿った形で部分的な包括同意をする場合もあるということですね。このあたりはテクノロジーで解決できる部分もあると思うので、プライバシーテックの市場やツールが発展するとともに、社会実装が近づいていくのかなと思います。

ELSI人材は内製化する時代へ

朱：このように「同意」をはじめELSI対応に関するテクノロジーやツールは次々と新しいものが出てきているのですが、やはり企業として適切に対応していくためには人材の力が欠かせません。近年のELSI人材の登用や育成に関する動向を教えていただけますか？

岸本：CEO（Chief Ethics Officer）のような人材を登用するケースもたまにありますが、数年前までは倫理学者などを含めた外部有識者委員会をつくるケースが主流でした。ただ、私も委員会を組織したことがあるのですが、これは非常に難しかったですね。まずメンバー選定に関しては、どうしてもNOと言わない人を選ぼうとする心理が働きがちです。また、役割と権限についても慎重に考えなければなりません。例えば、議題は企業側から提示するのか、委員会側で提示するのか、そもそも委員会を開く権限は誰にあるのか、といったことを一つ一つ決めていく必要があります。その設計がうまくいかないと、エシックスウォッシング（形だけのELSI対応）と批判されてしまう可能性もありますからね。

長門：それと、委員会はプロダクトやサービスが開発された後にお墨付きを与える役割が多かったのですが、最近はバイデザインの発想が浸透してきたこともあり、プロジェクトが始まる前から社内の各部署を横断的に組織し、各部署にELSIリーダーをつくるような手法が注目を集めています。企業文化や社訓には創業者の思いが込められているだけあって、企業独自の価値やストレングスにつながる要素があります。そこに現場の感覚からボトムアップで積み上げてきた価値観をうまく一致させることができると、その企業のELSIのあり方もより良いものにしていくことができると思っています。

朱：そうですね。実際にわれわれの共同研究でも専門家として企業の皆さんに何かを教える立場というよりも、現場で業務を行ったり、管理にあたる社員の方々の言葉を引き出すためのファシリテーター的な役割を果たしながら、ELSI人材の育成やELSI対応をするチームの形成をサポートしました。

また、国内だとCEOのような人材を登用するのは現実的にハードルが高いので、現役のビジネスパーソンがビジネス上の課題感を持って、倫理学をはじめとした人文社会科学の原理を大学で体系的に学ぶリカレント教育が果たす役割は、今後もますます重要になっていくと考えています。

長門：はい、ケンブリッジ大学では社会人向けにAIに関するELSI教育のコース「MSt in AI Ethics and Society」を開講し、修士論文を書いて学位も取得できるような仕組みをつくっています。やはり内製化という視点で考えると、学術的な知識をバックグラウンドに持つことは一つの強みになると思うので、その際に大学のリソースを活用していただけるのであれば、われわれとしても非常にうれしいです。

朱：これからのデータビジネスを考える時、いわゆるサイエンスの領域だけでなくELSIの領域まで含めて、どうすればユーザーから選ばれるプロダクトやサービスになるのかという観点が必要になってくると思います。ぜひそのような企業のニーズに対して、今後も産学連携で一緒に取り組んでいけると幸いです。

（調査概要）
・調査名：データビジネスにおけるELSI意識調査
・調査対象者・サンプル数：
【スクリーニング】全国の20代～60代男女・20,000ss
【本調査】データビジネスに関わる方・1,000ss　
・調査期間：2021年12月20日～24日
・調査実施機関：電通マクロミルインサイト