lOTシステムが取集するデータには、人の氏名・住所のようなパーソナルデータと、機械設備の稼働状況のような非パーソナルデータがあります。
例えば、交通系ICカードでは個人の乗車駅・降車駅が自動的に記録されます。また、スマートフォンを持っていればGPSを使って個人の移動経路が記録されます。
lOTシステムが取集する情報は、人々の移動を解析することで交通状況を改善するなど社会にとって役に立つ情報である一方で、個人の立場からすれば、自分の行動が監視されているようで不愉快という側面もあります。
そのため、個人に関する情報(パーソナルデータ)については、その取扱いに慎重な配慮が必要です。
また、AIを使った個人の監視システムやプロファイリングによる個人の思想調査など、使われ方次第ではより大きなプライバシーの侵害が発生することも考えられるため、AIの活用においてもパーソナルデータの取扱いが問題となります。
このようなパーソナルデータの取扱いについては、日本では、法制度としては、個人情報保護法などのルールが定められています。
さらに、法律に明確に規定されてはいないが、これまでの裁判の蓄積により、個人にはプライバシー権という法的権利が認められています。
プライバシー権が侵害された個人は、侵害した者に対して損害賠償請求することなどができます。
そのため、lOTビジネスを始める者やlOTエンジニアは、基本的ルールとしての個人情報保護法やプライバシー権について知っておくことが重要です。
lOTシステムを構築した後になって個人情報保護法やプライバシーの観点から問題があるとの指摘がされた場合、システム設計を最初からやり直すには相当の労力・コスト・時間を要することになってしまいます。
これに対し、あらかじめシステム設計時の段階でパーソナルデータの取扱いについて配慮しておけば、そのような事態を避けることができます。
あらかじめプライバシーを考慮した上で制度設計することは、「プライバシー・バイ・デザイン」と呼ばれており、lOTシステム構築において重要な概念です。
個人情報保護法は、個人情報の種類に応じて、そのデータを取り扱う事業者の義務を定めています。
lOTシステムを構築する場合には、どの種類のパーソナルデータを取得すべきかよく検討しておかなければ、無駄なコストと手間を負うことになりかねません。
例えば、センサーがリアルタイムで収集する情報を、個人が検索できる形で体系化してデータベース化すると、「個人情報」が「個人データ」となり、第三者提供が制限されるので、データの共有に支障が生じることもあり得ません。
それならば、あえてデータを体系化しないまま処理したほうがよいという判断もあり得ません。
また、「個人データ」は、6か月を超えて保有すれば「保有個人データ」となる可能性があり、本人から開示・訂正・利用停止等の手続について作成・公表しなければなりません。しかし、個人データを6か月以内に消去すれば、そのような負担は生じません。
取得したデータに要配慮個人情報が含まれていると、そのままでは、そのデータを流通させることは困難となる。そのため、要配慮個人情報はあえて取得しないこともあり得る。
個人情報保護法とは別にプライバシー権の問題もあります。
プライバシー権について明確に規定した法律はありませんが、裁判例によって、プライバシーは法的に保護されるべき人格的利益として認められてきました。
個人情報は、一定の範囲でプライバシー権の対象として保護されています。よって、個人情報を取り扱う場合には、個人情報保護法だけではなく、別にプライバシー権についても考慮する必要があります。
また、プライバシー権の一内容として肖像権があります。
肖像権は、次の2つに分けて考えることができます。
したがって、他人の容姿を無断で撮影する場合はもちろん、他人の写真を無断で利用する場合も、肖像権侵害となり得ます。
撮影という側面について、一般論としては、個人の承諾なしに、その姿を撮影する行為は、肖像権の侵害に当たる可能性があります。
侵害の成否・損害の程度の判断において種々の事情が考慮されるものの、撮影が肖像権侵害に当たる可能性があるという点においては、意図的にある個人を狙って撮影したか、防犯カメラのような定点カメラに映り込んでしまったのかを問わないのです。