要約

1. ブラックロックのフィンクCEOは、2020年1月に公表した年頭書簡に、サステナビリティ課題のひとつとして「個人データ保護」を掲げた。個人データ保護は人権保護の社会要素と安全管理措置の観点での企業統治の要素を併せ持ち、投資先企業でも、同課題を強く意識した企業行動が見られる。その象徴的な動きのひとつが、IBMが2020年6月に先陣を切った、米国大手テクノロジー企業による人権保護に基づいた顔認識技術及び製品の提供の見直しである。
2. 顔認識技術など、ソフトウェアが意思決定を左右する仕組みは、バイアスを除去できていないことが最近の研究で明らかになっている。個人データを含むビッグデータに基づき人工知能（AI）が行う「プロファイリング」を法的にいかに規律していくべきかが、足下では人種差別の観点で社会問題として顕在化している。欧州経済領域（EEA）で2018年5月に施行された「一般データ保護規則（GDPR）」では、個人に対して、プロファイリングを含む自動処理のみに基づいた意思決定に服さない権利を保障している。
3. 個人データ保護の強化の潮流はまた、欧米間の個人データの越境移転において大きな影響を与えている。欧州連合（EU）司法裁判所は2020年7月、米国の個人データの保護水準が十分でないとして、欧米間での円滑な個人データの越境移転を可能にする「プライバシー・シールド」を無効とする判決を下した。報道によれば、米国の数千社がビジネスに支障をきたす恐れがあるとしている。
4. 個人データ処理が、自然人の権利及び自由に対して高いリスクをもたらす可能性がある場合には、技術及び製品の開発に先立って、企業はプライバシー・アセスメントを実施する必要がある。企業が、個人データに関連したリスクを軽減し機会を追求するには、データ処理と個人の権利利益の制約の均衡を評価することが重要である。