プライバシー文脈で言うと、政権が変わりテクノロジーに関する法律が整うだろうと言う事でルールメイカーになりたい企業が引き続きロビーイングを続けているのだと思います。 ビジネスモデルから考えて、アップルはプライバシー寄りに、Googleもそっち、マイクロソフト、Amazonは顔認識系でのロビーで、Facebookはどちらに転んでも少し厳しい状況ですね。 この辺りは色々な思惑があり興味深いところです。

Facebookに関しては広告が自身の政治信条に入ってくる可能性があることをケンブリッジアナリティカの事件で公に示してしまったことから、プライバシーに対してより慎重になる方が増えてきています。

米国の専門家と話をしていると、TikTokよりもTotokと呼ばれるアラブで開発されたアプリの方が情報セキュリティとしては問題という話になります（名前が似ていてややこしい） ジョージワシントン大学のスーザン先生のレポートがまとまっているので良ければ。 Data Is Dangerous: Comparing the Risks That the United States, Canada and Germany See in Data Troves https://www.cigionline.org/publications/data-dangerous-comparing-risks-united-states-canada-and-germany-see-data-troves Google and Apple remove alleged UAE spy app ToTok https://www.bbc.com/news/technology-50890846 データ保護の観点からは、情報を取得しているかどうかより、同意と利用、透明性含めたアカウンタビリティーの方がより問題になるので（米国COPPAの13歳以下の両親の同意）、こちらの観点から精査した方がより実務的な話になると思います。

会社のトップページやわかりやすいところにプライバシーポリシーが見当たらない点が気になりました。自分が見落としているだけかもしれないですが、教育系のサービスは特に個人データに関して慎重に対応した方が利用者にとっても良いサービスにつながるかと思います。

データ経済の視点からコメントすると、短期的にはコロナ対策で政府のデータアクセスは容認される部分も一定あるかもしれないのですが、ガバメントアクセスは個人データ保護の越境データ移転で多いに問題になるので、欧米各国との兼ね合いがまた難しくなりそうです。（特にヘルスケアデータは尚更） この辺りは越境で個人データを取り扱う事業者に対応コストとして跳ね返ってくるのですが、グローバルデータ経済を考えた時にどちらを優先するかは非常に難しい問題ではあります。

来年は改正個人情報保護法が施行されるので、今年の年明けあたりからデータベースの見直しが各社必要になりそうですね。 因みにヨーロッパのデータ保護のケースだと、欧州GDPR施行前にCapgeminiの調査で7から8割の企業がGDPRに対応できていると回答していたにも関わらず、施行1年後の2019年には2割しか対応できていないという実態だったので、各企業早めの対策が必要になりそうです。 「個人情報の保護に関する法律等の一部を改正する法律」の公布について https://www.ppc.go.jp/news/press/2020/200612/ 元Spotify担当者に聞くGDPR施行後に起こった企業の個人データ対策とは？ https://note.com/marketingoversea/n/n35f33be22bf8

欧州と英国間での越境データ移転に関しては、今年精査が進むと思うのでこの辺りはどうなるかみていきたいと思います。 UCL European Instituteの試算では越境移転の十分性認定がされない場合は10億〜16億ユーロの対策コスト増が英国企業に求められる可能性があることに加えて、日本のデータ貿易に取っても関係ある話なので、慎重にみていく必要があるかと思います。 十分性認定とは https://www.ppc.go.jp/enforcement/cooperation/cooperation/sougoninshou/ The Cost of Data Inadequacy: The economic impacts of the UK failing to secure EU data adequate https://www.ucl.ac.uk/european-institute/news/2020/nov/cost-data-inadequacy-economic-impacts-uk-failing-secure-eu-data-adequacy

GDPRの罰則事例（欧州のケースで日本は別）でもアクセス権限の問題はよくある話なので特段驚く事でもないですが、利用者企業目線に立つと、営業部門などで人の入れ替わりが激しいといくら良いサービスを導入しても出てきてしまう問題ですね。 情報がデジタルデータとして記録され、かつ運用を進めていくとなるとこの問題は避けられなさそうです。

詳細はこちらに発表されていますね。 クラウド型営業管理システムへの社外の第三者によるアクセスについて https://corp.rakuten.co.jp/news/update/2020/1225_01.html?fbclid=IwAR1Y3CzMRkztHGDbiCW_JfLSEH-I9NbmWXGFS9G9PetomMZrojfGl9l48B4

Googleの場合公共性のあるビジネスにも乗り出し始めているので、こう言った不透明な意思決定は今後より批判の的になっていくと思います。 公共性と企業文化を同列に扱うことは技術的に先端を言っていてもコンフリクトが発生する場合があるので、日本でも注目されている公共分野でのデータやAIの活用は慎重に議論される必要があります。

前提としてデータを活用してより良い社会を作っていく事は賛成ですが、以下の内容は誤解を生むので訂正した方が良いと思います。 → しかし、EUが2018年に施行したGDPR（General Data Protection Regulation：一般データ保護規則）をきっかけに、データの取得と利活用の目的は、ソーシャルグッドなものであることが前提となりつつあります。 ソーシャルグッドではなく消費者保護（社会ではなく、個人データの話）の話です。社会と個人を紐付けすぎると、データと言う言葉が抽象的になってしまうので、色々要素を混ぜ込みすぎず、先ずはデータとは一体何のことを言っているのかを紐解いていく事が大切だと思います。

AIと倫理の話はユネスコ、国連、IEEE、OECDを始めとして国際機関や学術的にも議論が盛んに行われているテーマなので、ソニーがどの基準や考え方を採用するのか興味があります。