文字サイズ

    知らぬ間にデータ提供いいの?

     ITが発展し、水道の蛇口をひねるように、簡単に大量のデータを取り出せる時代になった。だが、データビジネスが巨大化する一方で、データ主体であるはずの個人はないがしろにされていないだろうか。フェイスブック(FB)のアプリ経由の情報流出疑惑や、「いいね!」ボタンを介した情報取得の問題■では、十分な説明なく個人のデータを扱うこれまでの手法に疑問を投げかけられている。IoT時代を迎え、ビッグデータ活用が期待される中で、データの収集と活用はどうあるべきか。有識者3人にきいた。(編集委員 若江雅子)

    ■「いいね!」ボタン問題

     FBが提供している「いいね!」などのソーシャルプラグインを設置したサイトを閲覧すると、クリックしなくても閲覧者の端末やブラウザーに紐づいた閲覧情報などがFBに送信される。FBに氏名などを登録した利用者の情報については個人情報になる。FBは自社サイトの利用規約で情報取得について説明しているが、利用者にとってはどのサイトが「いいね!」設置サイトかどうかはアクセスするまで分からず、アクセスした時には情報はFBに送信されている。設置サイトの多くはFBへの情報送信について説明しておらず、結局、利用者にはどのサイトを閲覧するとFBに情報が提供されるかは分からない。

    何を・誰に分かる仕組みを

    • 株式会社データサイン社長 太田祐一(おおた・ゆういち)氏 証証券会社でシステム開発に携わり、インターネット広告業界に転身。国内で最初にDMP(データ・マネジメント・プラットフォーム)を開発し、大手企業などに提供した。35歳
      株式会社データサイン社長 太田祐一(おおた・ゆういち)氏 証証券会社でシステム開発に携わり、インターネット広告業界に転身。国内で最初にDMP(データ・マネジメント・プラットフォーム)を開発し、大手企業などに提供した。35歳

    株式会社データサイン社長 太田祐一氏

     インターネット広告業界でデータ管理システムの開発に携わってきたが、データビジネスが巨大化する中で、自分のデータを使われている利用者が置き去りにされていることに危機感を感じるようになった。
     今、データ売買市場は日米で5000億と推定される。多くの利用者はサイトを閲覧すると閲覧情報が取得され、自分の興味にあった広告表示に使われていることぐらいは知っているだろうが、自分たちのデータがそんな値段で売り買いされているとは思わないだろう。
     今回のFBのケースでは、送信された閲覧情報がFBの保有する個人情報と突き合わされたために個人情報保護法上の議論になったが、閲覧情報の送信は日常的に広く行われている。多くのサイトには、広告配信事業者など外部事業者が用意した情報送信用のプログラムが多数埋め込まれ、そのサイトを閲覧した人のブラウザーに対し、外部事業者のサーバーにアクセスして情報を送るよう指示しているのだ。
     集めた情報は様々な事業者の間でやりとりされ、それぞれの保有情報と合体されて膨らんでいく。例えば、このスマホ利用者は「年収600万円程度の都内に住む男性で、バスケ好き、自然食品を月1万円以上購入し、近く2人目の子どもが生まれる……」といった具合である。
     パソコンやスマホを識別する情報なので、誰のものかは分からないと思っている人も多いかもしれない。だが、最近は、ウェブサイトに登録したメールアドレスや電話番号などと紐づけて管理されているケースも増えており、こうした情報が、顧客の名簿をもつ企業に提供され、保有する個人情報を膨らませている実態もある。顧客はその企業に、教えた覚えのない情報まで知られることになるわけだ。
     もちろん、企業がデータを活用することで、より良いサービスを顧客に提供できるようになることは歓迎されるべきだ。ただ、どのような情報を、どのような相手に渡すのか、そして何の対価として自分のデータを渡しているのか、利用者も知るべきだろう。FBを無料で利用できるのは、FBが利用者の情報を使って広告ビジネスを展開し、莫大な利益を得ているからだ。今のネット広告のシステムは、自分のデータの価値を知らない利用者と、利用者のデータに高い価値を見いだしている広告主の意識の「差」を使って利益を得ている。だが、利用者の無知の上に成り立つシステムのままでいいのだろうか。
     同じことはサイト運営者にもいえる。多くのサイト運営者は、広告会社などに言われるがまま外部事業者のプログラムを設置しているが、それがこれほどの数にのぼることを知らない。一つのプログラムの中に、別の事業者のプログラムが埋め込まれる形で、一つ入れると色々な所に送信される複雑な仕組みだからだ。一つのサイトから120もの外部事業者に情報が送信されているケースもあったが、サイト運営者は一部の情報送信先しか把握していなかった。
     閲覧者に対する信頼の問題というだけでなく、データという貴重な経営資源を、なにも考えずに、ただで渡しているということにも気づいてほしい。

    第三者提供個人情報にも

    • 弁護士 森亮二(もり・りょうじ)氏 国立情報学研究所客員教授。政府の「パーソナルデータ検討会」や「第四次産業革命に向けた競争政策の在り方に関する研究会」の委員など歴任。52歳
      弁護士 森亮二(もり・りょうじ)氏 国立情報学研究所客員教授。政府の「パーソナルデータ検討会」や「第四次産業革命に向けた競争政策の在り方に関する研究会」の委員など歴任。52歳

    弁護士 森亮二氏

     インターネット上で行われる個人の様々な活動は、使用するパソコンやスマートフォンなどの端末やアプリケーションをサービス提供者が識別することで成り立っているが、こうした端末などを識別する情報は、現行の個人情報保護法では単体で個人情報として扱われない。機器に結びつくものでしかなく、個人の氏名等に結びつくものではないと判断されているためだ。
     個人情報であれば法で適正な取り扱いが求められるが、対象外の端末識別子の扱いは自由だ。これらに紐付けられた閲覧や購買の履歴、興味関心や経済状況など様々な情報が、事業者間で自由にやり取りされている。
     だが、FBの問題で分かるように、端末識別子に紐付いた情報でも、取得者が個人情報を保有する場合、それは個人情報になる。それにもかかわらず、個人情報ではないものとして扱われている点が問題である。
     利用者がやりとりをする相手とは別なところに情報取得の主体が隠れているという問題は、スマホのアプリを巡る構造に似ている。スマホでは、アプリをインストールすると位置情報など各種情報がアプリ提供者だけでなく広告会社などに送信されてしまうことが問題とされ、総務省が2012年以降、指針を公表している。指針では、本来の取得の主体である広告会社にとどまらず、利用者に対して適切な説明をせずに広告会社のプログラムを組み込んだアプリ提供者にも同法の適正取得義務に違反する可能性が指摘された。今回のケースに照らせば、自社サイトに「いいね!」ボタンを設置したサイト運営者にも、運用によっては違反の恐れがあり得ることになる。
     また、最近、端末識別子等に紐づく情報を集めて、利用者情報をもつ企業に提供する事業者が散見される。提供を受けた企業はもともと保有している個人情報に統合し、詳細な情報にすることができる。
     個人情報の第三者提供には本人同意の取得が義務づけられているが、これまで、提供元では個人情報ではない情報が提供先で個人情報となる場合に、この義務が適用されるかどうかは議論されてこなかった。個人の権利利益の侵害の恐れを考えれば、こうしたケースも同様に扱われるべきで、本人の同意を得ないで提供している現状は違法である可能性が高い。
     技術が大きく進展する中で、「氏名等と結びつけば個人情報で、そうでないものは個人情報でない」とするこれまでの整理には限界が来ている。昨年施行された改正法で新たに個人情報の概念として加えられた個人識別符号は、氏名等に結びつくかとは無関係に、1対1かどうか、簡単に変更できないか、本人に連絡できるか等の要素を基準に一定の符号が個人情報であることを確認したものだ。端末識別子もこれに加える方向で見直しが必要だろう。

    事業者の説明責任指針に

    • 一般財団法人日本情報経済社会推進協会(JIPDEC)常務理事 坂下哲也(さかした・てつや)氏  経団連21世紀政策研究所「データ利活用と産業化」委員、政府のシェアリングエコノミーサービス検討会議委員など歴任。54歳
      一般財団法人日本情報経済社会推進協会(JIPDEC)常務理事 坂下哲也(さかした・てつや)氏  経団連21世紀政策研究所「データ利活用と産業化」委員、政府のシェアリングエコノミーサービス検討会議委員など歴任。54歳

    一般財団法人日本情報経済社会推進協会(JIPDEC)常務理事 坂下哲也氏

     2017年のインターネット広告費は1兆5000億円。4年連続の2桁成長で、総広告費の4分の1にまで迫っている。原動力の一つは、利用者の閲覧や購買履歴の情報を使ったターゲティング広告にあるだろう。
     利用者にとっては関心ある商品情報を得られるメリットがあり、事業者も配信の効率化や購買促進に期待がもてる。日本の小売業は1997年をピークに縮小を続けており、利用者の心をつかんで需要を喚起することは重要だ。
     だが、オンラインの世界では実社会なら当然求められるような「説明」が足りていない。利用者と相対しないため思い至らないのかもしれないが、顔が見えない関係だからこそ十分に説明しなければ、利用者の不安と不信はより大きくなる。
     「いいね!」ボタンの問題が実社会で起きたらどんな反応があるか想像してほしい。ボタンを設置したサイト運営者は、FBの依頼を受けて、自社の窓口を訪問した客のデータを無断でFBに渡すようなことに等しい。実店舗だったら、最低でも入り口に貼り紙でもして「弊社を訪問した方の情報をFBに提供します」などと説明するのではないか。それが商売の作法というものだ。
     自社を訪れた客に対するのと同様に、サイト運営者は自社サイトの閲覧者に一定の責任をもつべきだ。今回、「いいね!」ボタンを設置したサイト運営者の中には、設置するとそのサイトを閲覧しただけで情報を送信させることを知らないケースも多かったが、自社サイトに外部事業者のプログラムを設置する以上はどのような機能を持っているのか把握するべきだ。ただ、ネット広告の技術は急速に進化し、複雑化しているため、サイト側もそれに追いついていないのが実態だ。プログラムを設置する広告会社も、データを提供する利用者だけでなく、設置サイトに対しても、もっと分かりやすい説明をする責任がある。事業者を所管する経済産業省や総務省、消費者庁などが合同でガイドラインを作るなどして、最低限の配慮事項を整理してはどうだろうか。
     私たちは今、インターネット上の閲覧や購買の履歴だけでなく、IoT機器で収集される現実世界での移動情報や生体情報など、日々、大量のデータを生み出している。こうしたデータの活用は、日本の抱える人口減少や高齢化、環境問題といった様々な課題を解決していく上で欠かせない。
     だが、データ主体である利用者の正しい理解と合意がなければデータ提供は滞り、利活用は進まない。現在、個人からデータを預かった事業者がその活用方法を管理する「情報銀行」構想が進み、政府も安全な事業者を認定するための制度作りを検討しているが、利用者の視点に立って、利用者が本当に納得できる制度にできるかどうかが、成功の鍵といえるだろう。

    2018年04月02日 Copyright © The Yomiuri Shimbun
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP
    ハウステンボス旅行など当たる!夏休み特集