文字サイズ

    「いいね」で個人情報収集、FB納得いく説明を 

     フェイスブック(FB)が揺れている。英国のデータ分析会社に提供したデータの不正使用疑惑◆「いいね!」ボタンを介した情報収集◆。いずれも、問われているのはプライバシーに対する姿勢である。利用者の知らない間に、大量のデータがやりとりされる現状に、どう対処すればいいのか。個人情報保護に関する監督を行う「個人情報保護委員会」の其田真理事務局長に聞いた。(聞き手・編集委員 若江雅子)

    行政指導を視野に

    ――「いいね!」問題に委員会はどう対処するのか。

    • 個人情報保護委員会事務局長 其田真理(そのだ・まり)氏  1982年、旧大蔵省入省。国際金融局、日本輸出入銀行海外投資研究所(在ワシントン)、理財局国有財産業務課長、特定個人情報保護委員会事務局長などを経て、2016年より現職
      個人情報保護委員会事務局長 其田真理(そのだ・まり)氏  1982年、旧大蔵省入省。国際金融局、日本輸出入銀行海外投資研究所(在ワシントン)、理財局国有財産業務課長、特定個人情報保護委員会事務局長などを経て、2016年より現職

     委員会のホームページに、サイト運営者に対する「注意情報」を掲載した。ボタンを押さなくても閲覧するだけで情報が送信される点について注意喚起した上で、サイト運営者は設置の前に実態をよく把握し、設置するなら規約などで利用者にわかりやすく説明するよう警告している。また、中央省庁のサイトにも設置されていたので各省の担当者を集めてアドバイスした。本来、委員会に他省庁への監督権限はないが、既に一部の省庁は対応してくれた。

    ――FBに対しては。

     現在、担当者を呼んで話を聞いており、行政指導を視野に、利用者に分かりやすい説明をするよう求めていく。FBはデータポリシーなどの見直しを進めており、内容を確認しているところだ。

    ――「いいね!」ボタンは誰でも設置できるため、医療情報サイトやアダルトサイトにも置かれている。FBに設置の基準を定めさせる必要はないか。

     確かに、サイトの内容によっては閲覧者の機微な関心事が推測できてしまうという問題がある。色々なアプローチがあるだろうが、個人的にはFBが設置基準を作るのも一案だと思う。

    ――FBは個人情報保護法の適正取得義務に違反しているのでは。

     個別の事案で違反かどうか言及するのは避けたいが、まずは取得時に利用者に分かりやすく通知公表し、本人が判断できる仕組みを作っていくことが重要だ。

    ――利用者に分かりにくい仕組みという点ではケンブリッジ・アナリティカ疑惑で批判されたデータ提供も同じだ。今回はデータが選挙運動に悪用された可能性が浮上し大きな問題になったが、これに限らず、FBは外部のアプリ事業者に対して利用者ばかりかそのFB上の「友達」のデータまで提供していた日本でも同じ仕様で情報が提供されるが、説明は十分だろうか。

     本来、どんな範囲の情報が、何の目的で第三者に提供されるのか、利用者がきちんと認識して判断できるような仕組みが必要だ。問題のアプリは日本でも104人がインストールし、「友達」など最大10万人が影響を受けた可能性がある。これについても現在、FBに報告を求めており、法令に基づき適切に対処する。

    端末情報の問題点

    ――FBに限らず、インターネットのサービスを介して集めた利用者のデータが事業者間で大量にやりとりされているが、利用者には分かりにくい。その一因は、それらが個人ではなく、端末やアプリを識別する情報として取得され、個人情報保護法の規制を受けないことにあるのではないか。個人情報の範囲見直しが必要ではないか。

    • FBは外部からのデータアクセスを制限するなどの対策を発表した(FBのサイトから)
      FBは外部からのデータアクセスを制限するなどの対策を発表した(FBのサイトから)

     その点は昨年5月に施行された改正法の検討段階でも議論されたが、最終的に「機械に結びつくものであって、個人の氏名などに結びつくものではないから個人情報ではない」と整理された。改正法の内容は3年ごとに見直すことになっているので今後の議論になるが、もし端末識別子を単体で個人情報として扱うことにすると、既に広く提供されているサービスが軒並み見直しを迫られることになる。個人とサービス事業者の権利や利便性のバランスの中で考える必要がある。

    ――一部の事業者は、端末識別子に紐付いた個人の情報を集めて、顧客情報を保有する企業に提供している。これらの情報は、提供の時点では個人情報ではなくとも、提供先では保有している個人情報と統合され個人情報に変わる。個人情報の第三者提供時に法で義務づけられた本人同意を必要とすべきではないか。

     提供先の企業が個人情報を取得したととらえて、その企業が個人情報取り扱い事業者としての義務を果たすべきだと思う。

    ――取得の規制は第三者提供の際の規制に比べて非常に弱く、ホームページでの利用目的の公表通知などをすれば済んでしまう。だが、データの当事者としては、提供元のサービスを利用した際に情報を取得されているので、提供先のホームページで公表されても気づけないだろう。当事者にすれば、個人情報を提供されたのと全く同じ影響があるのに、同意なしで提供されても文句を言えないというのは不均衡ではないか。

     ICTの急速な発展やサービスの多様化は、個人情報保護法が想定しなかった状況を生んでいて、法だけで対応するのが難しくなっている。サービス事業者などが利用者に分かりやすく説明することはもちろん大切だが、利用者自身もリテラシーを高め、どのようなサービスを受けたらどのような情報をとられるのか考えながら、場合によってはサービスを使うのをやめるなどの自衛策が必要だ。

    言うべきことを言う

    ――グーグルやFBなど「GAFA」と呼ばれる海外企業のデータ独占が進んでいる。委員会は彼らにちゃんとモノが言えるのか。

     もちろん、言うべきことは言っていく。発表はしなかったが、昨年11月にはインスタグラムに指導を行った。米国で昨年、セレブなどの情報が外部に流出した問題が発生した際、インスタグラムは英文の声明は出したのに、日本語では公表しなかった。日本人のデータを扱っている以上、日本語でも説明すべきだと指導し、最終的に日本語での説明文を掲載させた。

    ――海外事業者に対する監督の実施件数は。

    「昨年4月から12月まで、委員会は31件のあっせん、533件の報告徴収、335件の指導・助言、11件の立入検査を実施したが、このうち少なくとも3件は海外事業者に対するものだ。今後も、違反があれば積極的に対応していく。

    日欧交渉は大詰め

    ――EUの個人情報保護法制である一般データ保護規則(GDPR)が5月に施行される。域内にある個人情報の持ち出しを厳しく規制する一方、保護水準が十分と認定した国や地域には移転を認める。施行を前に、日欧が互いの保護水準を十分と認めて情報の流通を目指す方向で交渉が進むが、合意の見通しは。

     交渉は最終段階。昨春から40回以上、150時間以上の交渉を続け、かなり歩み寄ることができた。日本は委員会がガイドラインの作成で対応する。例えば、日本では性生活や労働組合に関する情報は要配慮個人情報には入らないが、欧州から移転されたこれらの情報は、要配慮個人情報と同様の扱いをする、などの案だ。

    インタビューを終えて

     世界中でFBへの不満が渦巻く。私たち利用者のデータの「入」と「出」が、あまりに不透明なことに対する不信の高まりともいえるだろう。長くて難解な利用規約を読んでも、私たちがどんなサービスを利用したらどんなデータを集められ、誰に提供されるのか、さっぱり分からない。FBだけではない。情報通信技術とサービスがめまぐるしく変化する中で、利用者が正しく理解し、選択できる仕組みができなければ、不信はデータビジネス全体に広がりかねない。

     その不透明さの解消を企業の努力だけに委ねるのか。時代の変化にあった法制度の見直しも必要ではないか。(若江)


    用語解説
    ◆ケンブリッジ・アナリティカ疑惑
     英データ分析会社がFBから入手したユーザー情報を使って投票行動に影響を与えるソフトウェアを開発、米大統領選で使われた可能性があると元従業員が告発。FBでログインするアプリ事業者が、アプリを使った本人ばかりか「友達」のデータ取得が可能だった点も批判され、FB削除運動にも発展している。

    ◆「いいね!」問題
     「いいね!」ボタンなどを設置したサイトを閲覧すると、クリックしなくても閲覧者の端末に紐付いた情報などがFBに送信される。FBに氏名などを登録した利用者の情報については個人情報になる。FBは自社サイトで情報取得の説明をしているが、利用者にとってはどのサイトが「いいね!」設置サイトかどうかはアクセスするまで分からず、アクセスした時には情報はFBに送信されているため拒否できない。


    2018年04月06日 Copyright © The Yomiuri Shimbun
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP
    ハウステンボス旅行など当たる!夏休み特集