インターネットのプライバシー問題

OPSの正しい解釈とプライバシー問題の現状

ネットスケープ、ファイアフライ、ベリサインをはじめとする60を超える団体企業が、インターネットのパーソナライズ・サービスにおけるユーザーのプライバシー保護を目的とした「オープン・プロファイリング・スタンダード(OPS)」に賛同。OPSのドラフトを、WWWの技術スタンダードの国際管理機関であるW3C(World Wide Web Consortium)に提案することになった。しかしOPSには、個人情報を何とかして公開させようとする企業側の思惑も見え隠れする。(倉持 真理 富士通総研 1997年6月11日)

OPSに賛同したのは、サーチエンジンやディレクトリ、コンテンツ系の人気WWWサイト、インターネット関連のハード、ソフト開発会社、広告代理店、監査機関、関連業界団体などである。

OPSの趣旨は、個人情報の公開をユーザー自身がコントロールできるようにするとともに、ユーザーが複数サイトで毎回同じ情報を登録する手間を省くことだ。また、WWWサイト側にとっては、ユーザーのターゲット化やカスタマイズの効率をあげる効果も狙ったものになっている。

「インフォームド・コンセント」のフレームワーク

OPSはネットスケープ・ナビゲータの次期バージョンから組み込まれる予定で、ユーザーはあらかじめ自分の個人情報を入力し、PCのハードディスク内に保存しておくことができる。情報の項目は、ユーザーの名前、住所、ZIPコード、電話番号、Eメール・アドレスのほか、年齢、性別、職業、非既婚の別、関心事、趣味など。これらの「パーソナル・プロファイル」は暗号化した形で保存され、OPSを採用したWWWサイトでユーザー登録を求められた場合、わざわざ何度も入力する必要がなくなる。

また、ユーザーが初めて訪れるサイトにアクセスすると、PCの画面にウィンドウが現れ、サイト側が公開を求めている個人情報の項目が表示されるので、ユーザーは求められた情報をすべて公開するか、一部の項目のみ公開、あるいは非公開とするかを自分自身で決定できる。WWW広告ネットワークのように、個人情報が複数サイトで共有される場合にも、ユーザーに許可が求められるようになっている。

OPSはWWWにおける「インフォームド・コンセント(内容説明のうえでの承諾)」のフレームワークとなるという。なお、ブラウザー市場の双璧の他方をなすマイクロソフトは、OPSの賛同企業には入っていないが、とくにOPSに異論を唱えることはないと見られる。

採用企業のメリットと背景

OPSを採用したWWWサイトやソフト会社は、パーソナライズ・サービスやアプリケーション開発の共通プラットフォームとして利用することで、ユーザーに関する知識に基づき、ニーズに合わせたよりよい機能を提供できる。また、WWWサイトにとっては、ユーザーが許諾した情報しか利用しないことを明らかにし、ユーザーからの信頼を得る効果も期待できる。

嗜好マッチングによるリコメンデーション作成技術をライセンス提供するファイアフライは、同社の技術を採用した複数WWWサイトが、ユーザーの登録した嗜好プロファイルを共有できる「ファイアフライ・パスポート*1」の仕組みを開発中だ。また、ベリサインも「デジタルID」の認証サービスに、複数サイトでユーザー登録を求められた場合、デジタルIDを提示するだけで、ベリサインに保管された個人情報がサイト側に安全に公開され、以降デジタルIDをパスワード代わりに使える「ユニバーサルID」機能を計画している*2。

このように、OPSの背景には、ユーザー承諾のうえで個人情報をWWW上で共有化する計画があちこちに出てきていることも関係しているようだ。ファイアフライとベリサインは、OPSを取り込んだ形で、各自の開発を進めるものと見られる。

OPSの持つ意味

ところで、OPSでユーザーが個人情報開示のコントロール権を持つことにより、プライバシーを保護できるというのは事実だが、これはプライバシー侵害の危険性がこれまでより少なくなる、あるいは被害が食い止められるという意味ではないことを、ここで指摘しておきたい。

OPSの普及によって起こると想像されるのは、これまでユーザーに何の登録も求めずにサービスを提供してきたWWWサイトまで、年齢、性別などのデモグラフィック情報や、名前、Eメール・アドレスなどの個人追跡可能な情報の公開を迫ってくるという事態である。

もちろん、サイト側は情報を求める表向きの理由として、ユーザーによりよいサービスを提供するためと主張するはずだ。しかし、結局それは、ターゲットを絞ったユーザーに適切な広告を表示することで、広告主から今より高い料金を得るためでもある。

現在、ユーザー登録を求めるWWWサイトがどの程度あるかといえば、おそらく感触的に全体の半数以下と思われる。また、ユーザーは入力が面倒なのと、プライバシー侵害への懸念のせいで、個人情報の登録を敬遠する傾向にもある。だが、OPSがあれば、ユーザー側に拒否権があるので、これまで敬遠されるのを恐れて積極的に登録を求めなかったサイトも、おおっぴらに個人情報を求められるようになる。また、あらかじめ保存された情報を使うので、面倒がられることもない。

つまりOPSの狙いは、なんとかユーザーの不信感を和らげながら、個人情報を公開させるうまい仕掛けがほしい、という企業側の思惑にあると見るのが正しい解釈なのである。
これはユーザーにとって、パーソナライズしたサービスが増えるメリットにつながる可能性はあるものの、現状のプライバシー侵害の問題解決とは、まったく別次元の話である。インターネットでのプライバシー侵害において、一番問題とされているのは、ユーザーに意識されないまま、裏側で機能している「クッキー」だからだ。

クッキー問題とOPS

おいしそうな名前を持つ「クッキー」とは、WWWサイト側がブラウザーのソフトを通して、ユーザーのPCのハードディスクに送ってくる情報のことだ。ユーザーがあるサイトを訪れると、サイト側のサーバーとユーザーのハードディスクに、ユーザーのサイト上での行動や、登録した名前などの情報が、クッキーとして蓄積される。ユーザーが次回そのサイトを訪れると、サイト側がクッキーでユーザーを認識し、サービスをカスタマイズしたり、ターゲット広告の表示などに利用する。

ユーザーのハードディスク内のクッキーは、通常はそれを置いたWWWサイトにしか認識できないとされているが、技術の抜け穴があり、ユーザーが登録した情報や、どんなサイトを訪れているかといった情報が、ほかのサイトに筒抜けになることがある。これが個人名と結び付けた嗜好情報に加工され、販売されるケースもあり、米国では問題になっている。

また、プライバシー保護の活動団体は、主にWWW広告ネットワーク*3がネットワークに属する各サイトに訪れたユーザーを認識し、ターゲット広告を表示するのに使う「サード・パーティー・クッキー」についても、プライバシー上好ましくないと主張している。

主要WWWブラウザーの現在のバージョンには、ユーザーにクッキーが送られてくるたびに通知し、許可を求めるようにするオプションがあるが、その意味を認識して、実際に利用しているユーザーはそれほど多くない。

インターネットの技術スタンダード推進団体のIETF(Internet Engeneering Task Force)は、昨年からネットスケープやマイクロソフトなどのブラウザー開発会社に対し、サード・パーティー・クッキーを自動排除する機能をブラウザーに組み入れるように提案していたが、両社ともまだこれを完全には受け入れていない。その理由は、現在のWWWのターゲット広告の手法のほとんどが、クッキーに依存しているため、サード・パーティー・クッキーを排除すると、WWW広告の管理業者や広告ネットワーク*4の商売は実質的に成り立たなくなってしまうからだ。

OPSとクッキーの技術的な関連性は、現時点では不明だが、OPSが採用される代わりに、クッキーの受け入れ機能がブラウザーからなくならない限り、現状のプライバシー侵害の危険が改善されることはないと考えられる。


インターネットのプライバシー侵害問題に関しては、FTC(連邦取引委員会)も関心を寄せており、6月10日から公聴会が開かれる予定になっている。OPSには、政府による規制が発動される前に、業界内で何らかの手を打っておく意味もあった。しかし、実際の問題がブラウザーのクッキーにある以上、OPSは現状の問題を解決するものではない。すでにあるWWWの広告ビジネスの構造をこわさずに、解決策を見つけるのはかなり難しいだろう。

*1 97年1月22日号(Vol.3,No.47)15頁参照。

*2 97年5月14日号(Vol.3,No.54)6頁参照。

*3 WWW広告ネットワークは、委託された複数WWWサイトの広告スポットを一括管理し、広告をネットワーク内で最適なスポットに表示するビジネスをおこなう業者。クッキーを利用した先進的なターゲット技術を保有している場合が多い。広告管理会社は、特定のWWWサイトに対し、広告の表示とローテーションだけを請け負う。