続 インターネットのプライバシー問題

FTCワークショップでの法規制vs業界自主規制論の攻防

6月10日～13日の4日間、ワシントンDCでFTC(連邦取引委員会)主催のオンライン・プライバシーに関する公開ワークショップが開催された。このワークショップは、オンラインでの個人のプライバシー侵害問題に対し、政府が何らかの法的規制をおこなうべきかどうかを判断するため、FTCが関連業界の企業や団体、消費者権利保護の活動グループなどを招いてそれぞれの意見を聞くものである。ワークショップで取り上げられた3つのテーマの論点と、それぞれに関連した業界内の動きをまとめてみた。(倉持 真理 富士通総研1997年6月25日)

オンライン・プライバシーに関するワークショップは昨年も同じ時期におこなわれたが、FTCは昨年は議会に法律制定を要求する判断を見送った。しかし、昨年よりも事態が進行した今年は、FTCの態度も厳しいものになっている。

このため、ワークショップ全体のトーンは、関連する業界団体や企業が、業界内部で設定した自主規制でも十分な効果を持ち得ることをFTCに必死にアピールし、なんとか法的規制を免れようとする構図にほとんど終始した。

ワークショップのテーマは、(1)個人情報データベースの取り扱い、(2)消費者のオンライン・プライバシー、(3)子供のオンライン・プライバシー--の3つに大きく分かれている。各テーマの論点と、それぞれに関連した業界内の動きは次の通り。

【1】個人情報データベースの取り扱い

昨年と今年に起きた2つの出来事をきっかけに、この問題に対する世間の関心は急速に高まっている*1。個人の名前や住所、電話番号のほか、年収、学歴、誕生日などの詳しい情報もオンラインで簡単に入手できる状態にあるうえ、社会保障番号や運転歴、信用情報などのかなり立ち入った情報までが販売対象にされており、規制の必要性が問われている。

これに対し、レキシス・ネキシス、インフォメーション・アメリカをはじめとする個人情報データベースの大手企業8社が、自主規制ガイドラインを明らかにした。

このガイドラインでは、公開記録から得られない個人のプライバシー情報に関しては、契約した企業の人事部、法律事務所など、利用必要性の認められる加入者のみに提供するとしている。また、たとえば信用情報のようにさまざまな付帯項目を含む場合、全部を見られるのは法執行機関に限り、一般加入者に対しては、社会保障番号の部分などを削除して提供するという。

大手8社は、ほかのデータベース会社にもガイドライン受け入れを推進していく方針を表明したが、プライバシー保護の立場からは、業界全体への徹底は難しいことや、ルールに強制力がなく、本当に実行されているかを確認する手段がないことなど、多くの懸念が寄せられた。

【2】消費者のオンライン・プライバシー

消費者保護団体のEPIC(Electronic Privacy Information Center)は、この問題の現状を明らかにする調査結果を発表した。WWWで人気の100カ所のサイトを対象に*2、ユーザー情報の収集と利用状況を調べたものである。

これによれば、100サイトのうち、ユーザー登録やメーリング・リスト、アンケート調査などの方法で直接ユーザーから個人情報を収集しているのは、約半数の49サイト。この中で、収集した情報の利用に関する自社のポリシーを掲示しているサイトは17しかなく、それもわかりにくい場所にあった。また、24サイトがクッキーでユーザーの情報を追跡していた。

EPICをはじめとする消費者権利保護団体は、対策として、WWWサイトに個人情報の収集方法と利用ポリシーの明示を義務づけることや、ユーザーに自分自身に関するどのような情報が蓄積されているかを確認し、削除を要求できるようにすること、承諾なしに収集した個人情報を販売/レンタルしないこと、クッキーの機能を改善することなどを求めている。

この問題に対する業界側の主な自主規制策は、トラストeとOPS(Open Profiling Standard)*3、WWWコンソーシアム(W3C)の取り組みである。

トラストeのトラストマーク

トラストe*4は、インターネットECを推進する企業や団体からなる非営利組織だ。トラストeの提案は、WWWサイトの目立つ場所に、個人情報の収集と利用ポリシーを明示した「トラストマーク」の認定アイコンを付けるというもの。これを多くのWWWサイトが参加するスタンダード・プログラムとし、マークの認定発行と実施監査をトラストeがおこない、消費者に保証する。
WWWサイトのポリシーは、(a)個人特定可能な情報は一切要求しない、(b)情報は収集するがサイト内での利用に限る、(c)ユーザーに通知し許可を得た場合、収集した情報を特定の第三者に提供する--の3種類に分類され、3種の別を示したマークによって、サイトのポリシーを簡単に見分けられる仕組みとする。
この仕組みの有効性は、多くのサイトを参加させて、ユーザーの認知度を高め、スタンダードを確立することにかかっている。

OPSとW3CのP3

OPSの概要と狙いは、本紙前号で解説した通りだが、その後、予想通りマイクロソフトもOPSに賛同するという展開があった。それ以外の賛同企業もすでに100社以上に増えている。

一方、ワークショップでは、WWWの技術スタンダードの国際管理機関であるW3Cが、「P3(Platform for Privacy Preferences)」プロジェクトで開発している技術のプロトタイプも公開された。P3もOPSと同様、ユーザーに個人情報のコントロール権を与えることを目的とするが、P3は個別ソフトウェアより一段上のレベルで、OPSを含むさまざまな技術やプログラムを円滑に稼働させるWWWのプラットフォームとなるものだ*5。

P3の技術では、WWWサイトとユーザーが、個人情報の要求レベルと公開レベルを設定し、ユーザーがサイトにアクセスした際に、両者間のソフトでネゴシエーションがおこなわれるようにする。両者の希望が一致すれば、そのまま何事もなくアクセスできるが、一致しない場合には、サイト側からユーザーに対し、足りない情報の公開を求めたり、有料アクセスなどのオプションが提示される。また、ユーザーは消費者団体などが推奨する情報公開レベルの設定を、自分のソフトにダウンロードして利用することができる。
OPSはP3に準拠し、P3のプラットフォーム上で稼働するものになると見られる。

スパム問題

オンラインによるプライバシー侵害の最も顕著な形態が、「スパム(spam)」である。

WWWサイトなどで集められた情報が、外部のデータベースとマッチングされ、マーケティング情報として販売された結果、ユーザーのもとにはダイレクトメールやスパムと呼ばれる勧誘Eメールがなだれ込んでくる。スパムは、差出人の名前やEメール・アドレスを偽っていることが多いので、受け取ったユーザーが送付中止を求めたり、抗議しようにも、差出人に到達できない。そればかりか、最近では単なる勧誘の域を越え、スパムで架空の製品を売りつけたり、一攫千金の贋の投資話をもちかける悪質な詐欺も横行している状況だ。

このため、FTCや業界の自主対策を待つまでもなく、すでに議会にはスパムを規制する2つの法案が提出され、議論されている。1つは、勧誘Eメール自体を全面的に禁止するというもの。もう1つは、Eメールにユーザーが一目で勧誘とわかるマークを付け、差出人の正しいコンタクト先を明記させるというものである。

ワークショップでは、業界団体のインターネットEメール・マーケティング協議会(IEMMC)*6やダイレクト・マーケティング協会(DMA)が、差出人を正しく明記するなどの自主ガイドラインを示した。しかし、悪質業者の対策には十分ではなく、今後も訴訟や検挙の増加が予想されるため、FTCは各州の司法責任者を集めた特別ワーキンググループを設置するなどして対応を図っていく計画だ。

【3】子供のオンライン・プライバシー

インターネットのユーザー層が低年齢化するにつれ、プライバシー問題をまだ理解していない子供をマーケティングの対象とするWWWサイトが増えている。そこでは、子供をゲームやプレゼントで誘って、詳しい個人情報を入力させるのが常套手段となっている。

子供のインターネット利用に関しては、すでに教育上好ましくないWWWサイトへのアクセスを制限する機能を持ったペアレンタル・コントロール・ソフトが市販されている。ワークショップでは、そのようなソフトの大手メーカーが、P3に準拠して開発した名前や住所などの個人識別情報の入力を防ぐ機能を備えた、新しいペアレンタル・コントロール・ソフトのデモがおこなわれた。

CNETのニュース・コムの報道によれば、ワークショップの結論として、FTCは大人のプライバシー問題に関してはおおむね業界自主規制にまかせるものの、子供に関しては、親の承諾なしに子供から情報を収集し、販売することを禁止する法律の制定を議会に要求する方針だという。議会への要求は、7月に第一次案がまとめられる予定である。

*1 昨年9月にレキシス・ネキシスが「Pトラック」というオンライン・データベースのサービスを開始。このサービスは法律関係の企業団体向けのものだが、料金さえ払えば誰でも、社会保障番号を含む個人の詳細な情報を入手することができた。これが世間の注目を浴び、消費者団体などから一斉攻撃を受けたため、同社はサービス開始10日めで、社会保障番号の表示を取り止めた。
もう1つの出来事は今年4月に起きたもので、社会保障管理局がWWWサイトで納税者向けに自分自身の社会保障記録を参照できるサービスを開始したが、他人の記録にもアクセスできる危険性が高いと批判を受け、サービスを取り止めた。

*2 100ホット(http://www.100hot.com)による97年6月5日時点の人気ランキング100位内のサイトを対象とした。ブラウザー、ISP、大学、アダルト関連サイトは除く。

*3 97年6月11日号(Vol.3, No.56)10頁参照。

*4 「eトラスト」から名称変更。主要メンバーはAT&T、IBM、オラクル、ネットスケープ、ランズ・エンドなど。

*5 P3に似た標準技術プラットフォームとして、W3Cが2年前に開発したPICS(Platform for Internet Content Selection)がある。これは子供に見せるコンテンツを制限するペアレンタル・コントロール機能のプラットフォームであり、インターネットのコンテンツに関する業界自主規制の一応の成功例と見なされている。

*6 IEMMC:Internet Email Marketing Council 97年5月発足。サイバー・プロモーションズ、サイバータイズEメール社など5社が主要メンバー。