インターネットで子供のプライバシーが危ない

法規制と業界自主対応のギャップ

FTC（米国連邦取引委員会）は6月4日、議会に対し消費者のオンライン・プライバシーに関する調査レポートを提出した。この調査では、多くのWWWサイトで、ユーザーの知らないうちに個人情報が収集・利用されている現状が明らかとなっており、FTCは特に、プライバシー概念をまだ理解できない幼い子供の権利を守るためには、法律による規制が必要だと議会に提案している。（倉持 真理 富士通総研）

FTCの調査レポート

この調査は今年3月、FTC（http://www.ftc.gov/）が約1400のWWWサイトを対象に行なったものだ。対象WWWサイトを内容別に6つに分類し、それぞれについて(1)ユーザーの個人情報収集が行なわれているかどうか、行なわれている場合、(2)その旨と情報の用途などをユーザーに通知しているか、また、(3)WWWサイトが個人情報の取り扱いに対する立場を明示したプライバシー・ポリシーを公開しているか−−を調べている。子供向けサイトに関しては、情報収集に親の許可を得ているかどうかも、項目に加わっている。

この調査で定義する情報収集には、住所、氏名などを入力させる場合のほか、ブラウザーのクッキー機能を使って、ユーザーが意識しないうちにオンライン行動を記録する場合も含まれるものと見られる。6カテゴリーの主な調査結果は、次の通りであった。

一般商業サイト（674）
92%のサイトが個人情報を収集しているが、その旨をユーザーに通知しているサイトはそのうち14%しかなく、プライバシー・ポリシーを公開しているサイトも、わずか2%しかなかった。

子供向けサイト（212）
89%のサイトが子供ユーザーから個人情報を収集し、そのうち54%が通知しているが、情報を入力する前に親の許可を得るように子供に促しているサイトは23%しかなかった。現状で情報収集と利用に親の許可を得る何らかの仕組みを提供しているサイトは10%に満たず、今後、情報収集に親の許可を求める仕組みを作る計画のあるサイトも8%にすぎなかった。

健康・医療/小売/金融サイト（404）
健康・医療サイトの89%が個人情報を収集し、通知しているのはそのうち14%。小売サイトでは87%が収集、13%が通知。金融サイトでは97%が収集、16%が通知。

その他人気サイト（111）
97%が個人情報を収集し、そのうち71%が通知。

FTCの主張

FTCのオンライン・プライバシー問題に関する取り組みは、今年で足掛け3年めに入っている。これまで、96年と97年の6月に2回のワークショップを開催し、消費者団体や業界団体を交えて、この問題を議論してきた。

昨年までの段階で、すでにFTCは成人のプライバシー保護は業界による自主規制で対応するが、子供のプライバシー保護には場合によって法的規制が必要、との原則的立場に到達している。しかし、これまでは関連業界に自主対応を促す時間的猶予を与える意味で、議会への規制導入提案を見送ってきた経緯があった。

今回の調査は実質的に、関連業界における自主対応が十分な効果をあげていないことを浮き彫りにした形となり、FTCとしては規制の必要性を再確認する結果となった。

FTCがこのレポートとともに議会に提案した規制案の内容は、親の許可なく12歳以下の子供に対するオンラインでの個人情報収集を行なえないようにするというもので、具体的には次のような内容となっている。

★12歳以下の子供から、オフラインでコンタクト可能な個人情報（名前、住所、電話番号など）を収集する場合には、事前に親の許可を得なければならない。
★公の場に掲示されたり、第三者に公開された12歳以下の子供の個人特定可能な情報を入手する場合にも、事前に親の許可を得なければならない。
★懸賞やコンテストなどを通じ、12歳以下の子供の電子メール・アドレスを入手する場合、その旨を親に通知し、親が子供の電子メール・アドレスをデータベースから削除する機会を与えなければならない。
★12歳以上の未成年に関しても、個人特定可能な情報を収集する場合は、その旨を親に通知し、情報をデータベースから削除する機会を与えなければならない。

業界の反応

一方、自主対応で問題を解決したいと考える関連業界は、新たな対応策を打ち出してきた。

FTCのレポートが発表される前日の6月3日、コンピュータ、通信、家電、情報技術、ソフトウェアなど、合わせて1万1000社の会員企業を代表する12の主要業界団体が、共同作成した自主規制プランをクリントン大統領あてのレターで送り、法的規制の回避を求めている。

このプランは、12団体が共同で定めたオンライン・プライバシーに関する統一原則と行動計画からなり、行動計画には、各会員企業のプライバシー・ポリシーのオンライン公開義務化や、消費者向けのプライバシー情報リソースの提供、苦情処理メカニズムの構築などが含まれている。これらをベースとした具体的なプログラムを99年7月1日までに実現させるという内容だ。

しかし、個人情報を効率的に収集したい企業の立場と、消費者権利保護の立場には、プライバシー権利の提供方法の解釈に大きなギャップが存在し、そのギャップは、FTCの規制案と12団体のプランにもはっきりと現れている。

これは「オプト・イン」と「オプト・アウト」という用語で呼ばれている。企業が個人の情報を収集・利用・第三者提供する場合、事前に本人の許可を得なければならないとするのが「オプト・イン」で、後から情報を削除する機会を提供すれば、それでよいとするのが「オプト・アウト」である。もちろん、企業側にとってはオプト・アウトが望ましく、消費者権利保護の立場からいえばオプト・インが望ましい。

FTCは自分で判断のつかない12歳以下の子供に対する場合のみ、オプト・インで親の事前承諾を必要とする規制案を提示しているが、一方の12団体の自主規制プランは、基本的にすべてオプト・アウトとし、子供と医療記録情報の取り扱いに関しては、特別な配慮も必要であることを認めながらも、具体的な対策には踏み込んでいない。

さらに、96年の第1回のFTCワークショップ開催をきっかけに、これまでも個々の団体による自主規制プランや、主要企業がスポンサーするプライバシー保護プログラムなどの取り組みは、いくつも提示されてきた。しかし、総じて業界団体のプランは会員企業への強制力を持ちにくく、スポンサーシップ・プログラムにも参加企業が限られているなど、満足のいく効果はあがっていないのが現状だ。

その意味では今回の12団体共同プランも、参加企業数は多いが、どこまで実効力を持つものになるのかは不明である。

クリントン政権は、インターネットとECに関し、規制よりも業界自主対応を促進する基本方針で臨んではいるが、今回のFTC調査は、規制導入に対するプレッシャーをかなり高めたといってよさそうだ。

FTCのオンライン・プライバシー4原則

(1)通知
個人情報の収集、利用、第三者への提供が行なわれている旨が、消費者に通知されなければならない。

(2)選択
個人情報の収集、利用、第三者への提供については、消費者本人に選択する権利がある。

(3)確認/アクセス
消費者には、収集された自分の個人情報を確認し、訂正する権利があり、情報へのアクセス手段が与えられなければならない。

(4)セキュリティ
収集された個人情報は、安全に保持されなければならない。