EUにおけるプライバシー保護
清水氏は、Webアナリストとして、楽天をはじめとする企業のアクセス解析の導入を推進してきた。2011年からは米国ユタ州にあるアドビ システムズに勤務し、日米で活動している。今回は「Creepy vs. Coolで考えるプライバシー問題」と題してプレゼンテーションを行った。
プライバシーについてのEUの取り組みは早く、1995年にディレクティブ(Directive:指令)が出たのを皮切りに、「Data Protection Law」や、いわゆる「Cookie Directive」を含めていくつかの指針が示された。これらを踏まえて議論は進んだが、「EUは結構カオス状態ですね」と清水氏は言う。それには「EU(European Union:欧州連合)」という28の異なる国を内包する経済連合体としての事情がある。
EUには、EUを基礎づける条約である「第一次法」と、そこから派生する「第二次法」という2種類の法律がある。ディレクティブは第二次法に含まれるが、それを達成するための手段と方法は加盟国に任されている。
「ディレクティブには強制力がなく、破ったところで罰則があるわけではない。EUの規制というのは全体の緩い規制であって、加盟している28か国がさらに具体化した法律を定めることになる。28の法律に適合するようなビジネスのルールを作るというのは、かなり面倒です」(清水氏)
サイト訪問者の9割がオプトインを拒否
Cookieは、はじめてサイトを訪れたときに、ユーザーが使っているブラウザに保存される小さなファイルである。サービス事業者は、Cookieの情報をもとにブラウザを特定し、サイトの利便性向上やユーザー行動の追跡に利用してきた。同時にCookieは、インターネットにおけるプライバシー保護の議論において、その焦点のひとつとなってきた。
清水氏は、EUの「Cookie Law」を厳格に解釈した英国の監督機関ICO(Information Commisioner's Office)が行った試みを紹介した。ICOは、運営するサイトのトップページで、訪れた人にコンピュータにCookieを保存してよいかを尋ね、同意する場合はチェックボックスにチェックを入れる、オプトインの仕組みを導入した。
※清水氏のプレゼン資料より転載
その結果、サイトを訪れた人の90%がオプトインしなかった。「毎日1万を超えていた訪問者数が10分の1の千ほどに減っている。データが減っただけでなく、ここでイエスと答えるような人はちょっと偏っているので、解析は事実上不可能ですよね」と清水氏は補足した。
※参考リンク:"Cookiepocalypse: Implementing New Law Drops Use by 90%"
米国でのプライバシー保護
続いて清水氏は米国の例を紹介した。「All Things D」というサイトでは、初めて訪問したときにCookieを使ったトラッキングについての説明が表示される。「このサイトでは、サイトの表示と改善、関連度の高いコンテンツやサービス、広告表示のため、Cookieを利用しています。詳しくはこちら」。清水氏は「これはただのお知らせで(ICOのように)オプトインさせているわけではない。文字も小さいですし、訪問2回目以降は出てきません。アメリカの場合は現実路線でさりげなくやってます」と説明する。
※清水氏のプレゼン資料より転載
「import.io」というベンチャー系のサイトでは、初めて訪問すると右下に説明がポップアップ表示される。「他のほとんどのサイトと同様、サイトの実装と分析のためにCookieと呼ばれる小さなファイルを保存しますよ、という説明です。実際、CookieやJavaScriptがオフの場合、ほぼ使えないサイトが多い。これは見せ方もさりげないし、表現も柔らかい。ユーザー視点ですよね」
※清水氏のプレゼン資料より転載
各企業のこうした取り組みに加えて、清水氏は米国政府のスタンスについて次のように解説する。「米国の場合は、全体に産業を保護する方向です。結果的にはアメリカも包括的な法律は存在せず、割とゆるい、ばらばらな規制がかかってる状態。COPPA(Children's Online Privacy Protection)とかHIPPA(Health Insurance Portability and Accountability Act)などがあってパッチワーク状態になっています」
Do Not Trackの元ネタとは
米国には、オバマ政権も支持した「Do Not Track」という取り組みがある。ブラウザでトラッキング拒否の設定をすると、ウェブサーバーにデータをリクエストするときにフラグを付けることによって、Cookieを無効にする仕組みである。実はこの取り組みには元ネタがあると清水氏は言う。
「アメリカで暮らしてると固定電話に“ロボコール”という自動化されたテレマーケの仕組みを使った電話がよくかかってきます。本当の人間かと思ってしゃべっていると『これに興味がある人は1を押してください』というようなメッセージが流れて、自動応答だと気付くんです。あちこちからかかってくるので、FTC(連邦取引委員会)が運営している『Do Not Call』というサイトに自分の電話番号登録したところ、ピタッと止まりました。これは電話版オプトアウトですね。『Do Not Call』のCallをTrackに変えただけ」(笑)
「Do Not Call」のサイトに番号を登録すると31日後にコール禁止になる。違反すると罰金や免許取り消しなどの厳しい制裁がある。
「ただし、チャリティ関連、政治団体、リサーチ会社は対象外。購入などの取引があった会社の場合、1年半以内だったらオプトアウトしていても取引の延長なので電話してもいい、というように結構バランスよくできています。何でもかんでもダメというと産業が成長しなくなるので、うまいところでバランスを取りつつ、実際強制力があるのでピタッと止まる。この成功体験があったから『じゃあ、Do Not Track』という流れになったんだと思います」
そのDo Not Trackはいま暗礁に乗り上げている。メディア側とブラウザ側、プライバシー保護派と広告推進派とで利害関係が対立し、W3Cが入って調整していたが、議論に見切りをつけて離脱する組織も出てきた。現在ではDo Not Trackのフラグに対応してるのは一部の企業だけとなっており、「最近では“Super Cookie”など、Cookieに代わるものの開発が進んでいる状況です」
