パーソナルデータをめぐる国内の状況
1月に行われたmeetupの後半にプレゼンテーションを行った宮一良彦氏は、サイバー・コミュニケーションズ プラットフォーム戦略本部長として、新たなアドテクノロジーとマーケティングテクノロジーのビジネス化を推進している。また、インターネット広告推進協議会(JIAA)の「ユーザー情報取り扱いガイドライン」ワーキンググループのチームリーダを務め、ターゲティング広告に関する業界団体「DDAI(Data Driven Advertising Initiative)」の事務局としての活動を行っている。
欧米のプライバシー保護の動向、米国でのユーザー体験を踏まえた清水氏のプレゼンが終わると、「清水さんのプレゼンを見ていて面白いなと思ったものの、さて日本では…という話です」と語り始めた。
スマートフォン プライバシー イニシアティブ
最初に取り上げたのは、2012年の夏に総務省が発表した「スマートフォン プライバシー イニシアティブ」。宮一氏は「爆発的に普及しているスマートフォンは、常時持ち歩き、さまざまな情報を収集・発信する。しかも、大人だけではなく子どもや未成年者、老齢者も使うことから、これはちゃんとしておかなければという話になりました」と背景を説明する。
この提言は、スマートフォン利用者情報の取扱いに関する、以下の6つの基本原則を含んでいる。「透明性の確保」は利用者が理解できるようにきちんと説明ができているか、「利用者関与の機会の確保」はユーザーがオプトアウト/オプトインできるようにすること、「適正な手段による取得の確保」は情報を適切な方法で取得しているかを指す。
ここでは、スマホアプリ提供者などが作成するプライバシーポリシーの要件も示している。5つ目の「同意取得」とは、「一部のプライバシー性の高い情報については、原則同意を取得する」、つまりユーザーのオプトインが必要だということ。同意取得が必要なのは、電話帳、位置情報、通信履歴、アプリの利用履歴、スマートフォンの保存した写真・動画、契約者・端末固有IDなどである。
「位置情報の取得はワンタイムならいいけれど、継続して長期間蓄積されるとその人をかたち作るのではという見方もあります。つまり、私という人間はどういう人間なのかということです。夜は練馬区にいて昼は新橋にいる。ということはサラリーマン? そうした蓄積情報によって、その人個人は特定されないけれど、匿名のまま特定されるといったことが起き始めている。そういうことにどう対処しようかという状況です」
プライバシー・バイ・デザインとは
「スマートフォン プライバシー イニシアティブ」の基本原則に含まれる「プライバシー・バイ・デザイン(Privacy by Design)」は、カナダ オンタリオ州 情報・プライバシー・コミッショナーを務めるアン・カブキアン博士が1995年に提唱した計画的なプライバシー対策を行うためのフレームワーク。現在、そのコンセプトはプライバシー保護の指針として世界中に広まっている。
「プライバシー・バイ・デザイン」は、サービスを設計する最初の段階で考えておくべきこととして、以下のような7つの基本原則をうたっている。
「リアクティブ(事後)でなくプロアクティブ(事前)」とは、データを取得したあとになって許可を求めるのではなく、できるだけ事前にユーザーの意向を確認すること。「ゼロサムではなくポジティブサム」は次のような考え方を指す。あるサイトでCookieの情報をパーソナライズに利用してもよいかユーザーに確認し、「YES」と答えたらサイトを使えるが、「NO」と答えたらそのユーザーはサイトから閉め出される場合、それはサイトの利用を条件にオプトインを強要していると考えることもできる。そこで出てくるのが「ポジティブサム」で、「NO」の場合はサイトのパーソナライズはできないけれど、情報は閲覧できるという考え方である。
宮一氏は、「プライバシー・バイ・デザインは具体的な規定ではないので、その実現には、プライバシー影響評価(PIA)やプライバシー強化技術(PET)の導入などが必要になる。今後は、日本でもこの考えに沿ったJISのようなものが出てくるのではないでしょうか」と補足した。
