JIAAの「プライバシーポリシーガイドライン」

　JIAAでは、個人情報をめぐる状況の変化を踏まえて、「プライバシーポリシー作成のためのガイドライン」、「行動ターゲティング広告ガイドライン」の改定を行ってきた。そのコンセプトを整理したのが以下の図である。今までは、個人情報保護法が取り扱っている個人情報は赤で示した部分と考えられており、個人情報か否かの二分法だったが、それだけでは分類しづらい問題が出てきたことを踏まえての変更である。

　「インフォマティブデータは、氏名や住所のようなかたちで個人を識別することはできないもののプライバシー上の懸念が生じうる情報で、この中には統計情報も含まれます。統計情報は再識別化ができないようなデータという意味。ガイドラインでは、個人情報とインフォマティブデータを組み合わせて、『個人関連情報』というかたちで整理しました」

日本の広告業界における「プライバシー・バイ・デザイン」の取り組み

　JIAAでは、広告業界におけるプライバシー・バイ・デザインの取り組みを進めている。その際に参考にしたもののひとつが、米国のDAA（Digital Advertising Alliance）が始めた「AdChoices」プログラム。これは、ユーザーにどのようなデータ取得しているかを明らかにして透明性を高め、個人の関与の機会を確保しようというもの。

　従来のマス広告では、かかわる媒体社、広告主、広告代理店が明確になっていたが、現在のネット広告では、広告が表示されるまでの関係性が把握しづらい状況になっている。AdChoicesは、クリエイティブに表示されているマークをクリックすると、広告についての情報にアクセスしたり、広告に対する意思表明をすることもできる。日本でも、丸の中に「i」と入ったインフォメーションマークなど、同様の取り組みが行われている。

「忘れられる権利」や「データの持ち運びの権利」

　宮一氏は最後に、EUや米国での最近の取り組みをいくつか紹介した。EUでは近年、パーソナルデータに関する個人の権利として「忘れられる権利」や「データの持ち運びの権利」が注目されている。「忘れられる権利」は、ユーザーがネットで公開した情報を削除する権利を指す。「データの持ち運びの権利」は、利用しているサービスに蓄積されている自分のデータ取得し、他のサービスに移転できる権利。「Facebookでは、ユーザーが投稿した画像やファイルをすべて一括ダウンロードできる機能を提供していますが、これもそうした配慮と考えられます」と宮一氏は説明する。

　EUではプライバシー保護の基準を満たさない非加盟国に、加盟国のパーソナルデータの移動を禁止している。このため、米国はEU加盟国およびスイスとの間で、市民のプライバシー保護のため「セーフハーバー（Safe Harbor）」というスキームを構築。米国商務省が定めた原則に準拠していることを宣言した企業はパーソナルデータの移動が可能になるとしている。また、米国ではオバマ大統領が2012年2月に署名した「消費者プライバシー権利章典（A Consumer Privacy Bill of Rights）」がある。これはガイドラインで法律でもないが、個人が自分のデータを管理する権利や情報収集、使用の際の経緯の尊重などをうたっている。また、「パーソナルデータ」の定義を示すとともに、「Do Not Track」についても言及している。

　米国の広告業界には、NAI（Network Advertising Initiative）といった自主規制団体があり、年1回の監査や、自主的な監査報告を求められることもある。宮一氏は、「こうしたアメリカ式のモデルを日本に持ち込もうとすると、やらなければならないことがたくさんある。これまでは事業者がそれぞれ独自にやっていた状況から、“あるべき姿を示す”方向に議論に変わりつつあります」と補足した。

　次回は、NetflixやSuicaなどの事例、ネット広告が「Creepy（キモい）」と言われてしまう技術的な背景などを解説しながら行なわれた、ふたりの対話をお届けする。