先日、個人情報保護法改正の動きがあることについて触れました。

同じ毎日新聞で、更にその背景を深堀した内容の記事が出ていたので紹介します。

「個人情報保護法：国民の知る権利、揺らいで４年半　見直しの課題」 （2009.11.2）

個人情報保護法を巡って大きな焦点となったのは、メディア規制という論点だ。政治家の不適切な蓄財や官僚の天下りなど不正を追及する取材活動は、個人情報そのものを対象にする。報道活動まで規制が及べば、国民の知る権利を損なうことになる。欧州連合（ＥＵ）各国では報道分野を適用除外しており、日本でもこれにならった形となったが、新聞社や放送局は除外されたものの、月刊・週刊誌を発行する出版社は明記されなかった。小泉純一郎首相（当時）は審議の過程で「出版社が行う事業は文芸その他の広範な出版活動を含むものであり、報道機関の典型例として位置付けることは適当とは言い難い」と説明したが、出版界は「週刊誌を狙い撃ちした規制だ」と納得していない。

(中略)

日本たばこ協会が未成年者の喫煙防止策の一環として導入した成人識別ＩＣカード「タスポ」を巡り、同協会が警察や検察など捜査機関にたばこの購入場所や日時、氏名、住所、生年月日などの情報を提供していたことが今夏、発覚した。

個人情報とはそもそも何なのか。同法は「特定の個人を識別することができるもの」とし、「他の情報と容易に照合することができ、識別できるものを含む」と定義している。例えば、インターネット接続業者が発行する会員ＩＤはアルファベットや番号の羅列にすぎないが、業者にとっては住所データベースと照合すれば特定できるので、個人情報に当たる。同協会は購入履歴を収集、利用することを会員規約に明記していないため、タスポで購入履歴が蓄積することを知っている利用者はあまりいない。

他のメディアでこの問題を扱っているところを見つけられなかったので、
もう少しいろいろな角度から情報を収集する必要がありそうですが、
ひとつの動きとしてウォツチしていく必要がありそうです。

また、以前からここでも再三取り上げてきた内容ですが、
インターネット上で収集されるログやパーソナル情報の類を法律としてどのように取り扱っていくかにも注目です。

1週間ほど前、毎日新聞に次のような記事が掲載されました。

「福島消費者・少子化担当相：個人情報保護法見直し　改正検討を要請」（2009.10.23）

福島瑞穂消費者・少子化担当相は２３日の閣議後会見で、「個人情報保護法について、改正も視野に問題点を検討するよう、指示を出したい」と述べ、同法を所管する消費者庁の消費者委員会に同法改正の検討を要請する方針を明らかにした。個人情報保護法の成立時には、「（メディア規制をめぐって）与野党でものすごい激論があった」と話した。メディア規制などについて検討するとみられる。

個人情報保護法を巡っては０３年、社民党をはじめ民主、自由、共産の当時の野党４党が対案を共同提出したが、与党の賛成多数で可決成立。国会は付帯決議で０５年の全面施行後、３年をめどにした見直しを政府に求めた。情報隠しなど法の悪用や萎縮（いしゅく）効果が社会問題化したが、政府は０８年、法運用の基準となる「基本方針」の変更にとどめた。

もう少し、福島大臣の発言を補足すると、

消費者委員会のほうに、個人情報保護法についての問題点、改正も視野に入れて現行における問題点を検討してくれるよう指示を出す予定です。

と述べています。

記事にもあるように、個人情報保護法は、付帯決議に施行後3年後に見直すということが定められていました。
結局は法は改正せず、「基本方針」の変更と全国で説明会を開いたりして、
過剰反応、過剰保護等の問題の鎮静化を図るに留まりました。

典型的なケースとして、学校や自治会などで名簿が作成できなくなったというケースや、
個人情報保護法を拡大解釈して本来開示すべき情報を開示しない等のケースです。（意図的に悪用しているケースもあると聞きます。）　

当時の内閣府の国民生活審議会 個人情報保護部会の記録をみると、このあたりの状況が詳しく記載されています。

個人的には、政権交代が、保護法に影響を与えるとは思ってもみませんでしたが、
制定された過去の経緯も含めれば、改正の可能性は十分にあり得ると思います。

メディア規制がメインだということですが、はたしてどれほどの影響があるのか要注目です。

前回の説明会から1年たっていませんが、
今月の下旬から東京を皮切りに全国の都市部で改定されたガイドラインの説明会が開かれるようです。

東京会場だけは2回開かれるようで、第1回と第2回のスピーカーが違っています。
第2回のスピーカーは、マイクロソフト社長室情報保護推進事務局長の久保田氏が講演するようです。

■■■個人情報保護ガイドライン説明会■■■

【個人情報保護法に関する現状】

◆ 「個人情報の保護に関する法律」が平成１７年４月に全面施行され、個人情報保護に関する国民の意識の高まりとともに事業者の取組みも進んでいる一方、依然として社会的な耳目を引く個人情報漏えい事案が後を絶たない状況にあります。
◆ また、保護法に対する誤解等に起因して、必要とされる個人情報の提供までもが行われず、事業活動が抑制され、消費者等の利便性が図られない過剰反応と言われる状況も一部に見られます。

【個人情報保護法に対する要望】

◆ 一人一人の個性やニーズに応じたビジネス・サービス（パーソナライゼーションサービス）が展開されつつある昨今では、個人に関する情報の重要性がますます大きくなっており、有効な個人情報の利活用を進めていく上で、保護法の解釈の更なる明確化等を望む声も高まっています。

【「ガイドラインの改正」 および 「普及説明会」 について】

◆ 平成21年10月9日に「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正が行われました。
◆ 本事業では、平成21年度中に全国で説明会を開催し、上記改正内容の周知を含め、個人情報保護法及びガイドラインについての普及啓発を目的とした説明会を事業者対象に実施します。

【説明会実施概要】

◆ 個人情報取扱事業者を対象に全国７地域で、個人情報保護法及びガイドラインについての説明会を21年10月から22年1月までに実施。
◆ 説明会の構成は、経済産業省の職員（1名）とゲスト講師（１名）による、２テーマを予定。

本日、経産省より改定されたガイドラインが公表されました。

■「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」（平成２１年１０月９日改正）

いつ、改定されるかわからないと言われてきましたが、今回1年半以上時間が空きました。

まだ、詳しく内容を見ていませんが、パーソナル情報研究会でとりあげられた
共同利用については、より詳細な説明と事例が加えられている模様です。

例えば、共同利用を行うことがある事例の１つとして

事例4）企業ポイント等を通じた連携サービスを提供する提携企業の間で取得時の利用目的の範囲内で個人データを共同利用する場合

といった具合で、企業ポイントが盛んな昨今にマッチした事例かと思います。

経産省のガイドラインは、あらゆる分野の業種に影響してくると思いますし、
Pマーク取得事業者であればなおさら影響力が強いことと思われます。

今回で3回目を迎えた経産省ガイドラインの改定ですが、気がつけばあと3カ月足らずで2009年も終わりで、
2010年には、個人情報の改正にむけた議論もスタートすることと思います。
個人的にはとてもサイクルが早いと感じます。

【追記】

以下の内容もアップされていました。

＜改正の主な内容＞
(１) 「個人情報の保護に関する基本方針」の一部変更への対応
平成２０年４月に「個人情報の保護に関する基本方針」が一部変更さ
れたことに伴う改正。

(２) 「個人情報の保護に関する法律施行令」の一部改正への対応
平成２０年５月に、個人情報取扱事業者から除外される者の要件が改
正されたことに伴う改正。

(３) 「個人情報保護に関するガイドラインの共通化について」への対応
各省庁において策定されている事業分野ごとのガイドラインの共通化
について、内閣府により平成２０年７月に「全事業分野に共通するよう
な標準的なガイドライン」が策定されたことに伴う改正。

(４) 個人情報の取扱いに関する諸課題への対応
① 性質に応じた個人情報の取扱い
漏えい等をした場合の主務大臣等への報告について、ファクシミリ
やメールの誤送信の場合には、月に一回ごとにまとめて実施すること
ができることとしました。

② 「事業承継」に係るルールの明確化
事業承継のための契約を締結するより前の交渉段階で、事業承継の
相手会社から自社の調査（デューデリジェンス）を受け、自社の個人
データを相手会社へ提供する場合は、当該データの利用目的及び取扱
方法、漏えい等が発生した場合の措置、事業承継の交渉が不調となっ
た場合の措置等、相手会社に安全管理措置を遵守させるため必要な契
約をすることにより、本人の同意等がなくとも個人データを提供する
ことができることとしました。

③ 「共同利用」制度の利用普及に係る具体策
共同利用の事例として、企業ポイント等を通じた連携サービスを提
供する提携企業の間で取得時の利用目的の範囲内で個人データを共同
利用する場合を追加するほか、共同利用の際に本人に通知等をすべき
情報のうち、これまで変更することができなかった情報（共同して利
用される個人データの項目及び共同利用者の範囲）について、共同利
用を行う事業者の名称のみの変更で当該事業者の事業内容に変更がな
い場合、共同利用を行う事業者について事業の承継が行われた場合や
本人の同意を得た場合には、変更することができることとしました。

(５) その他
不正の手段により個人情報を取得している事例として、個人情報を提
供する側の第三者提供制限違反又は不正取得を知り、又は容易に知るこ
とができるにもかかわらず、当該個人情報を取得する場合を追加しまし
た。

半年ほど前になりますが、
(財)日産協のHPでメール本文に記載されたURLをクリックすると、
短期間で大量のメールが送りつけられてくる事象が報告されました。

■迷惑メール送信リポート
オプトインを装った出会い系サイトのゲリラ送信のしくみ （2009年2月）

オプトイン規制に伴い顕著となった、オプトインを装い送信してくる出会い系サイトでは、
短い期間で局地的に大量送信する手法が大きな特徴になっています。

このようなサイトは、消費者にオプトインと錯誤させる目的で、メール本文に受信者のメールアドレスを
特定できる紐付きURLを載せています。
アクセスすると、その後送られてくるメールが急増する場合があり、また、不当な請求に繋がるケースもありますので、
URLを安易にクリックしないよう十分ご注意ください。

現行の特電法および特商法（メール規制部分）は、広告宣伝目的あるいは商用目的にメールを送信する場合、
受信相手に事前承諾（オプトイン）を得なければなりません。

これを逆手にとって、オプトインを装ったURLをクリックさせることで
1日に30通近くのメールが送りつけられてくるようです。

気をつけたいのは、メールを一方的に送りつけてくるのみならず、
不当請求につながるおそれがあることです。

少し前の話になりますが、プライバシーマークのロゴが不正使用されたとの報告がJIPDECからありました。

【ご注意】プライバシーマーク（ロゴ）の不正使用について

下記のサイトで表示されているプライバシーマーク（ロゴ）は、不正使用ですのでご注意ください。

現在、当該サイト運営事業者に対してプライバシーマーク（ロゴ）の削除勧告を行なっており、継続的に監視中です。

ＵＲＬ ｈｔｔｐ：//ｐｒｉｚｅ‐ｎａｖｉ．ｊｐ/
確認日 平成21年6月1日

ＵＲＬ ｈｔｔｐ：//ｐｒｅｓｅｎｔ‐ｎａｖｉ．ｊｐ/
確認日 平成21年6月1日

ＵＲＬ ｈｔｔｐ：//ｗｗｗ．ｇｒａｎｄ‐ｓ７７７．ｊｐ/ｐｏｌｉｃｙ．ｈｔｍｌ
確認日 平成21年6月1日

指摘を受けたサイトは、いわゆる懸賞系サイトのようです。

一般的な傾向として、懸賞系、出会い系は迷惑メールの温床となるケースが多く
特電法が改正される際にも、この手の事業者にどう対策するかが議論された経緯があります。

第三者認証系のマークの取得目的の1つは、対外的な信用を得るためで、
社会から信頼を得にくい事業者こそマークを必要としているという側面もあります。

過去にはPhisingメールに、クレジット番号を入力させるフォーマットがあり、
すぐ横に第三者認証系のマークの画像をキャプチャして貼りつけるといった事例がありました。

米国にも、日本以上にこういった第三者認証系のマークが存在します。
特にウェブサイトの信頼性に関するマークは、日本よりも多いです。
（種類は、協議会などへの参加、プライバシーへの取組、健全なECの運営、実在証明、苦情受付などがあります。）

そして、偽マーク対策の事例として、マークの不正使用を監視するサービスも存在します。
The Search Monitorなどはその一例です。

久々の更新となってしまいました。
（書きたいことは山ほどあるのですが、いかんせんなかなか調整がつきません…）

特電法に違反した事業者が行政処分を受けています。
改正法になってからは、2件目です。

■ 「特定電子メール法違反者に対する措置命令の実施」 （2009.6.2）　総務省

総務省は、6月2日付けで、特定電子メールの送信の適正化等に関する法律（平成14年法律第26号。以下「特定電子メール法」といいます。）に違反して美容関係製品やダイエット用サプリメント等を販売するサイト「Siena Beauty」の広告又は宣伝を行う電子メールを送信した株式会社HolyAce（東京都渋谷区）に対し、特定電子メール法第7条に基づき措置命令を行いました。

摘発の原因は、

• 同意取得をしていない
• 表示義務を守っていない （送信者の名称等を表記していない）

ことです。

総務省ならびに日本データ通信協会には、ますます頑張って頂きたいと思います。

特商法（メール部分）と特電法に違反した事業者が行政処分を受けています。

特商法は改正以来2件目。（1件目は、2/18日のこちらの記事へ）

■「通信販売事業者【（合）HAiGHA】に対する指示について」　PDF　（2009.3.30）　経産省

経済産業省は、いわゆる出会い系サイト等役務提供の通信販売業者である合同会社ＨＡｉＧＨＡ（メイヤ、東京都目黒区）に対し、特定商取引法の違反行為であるオプトイン規制違反（承諾をしていない者に対する電子メール広告の提供の禁止）
等を認定し、同法第１４条第１項に基づき、平成２１年３月３０日に、同社の出会い系サイト上に同社の名称及び住所を正確に表示するとともに、同社の通信販売に係る電子メール広告をする場合は、事前にその相手方となる者から請求又は承諾を得るよう業務の改善を指示しました。

■「特定電子メール法違反者に対する措置命令の実施」 （2009.4.22）　総務省

総務省は、4月22日付けで、特定電子メールの送信の適正化等に関する法律（平成14年法律第26号。以下「特定電子メール法」といいます。）に違反して「GAT」又は「ガット」で表される出会い系サイトの広告・宣伝を行う電子メールを送信した個人事業者に対し、特定電子メール法第7条に基づき措置命令を行いました。　本件は、昨年12月に改正特定電子メール法が施行されて以降、初めての命令となります。

○関連記事　　「総務省、迷惑メール「オプトイン規制」導入後初の行政処分 」（2009.4.23）　INTERNET Watch

両者にともに摘発の原因は、事前にオプトインを取得しなかったことが原因です。

改正法の施行から6か月足らずの間に、経産省、総務省あわせて行政処分は3件。
法改正前は6年程で10件。
これは、法の実効性があがったとみてよいのでしょうか。

前回に、引き続き行動ターゲティング広告について。

少し前になりますが、野村総研が以下のレポートを公表しました。

「インターネット広告市場をけん引するターゲティング広告」(PDF)
-ユーザーの属性に応じた広告配信に広告主の期待が高まる
（2009年2月20日発行　ニュースレターVol.78　データ潮流）

内容は、以下の２つ。

1. インターネット広告市場の動向
2. 行動ターゲティング広告に対するユーザーの抵抗感

インターネット広告市場は、今後も右肩あがりに成長を続け、
その規模は2008年の5,752億円から、2013年には8,413億円に達すると予測しています。
5年で約1.5倍に拡大することになります。

見逃せないのが、モバイル広告が占める割合で、
2008年では市場全体の約15％であるのに対して、2013年には約25％を占める予測になっています。

一方でユーザの行動ターゲティング広告に対する抵抗感は強く、
なかでも「メール内容」に紐づく広告配信に対しては、約9割のユーザーが抵抗感を持っています。
傾向として個人的な内容や機微な情報ほど抵抗感が強いようです。

ユーザーは自身の情報を提供する前に、その情報がどのように利用されるかを知っておく必要があります。
モバイルの場合、企業が「個人情報　+　行動履歴　+　契約者固有ID」　の3つをセットで取得するケースもあることでしょう。

仮に、これら情報がセットで第三者に提供された場合はどうなるでしょうか。
第三者が別の経路から契約者固有IDを含む情報を持っていた場合は、
契約者固有IDを元に情報をマージし、より詳細な情報を持つことが可能となります。
モバイルサイトで知らぬ間にユーザーの嗜好にあった広告が配信されることがあるかもしれません。

ユーザーは、契約者固有IDの利用目的をはじめ、提供した情報が更に第三者に提供されないかを
事前にプライバシーポリシー等で確認した方がよいでしょう。

その他にも、

• 情報の取得元が明確か
• 利用目的が明確か
• 第三者に提供される場合、提供先は信頼できるか
• グループ会社などと共同利用されるか
• 開示請求やオプトアウト先は明確か
• SSLなどで通信の暗号化やサーバ証明が行われているか

といったことも併せて確認した方がよいと思われます。

こういった事を明確にしていないサービスには、情報を提供しない方が賢明と思われます。

3/11、米Google社は行動ターゲティング広告を開始したとリリースしました。
ユーザの過去の閲覧履歴（趣味や関心を約600のカテゴリーで分類する）をもとに、
最適な広告を配信する仕組みです。
まだ、β版ですが今後拡大していく模様です。

「Googleの行動ターゲティング広告に、プライバシー懸念の声」 ITmedia　（2009.3.13）

米Googleが新たに立ち上げた、ユーザーの以前の検索やページ閲覧を基に広告を表示する関心ベースの広告がプライバシーの懸念を呼んでいる。「行動ターゲティング」「オンライン行動ターゲティング」とも呼ばれるこの手法をめぐり、プライバシー擁護派は大量のユーザーデータを収集しているGoogleに憤慨している。

この種の技術は複数の検索エンジンで利用されているが、Googleがテストを開始したことで、同社が既にユーザーの情報を集め過ぎていると考えている人々の懸念は増している。しかし、Googleは以前から、個人データの利用方法や収集方法をユーザーが管理できるようにしていると同社を擁護する声も一部にはある。

いつものことながら、プライバシー擁護団体がこれに対して懸念を示しています。

このサービスで興味深いと思うのは、
ユーザがAds Preferences Managerと呼ばれる管理画面から
自らの分類された嗜好を確認・編集でき、
望まないユーザは、同画面からCookieを無効化することで、
行動ターゲティング広告を遮断することができるということです。

Trackigを懸念するユーザの中には、
既にブラウザの設定等によりCookieを遮断している人も存在しますが、
一般にはCookieの存在を意識せずブラウジングしている人も多いのではないでしょうか。
そういった意味でも管理画面上からCookieを無効化することできるのは良いことだと思います。

行動ターゲティング広告は何かと懸念が多いことも事実で、
業界などでのルール決めや利用ポリシーを明示することが大切ではないでしょうか。

プライバシーマークが携帯電話用のウェブサイト（以下、「携帯用サイト」）を運用開始しました。

「携帯電話サイトを対象とした｢プライバシーマーク付与事業者 検証・認証システム｣の運用開始について」（2009.3.6）

プライバシーマーク推進センターは、携帯電話サイト用の｢プライバシーマーク付与事業者検証・認証システム｣の運用を開始いたしましたのでご案内いたします。

本システムは、(1)携帯電話版プライバシーマーク制度ウェブサイト(http://privacymark.jp/mobile/) の付与事業者検索画面（図1）に付与事業者名（｢よみがな｣ではなく、漢字等の名称）または認定番号を入力することで、プライバシーマーク推進センターに登録されている付与事業者の情報（付与事業者名、認定番号、有効期間、所在地）を表示（図2）する検証機能（部分一致検索）及び(2)付与事業者の携帯サイト画面上のプライバシーマーク画像をクリックすることで携帯電話版プライバシーマーク制度ウェブサイトにリンクし、同様の付与事業者情報を表示する認証機能の２つの機能があります。

URLは、http://privacymark.jp/mobile/
※PCのブラウザからでも閲覧できるようです。

個人的には、「やっとか」という思いです。
マーク取得事業者の中には、携帯用サイトで個人情報を取得する事業者も少なくないことでしょう。
何故、ここまで時間がかかったのでしょうか…。
TRUSTeは、3年くらい前から携帯専用の認証ページを設けていたと記憶しています。

今後、携帯用サイトは、これまで以上に厳しく審査されるかもしれません。
安全管理はもちろん、利用目的の明示等がきちんと実施されているかも、
今一度確認してみるとよいでしょう。

携帯用サイトには、契約者固有IDの通知問題があります。
特に、契約者固有IDと個人情報を同時に取得する場合には、
その利用目的を明示することが大切になると思います。
（仮に、契約者固有IDのみの取得でも、説明をした方が良いでしょう。）

契約者固有IDは、消去が可能なCookieとは異なり、通常固定的に使用されるもので、
Trackingに強い懸念を表す人がいるのも事実です。

以前、こちらでご紹介した「疑似個人情報」に新バージョンが誕生したようです。

People to People Communications 株式会社
「新たに架空のクレジットカード番号・銀行口座番号を追加した『 疑似個人情報 ver.2 』の販売を開始」 （2009/2/18）

データ項目にクレジットカード番号と銀行口座番号が追加され、
住所の区切りを自由に変更できるなどの変更もされているそうです。

旧バージョンの購入者を対象には、無償でアップグレードを実施している模様です。

以前に、こちらの記事でメールアドレスが個人情報となり得る可能性について触れました。
事業者は特電法だけでなく、個人情報保護法を意識した運用が求められます。
利用目的の特定や（個人情報の）開示等の体制は整っているでしょうか。

同じ視点で、「All-in-one INTERNET magazine 2.0」（インプレスビジネスメディア）に、
以下の記事が掲載されていたのでご紹介します。

「情報漏えいを防ぐために最低限知っておきたい個人情報保護のポイント―メールマーケティング特集(8)」

あらかじめ利用目的をできるだけ特定し、その利用目的の達成に必要な範囲内でのみ個人情報を取り扱うことが定められている。すなわち、ユーザーから取得した個人情報の取扱いはそのあらかじめ特定された利用目的を超えることはできない。たとえば、プレゼントの発送目的で取得したメールアドレスに、キャンペーン情報などを送ることはNGである。

事前に許諾を得た目的外での利用をする場合は、改めて本人の同意を取得する必要がある。しかし、登録者全員から同意を取り直すことは事実上不可能であり、なおかつオプトアウト※方式での同意の取得は認められていない。また、担当者としては、別の利用が発生することを想定した抽象的・一般的な利用目的を記載したいところではあるが、「事業活動に用いるため」などでは利用目的を特定したことにはならない点にも注意が必要だ。

※オプトアウト　ユーザの事前承諾なしに一方的にメールを送り、拒否の通知をした者に対してのみ再送信を禁止する方式。

ユーザーはメールマガジンを解除しようとする際に、直接配信元のアドレスに返信して問い合わせることもできるが、メールのフッター部分に手続き方法を記載するのが一般的である。また、問い合わせがあった場合に効率よく対応できるように、対応フローを社内で確立しておく必要があるだろう。加えて、個人情報の取得から廃棄までの流れが明確にわかるような体制作りも必須と言える。いざ問い合わせを受けた時に回答に困らないためにも、個人情報がどのように管理されているのかを把握しておく必要があるからだ。特に苦情対応の場合は、顧客満足度の点からも、問い合わせを受けてから回答するまでのスピードが重要となってくる。問い合わせ窓口の設置、役割分担の明確化、対応手順などをマニュアル化しておくことが望ましい。

その他にもメールマーケティングの視点からユーザーに不快感を与えない工夫などにも触れられており
非常に整理された内容となっています。

一般ユーザーににとってみれば、法令を特別に意識している訳ではないでしょうが、
自身の情報を適切に取り扱ってほしいという思いは当然あるはずです。

事業者はコンプライアンスに加え、マーケティングの視点からも
ユーザーの安心感を得るような運用が大切だと思います。

以前に、ここで紹介した
「経済産業分野を対象とする個人情報保護ガイドラインに関する説明会」に参加してきました。
会場は1,000人くらいは集まっていたようで、ほぼ満員でした。

途中からの参加で、前半のDVDは見られませんでしたが、
経産省の担当者と大塚商会の取り組みについての話しは、傍聴できました。

経産省担当者のガイドラインの解説ですが、ガイドラインの変更に伴うものではなかったので
予想通り目新しいものはありませんでした。

経産省ガイドラインは改定するのか？　改定するならその時期はいつか？
という質問については、

• 昨年春の「基本方針」と「施行令」の改定
• パーソナル情報研究会の報告

の2つをトリガーとして、今後改定を検討しているが
時期は現段階では明言できない。

とのことです。

その他会場からは、子供から個人情報を取得する場合の「子供」の定義や、
金融機関に情報を委託する場合の、監督責任などについて質問がでていました。

改正特商法の施行より2か月半、ついに迷惑メール送信事業者に行政処分が下されました。
これは、改正条項にもとづく適用で、事前に承諾を得ず一方的にメール広告を送信したもの。

「“迷惑メール”で初の行政処分、携帯に未承諾広告を送信」（2009.2.17） YOMIURI ONLINE

承諾のない相手に広告メールを送信したとして、経済産業省は１７日、出会い系サイト運営会社「クロノス」（横浜市）に対し、特定商取引法（特商法）に基づく業務改善指示を出した。昨年１２月１日に改正特商法が施行されて以降、迷惑メールを巡る行政処分は初めて。

発表によると、同社は昨年１２月１日から先月１４日までの間、経産省が監視のために用意した携帯電話に、運営する出会い系サイト「Ｐｅｒｆｕｍｅ」のアドレスを記載した広告メール約４５０通を、承諾を得ないで送信した。経産省によると、同社は毎月３０万通近くの広告メールを送信していたという。

(中略)

同社は「違法とはわかっていたが、改正特商法施行前の送信方法を続けていた」と話しているという。

「特定商取引法違反事業者に対する行政処分について」（PDF）　経済産業省

経済産業省は、いわゆる出会い系サイト等役務提供の通信販売業者である株式会社クロノス（横浜市西区）に対し、特定商取引法の違反行為であるオプトイン規制違反（承諾をしていない者に対する電子メール広告の提供の禁止）を認定し、同法第１４条第１項に基づき、平成２１年２月１７日に、同社の通信販売に係る電子メール広告をする場合は、事前にその相手方となる者から請求又は承諾を得るよう業務の改善を指示しました。

なお、改正特定商取引法については、昨年１２月１日より迷惑メール広告規制強化の部分について施行されたところであり、本件は、改正法下での初めての行政処分となります。

事業者の「違法とわかっていた」というコメントが印象的で、
改正法はメール広告を送信する事業者に浸透しているのだなと感じました。

ところで、この件で総務省からは行政処分がないのでしょうか。
事前に承諾を得ていないということならば、特電法での適用も可能なはずです。
それとも総務省側のモニタ機に、この事業者のメールを受信しなかったのでしょうか…。

「経済産業分野を対象とする個人情報保護ガイドライン」は
本年の2-3月頃には改定されない模様です。

これまで、経産省は個人情報保護法の施行後、2回にわたって
「経済産業分野を対象とする個人情報保護ガイドライン」と
「個人情報保護ガイドライン等に関するQ＆Ａ）」
を改定してきました。

これまでは2－3月頃に改定があり、あわせて改定ガイドラインの説明会があるので、
今年もそろそろかなと思ってましたが、少なくともこの時期には改定されないようです。
（経産省の担当者がそういっていた。）

ただ、パーソナル情報研究会では、既に共同利用などについて議論されていますし、
もう少し後に改定があるかもしれません。

なお、説明会は開かれる予定ですね。
東京、大阪会場はすでにいっぱいですが、その他の地方都市はまだ空きがあります。
現状のガイドラインについての説明がメインらしいので、目新しいものは少ないかもしれません。
ご希望の方はお早めにどうぞ。

ところで、東京、大阪会場がすぐに席が埋まってしまうのには理由があるのでしょうか。
JIPDECのHPから、都道府県別のPマーク取得事業者の割合をみると、
全Pマーク取得事業者数は、10,022社(2009.2.12現在)で、
首都圏のPマーク取得事業者数は5,780社なので、全体の約58％になり、
その比重がかなり大きいことがわかります。

東京　　　　 4,961
神奈川　　　　410
埼玉　　　　　257
千葉　　　　　152
————————–
計　　　　　　5,780

大阪は、1,150社で、首都圏とあわせると全体の約70％を占める計算になります。

とある大手事業者の担当者が、
「首都圏、大阪以外の個人情報保護の体制は
まだまだ未整備な部分が多く、個人情報を含む業務を発注する際は苦慮する。」
と言っていたのを思い出します。

Pマーク取得事業者の分布が、それを反映しているかもしれません。

前々回で、オンライン広告への懸念にふれましたが、 米国では、これを背景とした消費者団体と業界団体との綱引きが現在も続いています。 つまり、法による規制や公的機関の介入を望む消費者団体と それをロビー活動や自主規制などにより回避したい業界団体という構図です。

一例として、japan.internet.comの記事はそれを顕著に表わしています。

「Web 広告のプライバシー保護、自主規制案に賛否」（2008.4.14）

行動ターゲティング型オンライン広告に関する米連邦取引委員会 (FTC) への意見提出が、11日に期限を迎えた。データ収集と消費者プライバシーの観点から物議を醸しているこの問題に対しては、賛否両論から数多くの意見が寄せられた。 意見の募集対象となっていたのは、FTC が2007年12月20日に発表した一連の自主規制案だ。そのちょうど同じ日、FTC は Google と DoubleClick の合併を無条件に承認し、合併に反対してロビー活動を行なっていた多くのプライバシー擁護派を失望させた。

しかし今回、自主規制案に対して Web 関連企業や業界団体、公益団体から寄せられた意見を見ると、消費者のプライバシー保護をオンライン広告業者の自主努力に任せてよいのか、それとも成長著しいこの業界には政府の規制が必要なのかといった、より広範な問題に触れたものとなっている。

「CDT、NebuAd のターゲット広告について法律違反の可能性を指摘」（2008.7.10）

新興企業 NebuAd については、インターネット サービス プロバイダ (ISP) から収集した Web 閲覧データをもとにターゲットを絞り込む広告手法が論議を呼んでいる。こうした報道に追い打ちをかけるように、デジタル時代の民主的価値の擁護を掲げて活動する Center for Democracy and Technology (CDT) は8日、NebuAd の手法が法に触れる可能性があるとするレポートを発表した。

「オンライン広告のプライバシ問題、米上院も関心」（2008.7.10）

インターネット広告におけるプライバシ問題に対して、米国政府でも懸念する声が強まりつつある。そんな中、行動分析型ターゲット広告を手がける NebuAd の CEO (最高経営責任者) Bob Dykes 氏は9日、米上院商業委員会の公聴会において、同社の事業内容に対する批判について反論した。 Dykes 氏は、個人を特定可能ないかなる情報も収集していないとした従来の主張を繰り返し、次のように語った。「NebuAd のシステムは、何人たりとも、たとえ政府でさえも、ユーザーの身元を特定できない仕組みになっている。当社がユーザーに対し、オプトアウトの機会や十分な情報を提供していないとか、当社がユーザーの Web トラフィックをすべて収集しているといった批判は、まったく正確を欠くものだ」

＜中略＞

Google のプライバシ問題上級顧問 Jane Horvath 氏と、Microsoft の次席法務顧問 Mike Hintze 氏は、両社における自主規制支持の姿勢を繰り返し強調した。「Google は、プライバシ保護のための統一的フレームワークを確立し、悪質な業者の処罰手続きを規定する、包括的なプライバシ保護法の制定を支持する」と Horvath 氏は語った。 両社が支持を表明しているのは、顧客データの管理に関してあらゆる業界に適用されるような、プライバシに関する連邦法だ。そして両社が思い描く法律は、オンライン広告業界のみを対象とした要件を含まないものだ。

「米下院委員会、オンライン広告に関するプライバシー調査を拡大」（2008.8.5）

米下院のエネルギーおよび商業対策委員会委員会は、行動ターゲティング型オンライン広告がプライバシーに与える影響の調査を拡大している。同委員会は現在、30を超える大手インターネット企業に対し書簡を送り、情報の収集方法や消費者の個人情報を保護するために各社が採用している措置について、詳細を明らかにするよう求めている。

＜中略＞

今回の書簡はオンラインプライバシーに関する議論の極めて重要な論点を再び取り上げるもので、 個人の健康や家計の状況といった取り扱いに注意を要する問題について、どんな情報を収集するのか、消費者に対してどんな種類の通知を提示し、情報はどれくらいの期間保存されるのかについて尋ねている。 書簡ではさらに、企業に対し、行動ターゲティングの実施手法の合法性を判断するために用いたあらゆる法的分析についても、詳細を提供するよう求めている。

前々回と繰り返しになりますが、 日本ではオンライン広告によるターゲティングの手法に関しては、 目立った形での活動は見受けられません。（消費者団体側、業界団体側ともに）

一般には、こういった流れは、
問題（懸念）の発生　⇒　消費者による規制の声　⇒　業界団体の自主規制
という順番なので、問題を問題であると消費者が自覚しないとムーブメントもおこりませんが。

青少年向けのウェブコンテンツに関しては、 青少年ネット規制法が成立しましたが、その規制は緩やかなもので、 業界団体としてモバイルコンテンツ審査・運用監視機構（EMA）や インターネット・コンテンツ審査監視機構（IROI）が設立され、自主規制の姿勢を示しています。

現状の日本では、オンライン広告による企業の情報収集は、 各事業者のポリシーに委ねられているという状況です。

前回からの続きで、Data Privacy Dayについて。

アメリカ、カナダと欧州27カ国の公的機関や企業は1月28日に、
Data Privacy Day 2009と題したイベントを開催しました。

japan.internet.com 「広がる『International Data Privacy Day』の輪」（2008.1.29）

米国議会下院は世界的なデータ プライバシー認識の動きに呼応し、1月28日を『National Data Privacy Day (全米データプライバシーの日)』と定める法案を承認した。いくつかの州でも、同日をデータ プライバシーの日に認定する動きを示していた。

こうした動きは、国家レベルだけではない。教育者やプライバシー専門家らが、13歳未満の子供やティーンエイジ世代や若い成人たちとともに、プライバシーやデータ保護に関する討論会を催したり、ソーシャルネットワークの Facebook がデータプライバシーの日専用サイトを設けるといった取り組みもある。

米国が『International Data Privacy Day』に参加して、今年で2年目を迎える。昨年の活動は、Intel、Microsoft、Google、Oracle、IBM、Procter ＆ Gamble、Quintiles が資金面で援助した。

記事の内容の通り、IT系の大手企業も参加していて、Intelはを啓発用のサイトを公開しています。

情報はインターネットを介して、容易に国境を超えることを考えると
IT系のグローバル企業がこのような取り組みをすることに意義があると感じます。
ここに、日本が入っていないのが残念でもありますが…。

Google社は、これまでプライバシー問題について、
度々、欧米の消費者保護団体と衝突してきました。

過去を振り返ると、

• 検索ページトップへのプライバシーポリシーのリンク設定
• サーバー・ログの保存期間と匿名化
• DoubleClick社の買収によるログの統合
• Google Street View及びGoogle Earthに関するプライバシー
• ブラウザChromeによるデータ収集

などが挙げられます。

昨日も以下の記事が報道されました。

ITpro　「米消費者保護団体，医療情報のプライバシ保護を米議会に要求 」（2009/01/28）

米国の消費者保護団体Consumer Watchdogは米国時間2009年1月27日，医療記録の売買を防ぐために法の抜け穴をふさぎ，プライバシの保護規制を強化するよう，米国議会に呼びかけた。

同団体によると，米Googleは景気を刺激するための「Economic Stimulus Act（経済活性法）」の改正案において，医療記録の売買禁止条項を弱めるよう，ロビー活動を行う予定だという。同団体は，Googleが同社のオンライン医療情報管理サービス「Google Health」で収集した個人の情報を広告主に販売できるように、議会に働きかける意向だと主張している。

（略）

これに対してGoogle社は、販売を否定しています。

日本でも、Google Street Viewがサービスアップされた当初に、
一部マスコミがその問題点について報じましたが、
消費者保護団体が、積極的に活動したという情報は耳にしません。
日本の消費者は、この点に無頓着なのでしょうか…。

この背景には、オンライン上の行動ターゲティング行為に対する
懸念の違いがあると思われます。

ちなみに、北米と欧州の一部では、本日1/28をData Privacy Dayとして、
業界を中心とした大規模な啓発活動が行われています。
消費者の発する懸念に対して、業界側も自助努力の姿勢を示していると思われます。

このあたりの動きはまた次回で触れたいと思います。

これまでも、子供のウェブサイト利用について、プライバシーの観点からTopicを紹介してきました。
それでは、子供をウェブの危険から守るうえで、有効な方法は何なのでしょうか。

1年以上前の記事になりますが、
CNET JAPANに「子どものオンラインセキュリティ–年齢別の対策のヒント」(2007/05/02)
で、具体的な方法がガイドラインとして紹介されています。

例えばプライバシーに関する方法だと、

7歳以下
子どもに個人情報の送信、ブログ、一般のサイトへの電子メール送信は、親の監督なしでは許さない。

8歳から10歳
子どもにオンライン上で何が共有していい情報で、何が誰とも共有してはならない情報かを理解させる。

10歳から12歳
子どもがIMや電子メールツールに設定する可能性のある「不在メッセージ」に注意する。このメッセージは、子どもがオフラインの場合にIMや電子メールでコンタクトを取ってきた人に対して自動的に送られるようにプログラムされている。不在メッセージに電話番号やメールアドレスが含まれていないことを確認すること。

16歳以上
子どもにオンラインで個人情報を共有することと知らない人にオフラインで会うことの危険について話す。

などです。

また、総務省や文科省を中心とした、「eネットキャラバン」では、
保護者及び教職員を主な対象に、講座形式でインターネットの安心・安全利用の啓発活動を行っています。
保護者等を通じて間接的に、子供の安全を守ることを意図しています。

以前に、当協会でウェブの安全な利用についてアンケートを実施した際に、
効果的な取り組みについて多数の意見を集めたのは、以下の2つでした。

1. 自衛
2. 法による規制強化

1.と2.は両輪として取り組むべき事項だと思いますが、
2.は、テクノロジーの進歩による新しいサービスに対応しきれない部分もありますし、
一般に社会的要請から法制化までに時間がかかります。

まずは、ユーザー自身が適切な知識を身につけて、自衛することが大切かと思います。

ウェブサイトでは、サイト運営者などによりユーザーの動向調査や
ログイン管理等のためにCookieという技術が使用されることがあります。

ユーザーがウェブサイトを閲覧する際は、通常Cookieの存在が意識されることはありません。
Cookieは個人情報と紐づけることも可能で、プライバシーの領域にも関与してくる場合があります。

オンライン広告代理店などはマーケティングの手法として、
媒体となるウェブサイトにクライアントのバナー広告などを出稿し、
あわせてCookieをセットして効果測定を行うということが一般的に行われています。

つまり、閲覧されるウェブサイトの運営者のみならず、第三者のCookieによっても
何かしらの情報が取得される可能性があるのです。
※第三者のサーバーによるCookieを、第三者Cookieと呼びます。

情報の精度にもよりますが、無意識のうちにユーザーの閲覧状況などの情報が
取得されることに懸念を抱く人がいることも事実で、
米国では過去にCookieを使用することの合法性について議論されたことがありました。

この様な背景もあって、現在ではウェブサイト上のプライバシーポリシー等で、
Cookieについての記述を頻繁に見かけるようになりました。

もちろん個人情報保護法の影響も大きいと思いますが、
その他にも、プライバシーマークの規格であるJIS15001：2006に
“本人が容易に認識できない方法によって個人情報を取得する場合…”
としてCookieが具体例としてあげられていることも関係していると思われます。

次世代電子商取引推進協議会（ECOM）では、協議会に所属する会員企業112社を調査対象とする
「ホームページ上におけるプライバシーポリシー等の表記状況調査」の中で、
Cookieの使用に関する記載状況を報告しています。

「ホームページ上におけるプライバシーポリシー等の表記状況調査」（2008.8）（PDF）
2（4）クッキーの使用に関する記載

Cookieに関する記載は、よく見かけるようになったものの、
この調査では、「使用している」と回答したのは6割弱という結果です。

また、「使用していない」という回答はがわずか1％ですが、これは注目に値します。
仮に、Cookieを「使用していない」場合であっても、その他の事業者がCookieを使用し
そのことに懸念を感じるユーザーが存在する以上、
プライバシーポリシー等に「Cookieは使用していない」と記載することが
ユーザーの安心につながると思われるからです。

最後に、「表記なし」の回答者が

1. Cookieの使用を自覚しているが記載していない。
2. Cookieの使用を自覚していないので記載していない。

のいずかまでは分かりません。

特に2.場合は、ウェブの管理を外部に委託したり、
ASPを使用したりしてCookieの使用を自覚していないケースや
前述の、他社の広告による第三者Cookieを把握していないケースも考えられます。
もし、Cookieの使用を自覚しているのであれば、積極的な記載をお願いしたいと思います。

以前にここでも紹介したWeb　Bugなどもそうですが、
ユーザーにとってプライバシー上の懸念となり得るものは、
その使用の有無や状況を積極的に伝えていくべきだと思います。