カテゴリー別の記事 '個人情報 / プライバシー'

社会問題となっている高齢者の所在不明問題に端を発する形で、
個人情報保護法の見直しについて検討が開始されるようです。

■時事通信
「個人情報保護法見直しも＝高齢者の所在不明で検討指示－官房長官」 （2010年8月5日‎）

仙谷由人官房長官は５日午後の記者会見で、高齢者の所在不明が相次いでいる問題で、個人情報保護法が所在把握の障害になっていることから、同法改正の是非などを検討するよう関係部局に指示したことを明らかにした。

はたして行政が生命の安否を確認する際に、個人情報保護法が障害となりえるのでしょうか。
老人の家族や親せきがプライバシー上の理由から居所を教えないとは考えにくいです。
可能性があるとすれば、年金不正受給の事実を隠ぺいするために、法を盾にするケースでしょうか。

うがった見方かもしれませんが、
社会的な関心が高いこの問題を契機に、
個人情報保護法を改正にまで持っていきたいのかもしれません。

また、Pマークのロゴを不正に使用した事業者が現れたようです。
※前回の不正使用の記事はこちら

■（財）日本情報処理開発協会　プライバシーマーク推進センター
【ご注意】プライバシーマーク（ロゴ）の不正使用について（2010.8.6）

公表された事業者は全部で8つ。
今回はJIPDECも、より警戒の色を強めたと思われ
事業者名に加えて、不正利用がなされているサイトのURLのリンクを設定したうえで公表しています。

こういった事業者は今後も出てくると予想されますし、
不正が発見されるまでの間にマークを信用して取引を行った事例があるかもしれません。

Pマーク制度では、認定を受けた事業者はマークをサイトに表示することが許されており、
マークを表示する者は、当該マークからPマーク制度のサイトトップにリンク設定することが定められています。
これは、Pマーク制度のサイト内にある「プライバシーマーク付与事業者一覧」から
正規の認定事業者を確認できるようにする為です。

Pマーク取得事業者数は既に1万を超えており、
そのほとんどが自サイトにマークを表示しているものと思われます。
「プライバシーマーク付与事業者一覧」は、五十音順等の索引が設けられているものの
目当ての事業者を捜し出すのにはある程度の時間を要してしまうの現状があります。
つまり、正規の認定事業者を見つける道筋はあるものの、
この仕組みはあまり有効に機能していないのではということです。

今後は、事後的に不正使用事業者を摘発・公表するのではなく、
SSLのようにマークを容易にコピーできない仕組みや、
マークのリンク先を事業者の認定を証明するページに設定する等の工夫が必要なのではないでしょうか。

これまでも、ネットと個人情報（あるいはプライバシー情報）追跡技術に関して取り上げてきましたが、
今回はビジネスとしてそれが急成長しているという話しです。

■ウォールストリートジャーナル　日本語版
「インターネットで個人情報の追跡ビジネスが急成長＝WSJ調査」（2010.8.2）

ファイルには「4c812db292272995e5416a323e79bd37」というコードのみが記されていた。これでヘイズ＝ビーティさんの住所、性別、年齢がわかるという。さらに、彼女のお気に入りの映画のタイトル、さらには彼女がインターネットでエンターテイメントニュースを閲覧することや、クイズに答えるのが好きなことも知ることができる。

（中略）

本紙が独自に調査を行った結果、インターネットで最も急速に成長しているビジネスのひとつが、インターネット・ユーザーのスパイ事業であることが判明した。

（中略）

追跡テクノロジーは、以前よりも高機能化し、深く入り込むようになっている。これまでモニター行為には、ユーザーが訪問したウェブサイトを記録する「クッキー」ファイルが使用されることがほとんどだった。本紙の調査によって、ウェブページ上でのユーザーの行動をリアルタイムでスキャンし、アクセス場所、所得、買い物の嗜好（しこう）、さらには健康状態までを即座に算定する新しいツールが使われていることが明らかになった。一部にはユーザーが削除を試みても後で密かに復活するツールもある。

これらの個人情報のプロファイルは、常に更新され、1年半ほど前に誕生した、株式市場のような取引所で売買されている。

以前から懸念され続けていたことですが、
クッキー、ウェブビーコン、アクセスログ、ローカル共有オブジェクト（Flash クッキー）等を組み合わせることで、
ネットユーザの情報は収集され、利用され、販売されている実態があるということです。

このようにネットユーザからの情報収集する企業の多くは、
事前に収集する情報の利用について、ユーザに公表しているので問題はないと述べていますが
事前承諾（オプトイン）を得ているサイトは極少数に思われます。

米国でマイクロソフト社の家庭用ゲーム機「Xbox360」ついてプライバシー問題の懸念が上がっているようです。

オンライン接続可能なこのゲーム機は、新たにモーションコントローラー「Kinect」を発売するようですが、

このコントローラの機能が顔を認知するカメラを含んでおり、ゲームを遊ぶユーザーを特定するだけではなく

3Dイメージングによりユーザーの周囲の風景をも見ることができるようなのです。

● インサイド記事

「ネット上で子供たちのプライバシーは危機に。Kinectはプレイヤーの情報を収集できる」 ― 米国の調査結果」（2010年7月7日）

「マイクロソフトのKinectは顔を認知するRGBカメラを含んでおり、ゲームを遊ぶユーザーを特定でき、3Dイメージングにより部屋全体を見ることができる。これはKinectとXboxの広告において、子供たちのジェンダーといつゲームを遊んでいるかを特定でき、どんなゲームを好んでいるかを分析できることを意味する。このように特定されたユーザーデータを持つ広告アプリケーションは、広告主に先例のない侵入の可能性を提供する」

適切な判断能力を有さない子供に対して、プライバシー情報を収集し、オンライン広告を配信するということが懸念されます。
※事前の同意を取得しているか否かは分かりません。

米国の消費者団体等は、この問題に対してFTC（米国連邦取引委員会）に調査をするよう依頼し、
COPPA（Children’s Online Privacy Protection Act）の改正を求めているようです。

このブログを開始した当初からこれらの問題について触れてきており、依然として根深いテーマだと感じます。

• 「子供の個人情報とプライバシー情報」（2008年 11月 21日）

• 「米SONY BMG MUSIC ENTERTAINMENT社、COPPA違反で100万ドル支払い」（2008年 12月 15日）

• 「子供の個人情報とプライバシー情報　その2」（2008 年 12 月 22 日）

• 「子供がウェブサイトにアクセスするときには」（2009 年 1 月 21 日）

• 「オンライン広告への懸念」（2009 年 2 月 9 日）

• 「行動ターゲティング広告に対する懸念」（2009 年 4 月 8 日）

ちなみに「Kinect」は、年内にも日本国内でも販売の予定があり、単に米国だけの問題ではありません。
Google Street Viewの時もそうでしたが、サービス展開後に後手を踏むような対策は避けたいものですが……。

個人情報改正の動きは停滞しているのかと思っていましたが、
内閣官房情報セキュリティセンター（NISC）より 、「セキュア・ジャパン２０１０（仮称）」（案）が発表され
その一部では

・個人情報保護法の見直し個人情報保護法について、法改正も視野に入れた問題点についての審議を踏まえ検討を行う。

【具体的施策】
ア) 個人情報保護法の見直し（消費者庁及び関係府省庁）
個人情報保護法について、2010 年度以降、法改正も視野に入れた問題点についての審議を踏まえ検討を行う。

との記述があります。

また、法の改正だけではなく

• プライバシー保護技術の適切な利用促進

• 各事業分野ごとの個人情報保護に関するガイドラインの見直し

• 国際的なフレームワークへの対応

について述べていています。
NISCということで基本的に安全管理に関する記述が多いのですが、
久々に官から法改正について文書が出てきたことは注目かと思います。

そういえば、各事業分野ごとのガイドライン統一化の話しはどうなったのでしょうか。
なかったことになっているのでしょうか…。

昨日、福島瑞穂消費者相が罷免されました。
昨年の秋頃には、「個人情報保護法」について同大臣が改正について言及していましたが、
これで改正の動きはトーンダウンするのではと思われます。

「個人情報保護法」は、2005年の施行より3年ごと見直すことが予定されており、
2011年が改正の節目となる予定でしたが、現時点で大きな動きが見えてきませんし、
今回の罷免も加味すると、改正はもう少し先の話しになるのかもしれません。

一方、プライバシーマーク（Pマーク）でお馴染みの「JISQ15001：2006」は、
5年に1度見直しが行われる予定されており、こちらも2011年が節目の年となりますが、
保護法の改正より先にJIS規格の改訂が行われるとは考えづらく、
こちらももう少し先にのびるものと思われます。

昨今は、情報技術の新しいサービスが次々に展開されており、
プライバシーや個人情報の問題に法制度が追いついていないのが現状かと思います。
Google Street Viewでのプライバシー問題はその典型かもしれません。

先日、個人情報保護法改正の動きがあることについて触れました。

同じ毎日新聞で、更にその背景を深堀した内容の記事が出ていたので紹介します。

「個人情報保護法：国民の知る権利、揺らいで４年半　見直しの課題」 （2009.11.2）

個人情報保護法を巡って大きな焦点となったのは、メディア規制という論点だ。政治家の不適切な蓄財や官僚の天下りなど不正を追及する取材活動は、個人情報そのものを対象にする。報道活動まで規制が及べば、国民の知る権利を損なうことになる。欧州連合（ＥＵ）各国では報道分野を適用除外しており、日本でもこれにならった形となったが、新聞社や放送局は除外されたものの、月刊・週刊誌を発行する出版社は明記されなかった。小泉純一郎首相（当時）は審議の過程で「出版社が行う事業は文芸その他の広範な出版活動を含むものであり、報道機関の典型例として位置付けることは適当とは言い難い」と説明したが、出版界は「週刊誌を狙い撃ちした規制だ」と納得していない。

(中略)

日本たばこ協会が未成年者の喫煙防止策の一環として導入した成人識別ＩＣカード「タスポ」を巡り、同協会が警察や検察など捜査機関にたばこの購入場所や日時、氏名、住所、生年月日などの情報を提供していたことが今夏、発覚した。

個人情報とはそもそも何なのか。同法は「特定の個人を識別することができるもの」とし、「他の情報と容易に照合することができ、識別できるものを含む」と定義している。例えば、インターネット接続業者が発行する会員ＩＤはアルファベットや番号の羅列にすぎないが、業者にとっては住所データベースと照合すれば特定できるので、個人情報に当たる。同協会は購入履歴を収集、利用することを会員規約に明記していないため、タスポで購入履歴が蓄積することを知っている利用者はあまりいない。

他のメディアでこの問題を扱っているところを見つけられなかったので、
もう少しいろいろな角度から情報を収集する必要がありそうですが、
ひとつの動きとしてウォツチしていく必要がありそうです。

また、以前からここでも再三取り上げてきた内容ですが、
インターネット上で収集されるログやパーソナル情報の類を法律としてどのように取り扱っていくかにも注目です。

1週間ほど前、毎日新聞に次のような記事が掲載されました。

「福島消費者・少子化担当相：個人情報保護法見直し　改正検討を要請」（2009.10.23）

福島瑞穂消費者・少子化担当相は２３日の閣議後会見で、「個人情報保護法について、改正も視野に問題点を検討するよう、指示を出したい」と述べ、同法を所管する消費者庁の消費者委員会に同法改正の検討を要請する方針を明らかにした。個人情報保護法の成立時には、「（メディア規制をめぐって）与野党でものすごい激論があった」と話した。メディア規制などについて検討するとみられる。

個人情報保護法を巡っては０３年、社民党をはじめ民主、自由、共産の当時の野党４党が対案を共同提出したが、与党の賛成多数で可決成立。国会は付帯決議で０５年の全面施行後、３年をめどにした見直しを政府に求めた。情報隠しなど法の悪用や萎縮（いしゅく）効果が社会問題化したが、政府は０８年、法運用の基準となる「基本方針」の変更にとどめた。

もう少し、福島大臣の発言を補足すると、

消費者委員会のほうに、個人情報保護法についての問題点、改正も視野に入れて現行における問題点を検討してくれるよう指示を出す予定です。

と述べています。

記事にもあるように、個人情報保護法は、付帯決議に施行後3年後に見直すということが定められていました。
結局は法は改正せず、「基本方針」の変更と全国で説明会を開いたりして、
過剰反応、過剰保護等の問題の鎮静化を図るに留まりました。

典型的なケースとして、学校や自治会などで名簿が作成できなくなったというケースや、
個人情報保護法を拡大解釈して本来開示すべき情報を開示しない等のケースです。（意図的に悪用しているケースもあると聞きます。）　

当時の内閣府の国民生活審議会 個人情報保護部会の記録をみると、このあたりの状況が詳しく記載されています。

個人的には、政権交代が、保護法に影響を与えるとは思ってもみませんでしたが、
制定された過去の経緯も含めれば、改正の可能性は十分にあり得ると思います。

メディア規制がメインだということですが、はたしてどれほどの影響があるのか要注目です。

前回の説明会から1年たっていませんが、
今月の下旬から東京を皮切りに全国の都市部で改定されたガイドラインの説明会が開かれるようです。

東京会場だけは2回開かれるようで、第1回と第2回のスピーカーが違っています。
第2回のスピーカーは、マイクロソフト社長室情報保護推進事務局長の久保田氏が講演するようです。

■■■個人情報保護ガイドライン説明会■■■

【個人情報保護法に関する現状】

◆ 「個人情報の保護に関する法律」が平成１７年４月に全面施行され、個人情報保護に関する国民の意識の高まりとともに事業者の取組みも進んでいる一方、依然として社会的な耳目を引く個人情報漏えい事案が後を絶たない状況にあります。
◆ また、保護法に対する誤解等に起因して、必要とされる個人情報の提供までもが行われず、事業活動が抑制され、消費者等の利便性が図られない過剰反応と言われる状況も一部に見られます。

【個人情報保護法に対する要望】

◆ 一人一人の個性やニーズに応じたビジネス・サービス（パーソナライゼーションサービス）が展開されつつある昨今では、個人に関する情報の重要性がますます大きくなっており、有効な個人情報の利活用を進めていく上で、保護法の解釈の更なる明確化等を望む声も高まっています。

【「ガイドラインの改正」 および 「普及説明会」 について】

◆ 平成21年10月9日に「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正が行われました。
◆ 本事業では、平成21年度中に全国で説明会を開催し、上記改正内容の周知を含め、個人情報保護法及びガイドラインについての普及啓発を目的とした説明会を事業者対象に実施します。

【説明会実施概要】

◆ 個人情報取扱事業者を対象に全国７地域で、個人情報保護法及びガイドラインについての説明会を21年10月から22年1月までに実施。
◆ 説明会の構成は、経済産業省の職員（1名）とゲスト講師（１名）による、２テーマを予定。

本日、経産省より改定されたガイドラインが公表されました。

■「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」（平成２１年１０月９日改正）

いつ、改定されるかわからないと言われてきましたが、今回1年半以上時間が空きました。

まだ、詳しく内容を見ていませんが、パーソナル情報研究会でとりあげられた
共同利用については、より詳細な説明と事例が加えられている模様です。

例えば、共同利用を行うことがある事例の１つとして

事例4）企業ポイント等を通じた連携サービスを提供する提携企業の間で取得時の利用目的の範囲内で個人データを共同利用する場合

といった具合で、企業ポイントが盛んな昨今にマッチした事例かと思います。

経産省のガイドラインは、あらゆる分野の業種に影響してくると思いますし、
Pマーク取得事業者であればなおさら影響力が強いことと思われます。

今回で3回目を迎えた経産省ガイドラインの改定ですが、気がつけばあと3カ月足らずで2009年も終わりで、
2010年には、個人情報の改正にむけた議論もスタートすることと思います。
個人的にはとてもサイクルが早いと感じます。

【追記】

以下の内容もアップされていました。

＜改正の主な内容＞
(１) 「個人情報の保護に関する基本方針」の一部変更への対応
平成２０年４月に「個人情報の保護に関する基本方針」が一部変更さ
れたことに伴う改正。

(２) 「個人情報の保護に関する法律施行令」の一部改正への対応
平成２０年５月に、個人情報取扱事業者から除外される者の要件が改
正されたことに伴う改正。

(３) 「個人情報保護に関するガイドラインの共通化について」への対応
各省庁において策定されている事業分野ごとのガイドラインの共通化
について、内閣府により平成２０年７月に「全事業分野に共通するよう
な標準的なガイドライン」が策定されたことに伴う改正。

(４) 個人情報の取扱いに関する諸課題への対応
① 性質に応じた個人情報の取扱い
漏えい等をした場合の主務大臣等への報告について、ファクシミリ
やメールの誤送信の場合には、月に一回ごとにまとめて実施すること
ができることとしました。

② 「事業承継」に係るルールの明確化
事業承継のための契約を締結するより前の交渉段階で、事業承継の
相手会社から自社の調査（デューデリジェンス）を受け、自社の個人
データを相手会社へ提供する場合は、当該データの利用目的及び取扱
方法、漏えい等が発生した場合の措置、事業承継の交渉が不調となっ
た場合の措置等、相手会社に安全管理措置を遵守させるため必要な契
約をすることにより、本人の同意等がなくとも個人データを提供する
ことができることとしました。

③ 「共同利用」制度の利用普及に係る具体策
共同利用の事例として、企業ポイント等を通じた連携サービスを提
供する提携企業の間で取得時の利用目的の範囲内で個人データを共同
利用する場合を追加するほか、共同利用の際に本人に通知等をすべき
情報のうち、これまで変更することができなかった情報（共同して利
用される個人データの項目及び共同利用者の範囲）について、共同利
用を行う事業者の名称のみの変更で当該事業者の事業内容に変更がな
い場合、共同利用を行う事業者について事業の承継が行われた場合や
本人の同意を得た場合には、変更することができることとしました。

(５) その他
不正の手段により個人情報を取得している事例として、個人情報を提
供する側の第三者提供制限違反又は不正取得を知り、又は容易に知るこ
とができるにもかかわらず、当該個人情報を取得する場合を追加しまし
た。

少し前の話になりますが、プライバシーマークのロゴが不正使用されたとの報告がJIPDECからありました。

【ご注意】プライバシーマーク（ロゴ）の不正使用について

下記のサイトで表示されているプライバシーマーク（ロゴ）は、不正使用ですのでご注意ください。

現在、当該サイト運営事業者に対してプライバシーマーク（ロゴ）の削除勧告を行なっており、継続的に監視中です。

ＵＲＬ ｈｔｔｐ：//ｐｒｉｚｅ‐ｎａｖｉ．ｊｐ/
確認日 平成21年6月1日

ＵＲＬ ｈｔｔｐ：//ｐｒｅｓｅｎｔ‐ｎａｖｉ．ｊｐ/
確認日 平成21年6月1日

ＵＲＬ ｈｔｔｐ：//ｗｗｗ．ｇｒａｎｄ‐ｓ７７７．ｊｐ/ｐｏｌｉｃｙ．ｈｔｍｌ
確認日 平成21年6月1日

指摘を受けたサイトは、いわゆる懸賞系サイトのようです。

一般的な傾向として、懸賞系、出会い系は迷惑メールの温床となるケースが多く
特電法が改正される際にも、この手の事業者にどう対策するかが議論された経緯があります。

第三者認証系のマークの取得目的の1つは、対外的な信用を得るためで、
社会から信頼を得にくい事業者こそマークを必要としているという側面もあります。

過去にはPhisingメールに、クレジット番号を入力させるフォーマットがあり、
すぐ横に第三者認証系のマークの画像をキャプチャして貼りつけるといった事例がありました。

米国にも、日本以上にこういった第三者認証系のマークが存在します。
特にウェブサイトの信頼性に関するマークは、日本よりも多いです。
（種類は、協議会などへの参加、プライバシーへの取組、健全なECの運営、実在証明、苦情受付などがあります。）

そして、偽マーク対策の事例として、マークの不正使用を監視するサービスも存在します。
The Search Monitorなどはその一例です。

前回に、引き続き行動ターゲティング広告について。

少し前になりますが、野村総研が以下のレポートを公表しました。

「インターネット広告市場をけん引するターゲティング広告」(PDF)
-ユーザーの属性に応じた広告配信に広告主の期待が高まる
（2009年2月20日発行　ニュースレターVol.78　データ潮流）

内容は、以下の２つ。

1. インターネット広告市場の動向
2. 行動ターゲティング広告に対するユーザーの抵抗感

インターネット広告市場は、今後も右肩あがりに成長を続け、
その規模は2008年の5,752億円から、2013年には8,413億円に達すると予測しています。
5年で約1.5倍に拡大することになります。

見逃せないのが、モバイル広告が占める割合で、
2008年では市場全体の約15％であるのに対して、2013年には約25％を占める予測になっています。

一方でユーザの行動ターゲティング広告に対する抵抗感は強く、
なかでも「メール内容」に紐づく広告配信に対しては、約9割のユーザーが抵抗感を持っています。
傾向として個人的な内容や機微な情報ほど抵抗感が強いようです。

ユーザーは自身の情報を提供する前に、その情報がどのように利用されるかを知っておく必要があります。
モバイルの場合、企業が「個人情報　+　行動履歴　+　契約者固有ID」　の3つをセットで取得するケースもあることでしょう。

仮に、これら情報がセットで第三者に提供された場合はどうなるでしょうか。
第三者が別の経路から契約者固有IDを含む情報を持っていた場合は、
契約者固有IDを元に情報をマージし、より詳細な情報を持つことが可能となります。
モバイルサイトで知らぬ間にユーザーの嗜好にあった広告が配信されることがあるかもしれません。

ユーザーは、契約者固有IDの利用目的をはじめ、提供した情報が更に第三者に提供されないかを
事前にプライバシーポリシー等で確認した方がよいでしょう。

その他にも、

• 情報の取得元が明確か
• 利用目的が明確か
• 第三者に提供される場合、提供先は信頼できるか
• グループ会社などと共同利用されるか
• 開示請求やオプトアウト先は明確か
• SSLなどで通信の暗号化やサーバ証明が行われているか

といったことも併せて確認した方がよいと思われます。

こういった事を明確にしていないサービスには、情報を提供しない方が賢明と思われます。

3/11、米Google社は行動ターゲティング広告を開始したとリリースしました。
ユーザの過去の閲覧履歴（趣味や関心を約600のカテゴリーで分類する）をもとに、
最適な広告を配信する仕組みです。
まだ、β版ですが今後拡大していく模様です。

「Googleの行動ターゲティング広告に、プライバシー懸念の声」 ITmedia　（2009.3.13）

米Googleが新たに立ち上げた、ユーザーの以前の検索やページ閲覧を基に広告を表示する関心ベースの広告がプライバシーの懸念を呼んでいる。「行動ターゲティング」「オンライン行動ターゲティング」とも呼ばれるこの手法をめぐり、プライバシー擁護派は大量のユーザーデータを収集しているGoogleに憤慨している。

この種の技術は複数の検索エンジンで利用されているが、Googleがテストを開始したことで、同社が既にユーザーの情報を集め過ぎていると考えている人々の懸念は増している。しかし、Googleは以前から、個人データの利用方法や収集方法をユーザーが管理できるようにしていると同社を擁護する声も一部にはある。

いつものことながら、プライバシー擁護団体がこれに対して懸念を示しています。

このサービスで興味深いと思うのは、
ユーザがAds Preferences Managerと呼ばれる管理画面から
自らの分類された嗜好を確認・編集でき、
望まないユーザは、同画面からCookieを無効化することで、
行動ターゲティング広告を遮断することができるということです。

Trackigを懸念するユーザの中には、
既にブラウザの設定等によりCookieを遮断している人も存在しますが、
一般にはCookieの存在を意識せずブラウジングしている人も多いのではないでしょうか。
そういった意味でも管理画面上からCookieを無効化することできるのは良いことだと思います。

行動ターゲティング広告は何かと懸念が多いことも事実で、
業界などでのルール決めや利用ポリシーを明示することが大切ではないでしょうか。

プライバシーマークが携帯電話用のウェブサイト（以下、「携帯用サイト」）を運用開始しました。

「携帯電話サイトを対象とした｢プライバシーマーク付与事業者 検証・認証システム｣の運用開始について」（2009.3.6）

プライバシーマーク推進センターは、携帯電話サイト用の｢プライバシーマーク付与事業者検証・認証システム｣の運用を開始いたしましたのでご案内いたします。

本システムは、(1)携帯電話版プライバシーマーク制度ウェブサイト(http://privacymark.jp/mobile/) の付与事業者検索画面（図1）に付与事業者名（｢よみがな｣ではなく、漢字等の名称）または認定番号を入力することで、プライバシーマーク推進センターに登録されている付与事業者の情報（付与事業者名、認定番号、有効期間、所在地）を表示（図2）する検証機能（部分一致検索）及び(2)付与事業者の携帯サイト画面上のプライバシーマーク画像をクリックすることで携帯電話版プライバシーマーク制度ウェブサイトにリンクし、同様の付与事業者情報を表示する認証機能の２つの機能があります。

URLは、http://privacymark.jp/mobile/
※PCのブラウザからでも閲覧できるようです。

個人的には、「やっとか」という思いです。
マーク取得事業者の中には、携帯用サイトで個人情報を取得する事業者も少なくないことでしょう。
何故、ここまで時間がかかったのでしょうか…。
TRUSTeは、3年くらい前から携帯専用の認証ページを設けていたと記憶しています。

今後、携帯用サイトは、これまで以上に厳しく審査されるかもしれません。
安全管理はもちろん、利用目的の明示等がきちんと実施されているかも、
今一度確認してみるとよいでしょう。

携帯用サイトには、契約者固有IDの通知問題があります。
特に、契約者固有IDと個人情報を同時に取得する場合には、
その利用目的を明示することが大切になると思います。
（仮に、契約者固有IDのみの取得でも、説明をした方が良いでしょう。）

契約者固有IDは、消去が可能なCookieとは異なり、通常固定的に使用されるもので、
Trackingに強い懸念を表す人がいるのも事実です。

以前、こちらでご紹介した「疑似個人情報」に新バージョンが誕生したようです。

People to People Communications 株式会社
「新たに架空のクレジットカード番号・銀行口座番号を追加した『 疑似個人情報 ver.2 』の販売を開始」 （2009/2/18）

データ項目にクレジットカード番号と銀行口座番号が追加され、
住所の区切りを自由に変更できるなどの変更もされているそうです。

旧バージョンの購入者を対象には、無償でアップグレードを実施している模様です。

以前に、こちらの記事でメールアドレスが個人情報となり得る可能性について触れました。
事業者は特電法だけでなく、個人情報保護法を意識した運用が求められます。
利用目的の特定や（個人情報の）開示等の体制は整っているでしょうか。

同じ視点で、「All-in-one INTERNET magazine 2.0」（インプレスビジネスメディア）に、
以下の記事が掲載されていたのでご紹介します。

「情報漏えいを防ぐために最低限知っておきたい個人情報保護のポイント―メールマーケティング特集(8)」

あらかじめ利用目的をできるだけ特定し、その利用目的の達成に必要な範囲内でのみ個人情報を取り扱うことが定められている。すなわち、ユーザーから取得した個人情報の取扱いはそのあらかじめ特定された利用目的を超えることはできない。たとえば、プレゼントの発送目的で取得したメールアドレスに、キャンペーン情報などを送ることはNGである。

事前に許諾を得た目的外での利用をする場合は、改めて本人の同意を取得する必要がある。しかし、登録者全員から同意を取り直すことは事実上不可能であり、なおかつオプトアウト※方式での同意の取得は認められていない。また、担当者としては、別の利用が発生することを想定した抽象的・一般的な利用目的を記載したいところではあるが、「事業活動に用いるため」などでは利用目的を特定したことにはならない点にも注意が必要だ。

※オプトアウト　ユーザの事前承諾なしに一方的にメールを送り、拒否の通知をした者に対してのみ再送信を禁止する方式。

ユーザーはメールマガジンを解除しようとする際に、直接配信元のアドレスに返信して問い合わせることもできるが、メールのフッター部分に手続き方法を記載するのが一般的である。また、問い合わせがあった場合に効率よく対応できるように、対応フローを社内で確立しておく必要があるだろう。加えて、個人情報の取得から廃棄までの流れが明確にわかるような体制作りも必須と言える。いざ問い合わせを受けた時に回答に困らないためにも、個人情報がどのように管理されているのかを把握しておく必要があるからだ。特に苦情対応の場合は、顧客満足度の点からも、問い合わせを受けてから回答するまでのスピードが重要となってくる。問い合わせ窓口の設置、役割分担の明確化、対応手順などをマニュアル化しておくことが望ましい。

その他にもメールマーケティングの視点からユーザーに不快感を与えない工夫などにも触れられており
非常に整理された内容となっています。

一般ユーザーににとってみれば、法令を特別に意識している訳ではないでしょうが、
自身の情報を適切に取り扱ってほしいという思いは当然あるはずです。

事業者はコンプライアンスに加え、マーケティングの視点からも
ユーザーの安心感を得るような運用が大切だと思います。

以前に、ここで紹介した
「経済産業分野を対象とする個人情報保護ガイドラインに関する説明会」に参加してきました。
会場は1,000人くらいは集まっていたようで、ほぼ満員でした。

途中からの参加で、前半のDVDは見られませんでしたが、
経産省の担当者と大塚商会の取り組みについての話しは、傍聴できました。

経産省担当者のガイドラインの解説ですが、ガイドラインの変更に伴うものではなかったので
予想通り目新しいものはありませんでした。

経産省ガイドラインは改定するのか？　改定するならその時期はいつか？
という質問については、

• 昨年春の「基本方針」と「施行令」の改定
• パーソナル情報研究会の報告

の2つをトリガーとして、今後改定を検討しているが
時期は現段階では明言できない。

とのことです。

その他会場からは、子供から個人情報を取得する場合の「子供」の定義や、
金融機関に情報を委託する場合の、監督責任などについて質問がでていました。

「経済産業分野を対象とする個人情報保護ガイドライン」は
本年の2-3月頃には改定されない模様です。

これまで、経産省は個人情報保護法の施行後、2回にわたって
「経済産業分野を対象とする個人情報保護ガイドライン」と
「個人情報保護ガイドライン等に関するQ＆Ａ）」
を改定してきました。

これまでは2－3月頃に改定があり、あわせて改定ガイドラインの説明会があるので、
今年もそろそろかなと思ってましたが、少なくともこの時期には改定されないようです。
（経産省の担当者がそういっていた。）

ただ、パーソナル情報研究会では、既に共同利用などについて議論されていますし、
もう少し後に改定があるかもしれません。

なお、説明会は開かれる予定ですね。
東京、大阪会場はすでにいっぱいですが、その他の地方都市はまだ空きがあります。
現状のガイドラインについての説明がメインらしいので、目新しいものは少ないかもしれません。
ご希望の方はお早めにどうぞ。

ところで、東京、大阪会場がすぐに席が埋まってしまうのには理由があるのでしょうか。
JIPDECのHPから、都道府県別のPマーク取得事業者の割合をみると、
全Pマーク取得事業者数は、10,022社(2009.2.12現在)で、
首都圏のPマーク取得事業者数は5,780社なので、全体の約58％になり、
その比重がかなり大きいことがわかります。

東京　　　　 4,961
神奈川　　　　410
埼玉　　　　　257
千葉　　　　　152
————————–
計　　　　　　5,780

大阪は、1,150社で、首都圏とあわせると全体の約70％を占める計算になります。

とある大手事業者の担当者が、
「首都圏、大阪以外の個人情報保護の体制は
まだまだ未整備な部分が多く、個人情報を含む業務を発注する際は苦慮する。」
と言っていたのを思い出します。

Pマーク取得事業者の分布が、それを反映しているかもしれません。

前々回で、オンライン広告への懸念にふれましたが、 米国では、これを背景とした消費者団体と業界団体との綱引きが現在も続いています。 つまり、法による規制や公的機関の介入を望む消費者団体と それをロビー活動や自主規制などにより回避したい業界団体という構図です。

一例として、japan.internet.comの記事はそれを顕著に表わしています。

「Web 広告のプライバシー保護、自主規制案に賛否」（2008.4.14）

行動ターゲティング型オンライン広告に関する米連邦取引委員会 (FTC) への意見提出が、11日に期限を迎えた。データ収集と消費者プライバシーの観点から物議を醸しているこの問題に対しては、賛否両論から数多くの意見が寄せられた。 意見の募集対象となっていたのは、FTC が2007年12月20日に発表した一連の自主規制案だ。そのちょうど同じ日、FTC は Google と DoubleClick の合併を無条件に承認し、合併に反対してロビー活動を行なっていた多くのプライバシー擁護派を失望させた。

しかし今回、自主規制案に対して Web 関連企業や業界団体、公益団体から寄せられた意見を見ると、消費者のプライバシー保護をオンライン広告業者の自主努力に任せてよいのか、それとも成長著しいこの業界には政府の規制が必要なのかといった、より広範な問題に触れたものとなっている。

「CDT、NebuAd のターゲット広告について法律違反の可能性を指摘」（2008.7.10）

新興企業 NebuAd については、インターネット サービス プロバイダ (ISP) から収集した Web 閲覧データをもとにターゲットを絞り込む広告手法が論議を呼んでいる。こうした報道に追い打ちをかけるように、デジタル時代の民主的価値の擁護を掲げて活動する Center for Democracy and Technology (CDT) は8日、NebuAd の手法が法に触れる可能性があるとするレポートを発表した。

「オンライン広告のプライバシ問題、米上院も関心」（2008.7.10）

インターネット広告におけるプライバシ問題に対して、米国政府でも懸念する声が強まりつつある。そんな中、行動分析型ターゲット広告を手がける NebuAd の CEO (最高経営責任者) Bob Dykes 氏は9日、米上院商業委員会の公聴会において、同社の事業内容に対する批判について反論した。 Dykes 氏は、個人を特定可能ないかなる情報も収集していないとした従来の主張を繰り返し、次のように語った。「NebuAd のシステムは、何人たりとも、たとえ政府でさえも、ユーザーの身元を特定できない仕組みになっている。当社がユーザーに対し、オプトアウトの機会や十分な情報を提供していないとか、当社がユーザーの Web トラフィックをすべて収集しているといった批判は、まったく正確を欠くものだ」

＜中略＞

Google のプライバシ問題上級顧問 Jane Horvath 氏と、Microsoft の次席法務顧問 Mike Hintze 氏は、両社における自主規制支持の姿勢を繰り返し強調した。「Google は、プライバシ保護のための統一的フレームワークを確立し、悪質な業者の処罰手続きを規定する、包括的なプライバシ保護法の制定を支持する」と Horvath 氏は語った。 両社が支持を表明しているのは、顧客データの管理に関してあらゆる業界に適用されるような、プライバシに関する連邦法だ。そして両社が思い描く法律は、オンライン広告業界のみを対象とした要件を含まないものだ。

「米下院委員会、オンライン広告に関するプライバシー調査を拡大」（2008.8.5）

米下院のエネルギーおよび商業対策委員会委員会は、行動ターゲティング型オンライン広告がプライバシーに与える影響の調査を拡大している。同委員会は現在、30を超える大手インターネット企業に対し書簡を送り、情報の収集方法や消費者の個人情報を保護するために各社が採用している措置について、詳細を明らかにするよう求めている。

＜中略＞

今回の書簡はオンラインプライバシーに関する議論の極めて重要な論点を再び取り上げるもので、 個人の健康や家計の状況といった取り扱いに注意を要する問題について、どんな情報を収集するのか、消費者に対してどんな種類の通知を提示し、情報はどれくらいの期間保存されるのかについて尋ねている。 書簡ではさらに、企業に対し、行動ターゲティングの実施手法の合法性を判断するために用いたあらゆる法的分析についても、詳細を提供するよう求めている。

前々回と繰り返しになりますが、 日本ではオンライン広告によるターゲティングの手法に関しては、 目立った形での活動は見受けられません。（消費者団体側、業界団体側ともに）

一般には、こういった流れは、
問題（懸念）の発生　⇒　消費者による規制の声　⇒　業界団体の自主規制
という順番なので、問題を問題であると消費者が自覚しないとムーブメントもおこりませんが。

青少年向けのウェブコンテンツに関しては、 青少年ネット規制法が成立しましたが、その規制は緩やかなもので、 業界団体としてモバイルコンテンツ審査・運用監視機構（EMA）や インターネット・コンテンツ審査監視機構（IROI）が設立され、自主規制の姿勢を示しています。

現状の日本では、オンライン広告による企業の情報収集は、 各事業者のポリシーに委ねられているという状況です。

前回からの続きで、Data Privacy Dayについて。

アメリカ、カナダと欧州27カ国の公的機関や企業は1月28日に、
Data Privacy Day 2009と題したイベントを開催しました。

japan.internet.com 「広がる『International Data Privacy Day』の輪」（2008.1.29）

米国議会下院は世界的なデータ プライバシー認識の動きに呼応し、1月28日を『National Data Privacy Day (全米データプライバシーの日)』と定める法案を承認した。いくつかの州でも、同日をデータ プライバシーの日に認定する動きを示していた。

こうした動きは、国家レベルだけではない。教育者やプライバシー専門家らが、13歳未満の子供やティーンエイジ世代や若い成人たちとともに、プライバシーやデータ保護に関する討論会を催したり、ソーシャルネットワークの Facebook がデータプライバシーの日専用サイトを設けるといった取り組みもある。

米国が『International Data Privacy Day』に参加して、今年で2年目を迎える。昨年の活動は、Intel、Microsoft、Google、Oracle、IBM、Procter ＆ Gamble、Quintiles が資金面で援助した。

記事の内容の通り、IT系の大手企業も参加していて、Intelはを啓発用のサイトを公開しています。

情報はインターネットを介して、容易に国境を超えることを考えると
IT系のグローバル企業がこのような取り組みをすることに意義があると感じます。
ここに、日本が入っていないのが残念でもありますが…。

Google社は、これまでプライバシー問題について、
度々、欧米の消費者保護団体と衝突してきました。

過去を振り返ると、

• 検索ページトップへのプライバシーポリシーのリンク設定
• サーバー・ログの保存期間と匿名化
• DoubleClick社の買収によるログの統合
• Google Street View及びGoogle Earthに関するプライバシー
• ブラウザChromeによるデータ収集

などが挙げられます。

昨日も以下の記事が報道されました。

ITpro　「米消費者保護団体，医療情報のプライバシ保護を米議会に要求 」（2009/01/28）

米国の消費者保護団体Consumer Watchdogは米国時間2009年1月27日，医療記録の売買を防ぐために法の抜け穴をふさぎ，プライバシの保護規制を強化するよう，米国議会に呼びかけた。

同団体によると，米Googleは景気を刺激するための「Economic Stimulus Act（経済活性法）」の改正案において，医療記録の売買禁止条項を弱めるよう，ロビー活動を行う予定だという。同団体は，Googleが同社のオンライン医療情報管理サービス「Google Health」で収集した個人の情報を広告主に販売できるように、議会に働きかける意向だと主張している。

（略）

これに対してGoogle社は、販売を否定しています。

日本でも、Google Street Viewがサービスアップされた当初に、
一部マスコミがその問題点について報じましたが、
消費者保護団体が、積極的に活動したという情報は耳にしません。
日本の消費者は、この点に無頓着なのでしょうか…。

この背景には、オンライン上の行動ターゲティング行為に対する
懸念の違いがあると思われます。

ちなみに、北米と欧州の一部では、本日1/28をData Privacy Dayとして、
業界を中心とした大規模な啓発活動が行われています。
消費者の発する懸念に対して、業界側も自助努力の姿勢を示していると思われます。

このあたりの動きはまた次回で触れたいと思います。