月別の記事 2009年 01月

Google社は、これまでプライバシー問題について、
度々、欧米の消費者保護団体と衝突してきました。

過去を振り返ると、

• 検索ページトップへのプライバシーポリシーのリンク設定
• サーバー・ログの保存期間と匿名化
• DoubleClick社の買収によるログの統合
• Google Street View及びGoogle Earthに関するプライバシー
• ブラウザChromeによるデータ収集

などが挙げられます。

昨日も以下の記事が報道されました。

ITpro　「米消費者保護団体，医療情報のプライバシ保護を米議会に要求 」（2009/01/28）

米国の消費者保護団体Consumer Watchdogは米国時間2009年1月27日，医療記録の売買を防ぐために法の抜け穴をふさぎ，プライバシの保護規制を強化するよう，米国議会に呼びかけた。

同団体によると，米Googleは景気を刺激するための「Economic Stimulus Act（経済活性法）」の改正案において，医療記録の売買禁止条項を弱めるよう，ロビー活動を行う予定だという。同団体は，Googleが同社のオンライン医療情報管理サービス「Google Health」で収集した個人の情報を広告主に販売できるように、議会に働きかける意向だと主張している。

（略）

これに対してGoogle社は、販売を否定しています。

日本でも、Google Street Viewがサービスアップされた当初に、
一部マスコミがその問題点について報じましたが、
消費者保護団体が、積極的に活動したという情報は耳にしません。
日本の消費者は、この点に無頓着なのでしょうか…。

この背景には、オンライン上の行動ターゲティング行為に対する
懸念の違いがあると思われます。

ちなみに、北米と欧州の一部では、本日1/28をData Privacy Dayとして、
業界を中心とした大規模な啓発活動が行われています。
消費者の発する懸念に対して、業界側も自助努力の姿勢を示していると思われます。

このあたりの動きはまた次回で触れたいと思います。

これまでも、子供のウェブサイト利用について、プライバシーの観点からTopicを紹介してきました。
それでは、子供をウェブの危険から守るうえで、有効な方法は何なのでしょうか。

1年以上前の記事になりますが、
CNET JAPANに「子どものオンラインセキュリティ–年齢別の対策のヒント」(2007/05/02)
で、具体的な方法がガイドラインとして紹介されています。

例えばプライバシーに関する方法だと、

7歳以下
子どもに個人情報の送信、ブログ、一般のサイトへの電子メール送信は、親の監督なしでは許さない。

8歳から10歳
子どもにオンライン上で何が共有していい情報で、何が誰とも共有してはならない情報かを理解させる。

10歳から12歳
子どもがIMや電子メールツールに設定する可能性のある「不在メッセージ」に注意する。このメッセージは、子どもがオフラインの場合にIMや電子メールでコンタクトを取ってきた人に対して自動的に送られるようにプログラムされている。不在メッセージに電話番号やメールアドレスが含まれていないことを確認すること。

16歳以上
子どもにオンラインで個人情報を共有することと知らない人にオフラインで会うことの危険について話す。

などです。

また、総務省や文科省を中心とした、「eネットキャラバン」では、
保護者及び教職員を主な対象に、講座形式でインターネットの安心・安全利用の啓発活動を行っています。
保護者等を通じて間接的に、子供の安全を守ることを意図しています。

以前に、当協会でウェブの安全な利用についてアンケートを実施した際に、
効果的な取り組みについて多数の意見を集めたのは、以下の2つでした。

1. 自衛
2. 法による規制強化

1.と2.は両輪として取り組むべき事項だと思いますが、
2.は、テクノロジーの進歩による新しいサービスに対応しきれない部分もありますし、
一般に社会的要請から法制化までに時間がかかります。

まずは、ユーザー自身が適切な知識を身につけて、自衛することが大切かと思います。

ウェブサイトでは、サイト運営者などによりユーザーの動向調査や
ログイン管理等のためにCookieという技術が使用されることがあります。

ユーザーがウェブサイトを閲覧する際は、通常Cookieの存在が意識されることはありません。
Cookieは個人情報と紐づけることも可能で、プライバシーの領域にも関与してくる場合があります。

オンライン広告代理店などはマーケティングの手法として、
媒体となるウェブサイトにクライアントのバナー広告などを出稿し、
あわせてCookieをセットして効果測定を行うということが一般的に行われています。

つまり、閲覧されるウェブサイトの運営者のみならず、第三者のCookieによっても
何かしらの情報が取得される可能性があるのです。
※第三者のサーバーによるCookieを、第三者Cookieと呼びます。

情報の精度にもよりますが、無意識のうちにユーザーの閲覧状況などの情報が
取得されることに懸念を抱く人がいることも事実で、
米国では過去にCookieを使用することの合法性について議論されたことがありました。

この様な背景もあって、現在ではウェブサイト上のプライバシーポリシー等で、
Cookieについての記述を頻繁に見かけるようになりました。

もちろん個人情報保護法の影響も大きいと思いますが、
その他にも、プライバシーマークの規格であるJIS15001：2006に
“本人が容易に認識できない方法によって個人情報を取得する場合…”
としてCookieが具体例としてあげられていることも関係していると思われます。

次世代電子商取引推進協議会（ECOM）では、協議会に所属する会員企業112社を調査対象とする
「ホームページ上におけるプライバシーポリシー等の表記状況調査」の中で、
Cookieの使用に関する記載状況を報告しています。

「ホームページ上におけるプライバシーポリシー等の表記状況調査」（2008.8）（PDF）
2（4）クッキーの使用に関する記載

Cookieに関する記載は、よく見かけるようになったものの、
この調査では、「使用している」と回答したのは6割弱という結果です。

また、「使用していない」という回答はがわずか1％ですが、これは注目に値します。
仮に、Cookieを「使用していない」場合であっても、その他の事業者がCookieを使用し
そのことに懸念を感じるユーザーが存在する以上、
プライバシーポリシー等に「Cookieは使用していない」と記載することが
ユーザーの安心につながると思われるからです。

最後に、「表記なし」の回答者が

1. Cookieの使用を自覚しているが記載していない。
2. Cookieの使用を自覚していないので記載していない。

のいずかまでは分かりません。

特に2.場合は、ウェブの管理を外部に委託したり、
ASPを使用したりしてCookieの使用を自覚していないケースや
前述の、他社の広告による第三者Cookieを把握していないケースも考えられます。
もし、Cookieの使用を自覚しているのであれば、積極的な記載をお願いしたいと思います。

以前にここでも紹介したWeb　Bugなどもそうですが、
ユーザーにとってプライバシー上の懸念となり得るものは、
その使用の有無や状況を積極的に伝えていくべきだと思います。

前々回、前回からの続きです。

その後、登録解除を求めて運営事業者と以下のやりとりをしました。

1. メールにて登録解除を要求（サイトA,B両方とも）　⇒　運営事業者より対応完了とのメールを受信　⇒　その後も広告・宣伝メールを受信し続ける
2. 電話にて再度解除を要求　⇒　　オペレーターから応済済であるとの回答を得る　⇒　その後も広告･宣伝メールを受信し続ける
3. メールにて上記経緯を説明（依然として送信され続けられる広告･宣伝メールを添付）　⇒　運営事業者からメールにて2重登録による規約違反であることが告げられる　⇒　広告･宣伝メールがストップ

なお、運営事業者からの3.の返信には、
規約違反によりDBサーバのシステム利用料が科せられる旨の記述がありました。
もちろん、利用規約にはそのような条項は一切存在しません。

ユーザーの中には、こういった手口に引っ掛かり、誤って料金を支払うケースもあるのではと思います。
出会い系サイトAは、プライバシーポリシーの記述やSSLの取得により、
ユーザーにある種の安心感を与えていたとも思えます。

プライバシーポリシーは自己宣言であり、SSLも通信の暗号化やサーバ証明などを担保するもので
必ずしもサービス内容の安全性を保証するものではないということです。
（※もちろんこれら取り組み自体は有意義なものですが。）

この運営事業者は何となく安心な雰囲気を作り、巧妙にユーザーを騙していたのかもしれません。

改正特商法（メール規制部分）は、
「電子メール広告をすることの承諾・請求の取得等に係る「容易に認識できるよう表示していないこと」に係るガイドライン」（PDF）
により、この種の手口を図解付きで違反の可能性があるとしています。

（２）いわゆる懸賞サイトや占いサイト等における承諾の取り方

①以下のような場合は、一般に、｢容易に認識できるように表示していないこと｣に該当しないと考えられる。
○ いわゆる懸賞サイトや占いサイト等にメールアドレスを記入させることを条件の一つとして、様々なサービスを無料で提供しているサイトにおいて、関連サイトからの広告メール送信がある旨又は無料情報サービスに付随して広告メールを送信することがある旨の承諾を得る場合において、メールアドレスを記入することが、関連サイトからの電子メール広告を受けることの承諾となることを消費者が認識しやすいように明示（例えば、全体が白色系の画面であれば、赤字（対面色）で表示）され、かつ、特に関連サイトからのメール送信の場合には、当該関連サイトのホームページアドレスに加えて、当該関連サイトのカテゴリーを併記するか、サイト名又は送信者名を併記するなどして、当該サイトがどのような内容のものか具体的に認識できるように表示されている場合。（画面例３）

②以下のような場合は、｢容易に認識できるように表示していないこと｣に該当するおそれがある。
○ 関連サイトについて単に姉妹サイト一覧と表示されているのみで、クリックしないとどのようなサイトか消費者に認識できず、かつ関連サイトのアドレスから想定される内容が実際の内容とは全く異なっており、いわゆるアダルトサイトなど、表示からは想定されないようなところからの広告メールの送信を承諾したこととなってしまう場合。（画面例４）

※画面例については各自で確認をしてみて下さい。

今後、改正法の影響もさることながら、ユーザーの意識が啓発されて
被害が減少することを願うばかりです。

前回からの続きで、もう少し詳細を述べると、

出会い系サイトAは、「完全無料」を前面にして会員を募集していました。
登録の条件は、ニックネーム、メールアドレス、簡単なプロフィールを入力するだけ。
広告の類は全くないことから、広告収入によるビジネスモデルではないらしい。
（この時点でかなり怪しいが…。）

サイト内には利用規約、プライバシーポリシーが存在し、SSLは取得済み。
規約の中には運営事業者の所在や電話番号、代表者名も明記されていました。

登録後15分程で、見知らぬドメインからのメールを受信しました。
そのメール内のリンクが誘導するサイトに遷移すると、そこは出会い系サイトBで、
運営者は出会い系サイトAと同じでした。

出会い系サイトBは「有料」で、気に入った相手に返信する場合は、
料金を支払うことが条件となっています。
特定の相手との送受信は、サイト内のマイページを経由する仕組みになっており、
その過程で料金を徴収する仕組みになっているのです。

その以降、出会い系サイトBからは、毎日20~30通のメールが送信されてきました。
出会い系サイトAからは1通も来ません。

お分かりのように、無料の出会い系サイトAをエサにして
有料の出会い系サイトBのサービスを受けさせるという手口だったのです。

もちろん出会い系サイトA、Bともに、そのような説明はありませんでした。

その後、登録解除に至るまでの経緯は、また次回に。

昨年末近くに、（財）日本データ通信協会　迷惑メール相談センターから、
「違反メール情報提供受付状況」が公表されました。
実施期間は、平成20年1月～11月となっていますので、
ちょうど改正特電法が施行される前までの統計となっています。

統計によれば、月間30～40万通もの違法メールが、日本データ通信協会に報告されています。
法改正がこれらの統計値にどの程度の影響を与えるか、注目したいところです。

また、同統計にあるグラフをみると“出会い系広告”の割合が極めて高いことが分かります。

「月別違反情報のメールの、広告・宣伝の内容別比率の推移」　平成20年1月～11月
※一部加工

日本では、かねてより出会い系に関する広告宣伝メールの割合が高い傾向にあります。

実際に、当協会のspamフォルダに溜まるのは、
ほぼ出会い系 or アダルト系広告のどちらかなので、この報告は合点がいきます。

当協会HP内の「特定電子メールについて考える　第二回」でも述べたのですが、
以前に、当協会において出会い系サイトに登録したことがありました。

サイト上では、無料登録を前面に宣伝しながらも
別の有料サイトにも二重登録される仕組みとなっており、
1日数十通の未承諾メールが送信されるといったことがありました。
業者に登録の解除を要求しても、あの手この手で対応しないというひどい有様でした。

このあたりについては、経済産業省が改正特商法（メール部分）のガイドラインにも触れられており、
次回以降に具体的な内容お伝えしたいと思います。

以前こちらで、プライバシーポリシーの内容は読み手にとって分かりやすい表現が必要であると述べました。

では、プライバシーポリシーへのアクセスについてはどうでしょうか。
内容を分かりやすくしたり、Multi-layered privacy notice方式を採用するなどの
表現の工夫はもちろん大切ですが、そもそもアクセスされないと意味がありません。

ウェブサイトでの個人情報の取得を考えた場合、
個人情報保護法に従えば、少なくともユーザーに対して利用目的はあらかじめ「明示」する義務があります。
「明示」とはユーザー本人が目視によりその内容を確認する方法と考えられます。

では、ユーザーにとってアクセスしやすいプライバシーポリシーとは何でしょう。

マーケティングの観点から述べられた以下の記事は参考になるでしょう。

申し込みフォームを使いやすくして途中であきらめる人を減らす具体的な方法論【後編】
All-in-One INTERNET magazine 2.0　ジョナサン・ブラウン　「カスタマーエクスペリエンスで道は開ける」

日本では、個人情報の漏洩を心配している消費者が多くいます。法律で、ウェブサイトで個人情報を集める（入力してもらう）ページにプライバシーポリシーのリンクを載せないといけないとしていますが※2、多くの日本企業はそのプライバシーのリンクをフッターの中に非常に小さな文字で入れています。それは、個人情報保護法に対しては問題ないかもしれませんが、お客様の不安を取り除く役割は果たしていません。

※2　「個人情報の保護に関する法律」の第18条で、個人情報を直接取得する場合、あらかじめ本人に対して利用目的を明示する必要があるとしている。

記事の内容の通り、ウェブサイトにおいて利用目的を含むプライバシーポリシーは、
フッター等に小さな文字でリンクされているだけのケースが散見されます。

法令遵守の観点のみならず、ユーザーから安心して情報を入力してもらえることを考慮すれば

1. 入力フォームのすぐそばの目立つ位置に、プライバシーポリシーのリンクを設定する
2. プライバシーポリシーを必ず読んでから、入力フォーム画面に遷移させるスキームにする
3. 重要項目については、プライバシーポリシーから抜粋して入力フォーム画面と同一ページに明示する
4. プライバシーポリシーはウェブサイトのトップページにもリンクを設定して、入力完了後にいつでも容易に内容を確認できるようにする

などの方法は必要に応じて導入するべきだと思います。

とりわけ、2.はあらかじめ利用目的を明示するという法の義務を果たすうえで、有効な方法でしょう。

法は事業者にとって最低限の内容を示したものであり、
その他の必要な事柄は、ユーザーへの配慮やサービス形態などに合わせて
工夫をしていくことが大切だと思います。

遅ればせながら、新年あけましておめでとうございます。
少しずつですがこちらのページも更新していきたいと思っています。
本年もよろしくお願いします。

年初草々ですが、個人情報漏えい事件のニュースが相次いて報道されています。

1月5日　ScanNetSecurity　記事
業務連絡FAXの誤送信で個人情報が流出（WOWOW）

1月5日　ScanNetSecurity　記事
IPA職員の個人用PCがウイルス感染、PC内の情報が流出（IPA）

1月6日　ScanNetSecurity　記事
元社員、285件の顧客情報を持ち出し不正利用（旭化成ホームズ）

とりわけ、IPAの漏えい事件はファイル共有ソフトの利用によるものであり、

IPAは過去に、「コンピュータウイルス・不正アクセスの届出状況[11月分]について」（2007.12）の中で

（前略）ファイル共有ソフトによる情報漏えいは、思いがけないことで起きることが想定されますので、いくら注意をしてもファイル共有ソフトを利用し続ける限りは、情報漏えい事故はなくなりません。
このため IPA では従来から「ファイル共有ソフトを使用しないで下さい」と呼びかけておりますが、再度注意喚起をします。

と述べていました。

IPAの理事は会見の中で以下の発言をしています。

IPA職員の私物PCからの情報流出、事実関係を説明 NewsInsight　記事

「IPAではセキュリティ対策を推進しており、特にファイル交換ソフトの利用については、ウイルス感染によってPC内の情報がインターネットにさらされる危険性を訴えてきた。そして、その危険を避けるために一番いい方法はファイル交換ソフトを使わないことだと啓蒙してきた。こういう事態はIPAとして慚愧（ざんき）に堪えず、非常に遺憾だ」と述べた。

情報セキュリティについてこれまで広く啓発活動を行ってきた機関だけに
非常に残念な思いです。

============================================================================

■ 2009/1/8 追記
流出した情報の詳細が報道されました。

「西武百貨店の従業員情報約6300人分が流出 - IPA職員の流出事故で」 2009/1/8　Security NEXT　記事
「IPA職員の自宅私物パソコンによる当社の情報の流出について」（PDF）　2009/1/7　西武百貨店　リリース