「経済産業分野を対象とする個人情報保護ガイドライン」は
本年の2-3月頃には改定されない模様です。

これまで、経産省は個人情報保護法の施行後、2回にわたって
「経済産業分野を対象とする個人情報保護ガイドライン」と
「個人情報保護ガイドライン等に関するQ＆Ａ）」
を改定してきました。

これまでは2－3月頃に改定があり、あわせて改定ガイドラインの説明会があるので、
今年もそろそろかなと思ってましたが、少なくともこの時期には改定されないようです。
（経産省の担当者がそういっていた。）

ただ、パーソナル情報研究会では、既に共同利用などについて議論されていますし、
もう少し後に改定があるかもしれません。

なお、説明会は開かれる予定ですね。
東京、大阪会場はすでにいっぱいですが、その他の地方都市はまだ空きがあります。
現状のガイドラインについての説明がメインらしいので、目新しいものは少ないかもしれません。
ご希望の方はお早めにどうぞ。

ところで、東京、大阪会場がすぐに席が埋まってしまうのには理由があるのでしょうか。
JIPDECのHPから、都道府県別のPマーク取得事業者の割合をみると、
全Pマーク取得事業者数は、10,022社(2009.2.12現在)で、
首都圏のPマーク取得事業者数は5,780社なので、全体の約58％になり、
その比重がかなり大きいことがわかります。

東京　　　　 4,961
神奈川　　　　410
埼玉　　　　　257
千葉　　　　　152
————————–
計　　　　　　5,780

大阪は、1,150社で、首都圏とあわせると全体の約70％を占める計算になります。

とある大手事業者の担当者が、
「首都圏、大阪以外の個人情報保護の体制は
まだまだ未整備な部分が多く、個人情報を含む業務を発注する際は苦慮する。」
と言っていたのを思い出します。

Pマーク取得事業者の分布が、それを反映しているかもしれません。

前々回で、オンライン広告への懸念にふれましたが、 米国では、これを背景とした消費者団体と業界団体との綱引きが現在も続いています。 つまり、法による規制や公的機関の介入を望む消費者団体と それをロビー活動や自主規制などにより回避したい業界団体という構図です。

一例として、japan.internet.comの記事はそれを顕著に表わしています。

「Web 広告のプライバシー保護、自主規制案に賛否」（2008.4.14）

行動ターゲティング型オンライン広告に関する米連邦取引委員会 (FTC) への意見提出が、11日に期限を迎えた。データ収集と消費者プライバシーの観点から物議を醸しているこの問題に対しては、賛否両論から数多くの意見が寄せられた。 意見の募集対象となっていたのは、FTC が2007年12月20日に発表した一連の自主規制案だ。そのちょうど同じ日、FTC は Google と DoubleClick の合併を無条件に承認し、合併に反対してロビー活動を行なっていた多くのプライバシー擁護派を失望させた。

しかし今回、自主規制案に対して Web 関連企業や業界団体、公益団体から寄せられた意見を見ると、消費者のプライバシー保護をオンライン広告業者の自主努力に任せてよいのか、それとも成長著しいこの業界には政府の規制が必要なのかといった、より広範な問題に触れたものとなっている。

「CDT、NebuAd のターゲット広告について法律違反の可能性を指摘」（2008.7.10）

新興企業 NebuAd については、インターネット サービス プロバイダ (ISP) から収集した Web 閲覧データをもとにターゲットを絞り込む広告手法が論議を呼んでいる。こうした報道に追い打ちをかけるように、デジタル時代の民主的価値の擁護を掲げて活動する Center for Democracy and Technology (CDT) は8日、NebuAd の手法が法に触れる可能性があるとするレポートを発表した。

「オンライン広告のプライバシ問題、米上院も関心」（2008.7.10）

インターネット広告におけるプライバシ問題に対して、米国政府でも懸念する声が強まりつつある。そんな中、行動分析型ターゲット広告を手がける NebuAd の CEO (最高経営責任者) Bob Dykes 氏は9日、米上院商業委員会の公聴会において、同社の事業内容に対する批判について反論した。 Dykes 氏は、個人を特定可能ないかなる情報も収集していないとした従来の主張を繰り返し、次のように語った。「NebuAd のシステムは、何人たりとも、たとえ政府でさえも、ユーザーの身元を特定できない仕組みになっている。当社がユーザーに対し、オプトアウトの機会や十分な情報を提供していないとか、当社がユーザーの Web トラフィックをすべて収集しているといった批判は、まったく正確を欠くものだ」

＜中略＞

Google のプライバシ問題上級顧問 Jane Horvath 氏と、Microsoft の次席法務顧問 Mike Hintze 氏は、両社における自主規制支持の姿勢を繰り返し強調した。「Google は、プライバシ保護のための統一的フレームワークを確立し、悪質な業者の処罰手続きを規定する、包括的なプライバシ保護法の制定を支持する」と Horvath 氏は語った。 両社が支持を表明しているのは、顧客データの管理に関してあらゆる業界に適用されるような、プライバシに関する連邦法だ。そして両社が思い描く法律は、オンライン広告業界のみを対象とした要件を含まないものだ。

「米下院委員会、オンライン広告に関するプライバシー調査を拡大」（2008.8.5）

米下院のエネルギーおよび商業対策委員会委員会は、行動ターゲティング型オンライン広告がプライバシーに与える影響の調査を拡大している。同委員会は現在、30を超える大手インターネット企業に対し書簡を送り、情報の収集方法や消費者の個人情報を保護するために各社が採用している措置について、詳細を明らかにするよう求めている。

＜中略＞

今回の書簡はオンラインプライバシーに関する議論の極めて重要な論点を再び取り上げるもので、 個人の健康や家計の状況といった取り扱いに注意を要する問題について、どんな情報を収集するのか、消費者に対してどんな種類の通知を提示し、情報はどれくらいの期間保存されるのかについて尋ねている。 書簡ではさらに、企業に対し、行動ターゲティングの実施手法の合法性を判断するために用いたあらゆる法的分析についても、詳細を提供するよう求めている。

前々回と繰り返しになりますが、 日本ではオンライン広告によるターゲティングの手法に関しては、 目立った形での活動は見受けられません。（消費者団体側、業界団体側ともに）

一般には、こういった流れは、
問題（懸念）の発生　⇒　消費者による規制の声　⇒　業界団体の自主規制
という順番なので、問題を問題であると消費者が自覚しないとムーブメントもおこりませんが。

青少年向けのウェブコンテンツに関しては、 青少年ネット規制法が成立しましたが、その規制は緩やかなもので、 業界団体としてモバイルコンテンツ審査・運用監視機構（EMA）や インターネット・コンテンツ審査監視機構（IROI）が設立され、自主規制の姿勢を示しています。

現状の日本では、オンライン広告による企業の情報収集は、 各事業者のポリシーに委ねられているという状況です。

前回からの続きで、Data Privacy Dayについて。

アメリカ、カナダと欧州27カ国の公的機関や企業は1月28日に、
Data Privacy Day 2009と題したイベントを開催しました。

japan.internet.com 「広がる『International Data Privacy Day』の輪」（2008.1.29）

米国議会下院は世界的なデータ プライバシー認識の動きに呼応し、1月28日を『National Data Privacy Day (全米データプライバシーの日)』と定める法案を承認した。いくつかの州でも、同日をデータ プライバシーの日に認定する動きを示していた。

こうした動きは、国家レベルだけではない。教育者やプライバシー専門家らが、13歳未満の子供やティーンエイジ世代や若い成人たちとともに、プライバシーやデータ保護に関する討論会を催したり、ソーシャルネットワークの Facebook がデータプライバシーの日専用サイトを設けるといった取り組みもある。

米国が『International Data Privacy Day』に参加して、今年で2年目を迎える。昨年の活動は、Intel、Microsoft、Google、Oracle、IBM、Procter ＆ Gamble、Quintiles が資金面で援助した。

記事の内容の通り、IT系の大手企業も参加していて、Intelはを啓発用のサイトを公開しています。

情報はインターネットを介して、容易に国境を超えることを考えると
IT系のグローバル企業がこのような取り組みをすることに意義があると感じます。
ここに、日本が入っていないのが残念でもありますが…。

Google社は、これまでプライバシー問題について、
度々、欧米の消費者保護団体と衝突してきました。

過去を振り返ると、

• 検索ページトップへのプライバシーポリシーのリンク設定
• サーバー・ログの保存期間と匿名化
• DoubleClick社の買収によるログの統合
• Google Street View及びGoogle Earthに関するプライバシー
• ブラウザChromeによるデータ収集

などが挙げられます。

昨日も以下の記事が報道されました。

ITpro　「米消費者保護団体，医療情報のプライバシ保護を米議会に要求 」（2009/01/28）

米国の消費者保護団体Consumer Watchdogは米国時間2009年1月27日，医療記録の売買を防ぐために法の抜け穴をふさぎ，プライバシの保護規制を強化するよう，米国議会に呼びかけた。

同団体によると，米Googleは景気を刺激するための「Economic Stimulus Act（経済活性法）」の改正案において，医療記録の売買禁止条項を弱めるよう，ロビー活動を行う予定だという。同団体は，Googleが同社のオンライン医療情報管理サービス「Google Health」で収集した個人の情報を広告主に販売できるように、議会に働きかける意向だと主張している。

（略）

これに対してGoogle社は、販売を否定しています。

日本でも、Google Street Viewがサービスアップされた当初に、
一部マスコミがその問題点について報じましたが、
消費者保護団体が、積極的に活動したという情報は耳にしません。
日本の消費者は、この点に無頓着なのでしょうか…。

この背景には、オンライン上の行動ターゲティング行為に対する
懸念の違いがあると思われます。

ちなみに、北米と欧州の一部では、本日1/28をData Privacy Dayとして、
業界を中心とした大規模な啓発活動が行われています。
消費者の発する懸念に対して、業界側も自助努力の姿勢を示していると思われます。

このあたりの動きはまた次回で触れたいと思います。

これまでも、子供のウェブサイト利用について、プライバシーの観点からTopicを紹介してきました。
それでは、子供をウェブの危険から守るうえで、有効な方法は何なのでしょうか。

1年以上前の記事になりますが、
CNET JAPANに「子どものオンラインセキュリティ–年齢別の対策のヒント」(2007/05/02)
で、具体的な方法がガイドラインとして紹介されています。

例えばプライバシーに関する方法だと、

7歳以下
子どもに個人情報の送信、ブログ、一般のサイトへの電子メール送信は、親の監督なしでは許さない。

8歳から10歳
子どもにオンライン上で何が共有していい情報で、何が誰とも共有してはならない情報かを理解させる。

10歳から12歳
子どもがIMや電子メールツールに設定する可能性のある「不在メッセージ」に注意する。このメッセージは、子どもがオフラインの場合にIMや電子メールでコンタクトを取ってきた人に対して自動的に送られるようにプログラムされている。不在メッセージに電話番号やメールアドレスが含まれていないことを確認すること。

16歳以上
子どもにオンラインで個人情報を共有することと知らない人にオフラインで会うことの危険について話す。

などです。

また、総務省や文科省を中心とした、「eネットキャラバン」では、
保護者及び教職員を主な対象に、講座形式でインターネットの安心・安全利用の啓発活動を行っています。
保護者等を通じて間接的に、子供の安全を守ることを意図しています。

以前に、当協会でウェブの安全な利用についてアンケートを実施した際に、
効果的な取り組みについて多数の意見を集めたのは、以下の2つでした。

1. 自衛
2. 法による規制強化

1.と2.は両輪として取り組むべき事項だと思いますが、
2.は、テクノロジーの進歩による新しいサービスに対応しきれない部分もありますし、
一般に社会的要請から法制化までに時間がかかります。

まずは、ユーザー自身が適切な知識を身につけて、自衛することが大切かと思います。

ウェブサイトでは、サイト運営者などによりユーザーの動向調査や
ログイン管理等のためにCookieという技術が使用されることがあります。

ユーザーがウェブサイトを閲覧する際は、通常Cookieの存在が意識されることはありません。
Cookieは個人情報と紐づけることも可能で、プライバシーの領域にも関与してくる場合があります。

オンライン広告代理店などはマーケティングの手法として、
媒体となるウェブサイトにクライアントのバナー広告などを出稿し、
あわせてCookieをセットして効果測定を行うということが一般的に行われています。

つまり、閲覧されるウェブサイトの運営者のみならず、第三者のCookieによっても
何かしらの情報が取得される可能性があるのです。
※第三者のサーバーによるCookieを、第三者Cookieと呼びます。

情報の精度にもよりますが、無意識のうちにユーザーの閲覧状況などの情報が
取得されることに懸念を抱く人がいることも事実で、
米国では過去にCookieを使用することの合法性について議論されたことがありました。

この様な背景もあって、現在ではウェブサイト上のプライバシーポリシー等で、
Cookieについての記述を頻繁に見かけるようになりました。

もちろん個人情報保護法の影響も大きいと思いますが、
その他にも、プライバシーマークの規格であるJIS15001：2006に
“本人が容易に認識できない方法によって個人情報を取得する場合…”
としてCookieが具体例としてあげられていることも関係していると思われます。

次世代電子商取引推進協議会（ECOM）では、協議会に所属する会員企業112社を調査対象とする
「ホームページ上におけるプライバシーポリシー等の表記状況調査」の中で、
Cookieの使用に関する記載状況を報告しています。

「ホームページ上におけるプライバシーポリシー等の表記状況調査」（2008.8）（PDF）
2（4）クッキーの使用に関する記載

Cookieに関する記載は、よく見かけるようになったものの、
この調査では、「使用している」と回答したのは6割弱という結果です。

また、「使用していない」という回答はがわずか1％ですが、これは注目に値します。
仮に、Cookieを「使用していない」場合であっても、その他の事業者がCookieを使用し
そのことに懸念を感じるユーザーが存在する以上、
プライバシーポリシー等に「Cookieは使用していない」と記載することが
ユーザーの安心につながると思われるからです。

最後に、「表記なし」の回答者が

1. Cookieの使用を自覚しているが記載していない。
2. Cookieの使用を自覚していないので記載していない。

のいずかまでは分かりません。

特に2.場合は、ウェブの管理を外部に委託したり、
ASPを使用したりしてCookieの使用を自覚していないケースや
前述の、他社の広告による第三者Cookieを把握していないケースも考えられます。
もし、Cookieの使用を自覚しているのであれば、積極的な記載をお願いしたいと思います。

以前にここでも紹介したWeb　Bugなどもそうですが、
ユーザーにとってプライバシー上の懸念となり得るものは、
その使用の有無や状況を積極的に伝えていくべきだと思います。

前々回、前回からの続きです。

その後、登録解除を求めて運営事業者と以下のやりとりをしました。

1. メールにて登録解除を要求（サイトA,B両方とも）　⇒　運営事業者より対応完了とのメールを受信　⇒　その後も広告・宣伝メールを受信し続ける
2. 電話にて再度解除を要求　⇒　　オペレーターから応済済であるとの回答を得る　⇒　その後も広告･宣伝メールを受信し続ける
3. メールにて上記経緯を説明（依然として送信され続けられる広告･宣伝メールを添付）　⇒　運営事業者からメールにて2重登録による規約違反であることが告げられる　⇒　広告･宣伝メールがストップ

なお、運営事業者からの3.の返信には、
規約違反によりDBサーバのシステム利用料が科せられる旨の記述がありました。
もちろん、利用規約にはそのような条項は一切存在しません。

ユーザーの中には、こういった手口に引っ掛かり、誤って料金を支払うケースもあるのではと思います。
出会い系サイトAは、プライバシーポリシーの記述やSSLの取得により、
ユーザーにある種の安心感を与えていたとも思えます。

プライバシーポリシーは自己宣言であり、SSLも通信の暗号化やサーバ証明などを担保するもので
必ずしもサービス内容の安全性を保証するものではないということです。
（※もちろんこれら取り組み自体は有意義なものですが。）

この運営事業者は何となく安心な雰囲気を作り、巧妙にユーザーを騙していたのかもしれません。

改正特商法（メール規制部分）は、
「電子メール広告をすることの承諾・請求の取得等に係る「容易に認識できるよう表示していないこと」に係るガイドライン」（PDF）
により、この種の手口を図解付きで違反の可能性があるとしています。

（２）いわゆる懸賞サイトや占いサイト等における承諾の取り方

①以下のような場合は、一般に、｢容易に認識できるように表示していないこと｣に該当しないと考えられる。
○ いわゆる懸賞サイトや占いサイト等にメールアドレスを記入させることを条件の一つとして、様々なサービスを無料で提供しているサイトにおいて、関連サイトからの広告メール送信がある旨又は無料情報サービスに付随して広告メールを送信することがある旨の承諾を得る場合において、メールアドレスを記入することが、関連サイトからの電子メール広告を受けることの承諾となることを消費者が認識しやすいように明示（例えば、全体が白色系の画面であれば、赤字（対面色）で表示）され、かつ、特に関連サイトからのメール送信の場合には、当該関連サイトのホームページアドレスに加えて、当該関連サイトのカテゴリーを併記するか、サイト名又は送信者名を併記するなどして、当該サイトがどのような内容のものか具体的に認識できるように表示されている場合。（画面例３）

②以下のような場合は、｢容易に認識できるように表示していないこと｣に該当するおそれがある。
○ 関連サイトについて単に姉妹サイト一覧と表示されているのみで、クリックしないとどのようなサイトか消費者に認識できず、かつ関連サイトのアドレスから想定される内容が実際の内容とは全く異なっており、いわゆるアダルトサイトなど、表示からは想定されないようなところからの広告メールの送信を承諾したこととなってしまう場合。（画面例４）

※画面例については各自で確認をしてみて下さい。

今後、改正法の影響もさることながら、ユーザーの意識が啓発されて
被害が減少することを願うばかりです。

前回からの続きで、もう少し詳細を述べると、

出会い系サイトAは、「完全無料」を前面にして会員を募集していました。
登録の条件は、ニックネーム、メールアドレス、簡単なプロフィールを入力するだけ。
広告の類は全くないことから、広告収入によるビジネスモデルではないらしい。
（この時点でかなり怪しいが…。）

サイト内には利用規約、プライバシーポリシーが存在し、SSLは取得済み。
規約の中には運営事業者の所在や電話番号、代表者名も明記されていました。

登録後15分程で、見知らぬドメインからのメールを受信しました。
そのメール内のリンクが誘導するサイトに遷移すると、そこは出会い系サイトBで、
運営者は出会い系サイトAと同じでした。

出会い系サイトBは「有料」で、気に入った相手に返信する場合は、
料金を支払うことが条件となっています。
特定の相手との送受信は、サイト内のマイページを経由する仕組みになっており、
その過程で料金を徴収する仕組みになっているのです。

その以降、出会い系サイトBからは、毎日20~30通のメールが送信されてきました。
出会い系サイトAからは1通も来ません。

お分かりのように、無料の出会い系サイトAをエサにして
有料の出会い系サイトBのサービスを受けさせるという手口だったのです。

もちろん出会い系サイトA、Bともに、そのような説明はありませんでした。

その後、登録解除に至るまでの経緯は、また次回に。

昨年末近くに、（財）日本データ通信協会　迷惑メール相談センターから、
「違反メール情報提供受付状況」が公表されました。
実施期間は、平成20年1月～11月となっていますので、
ちょうど改正特電法が施行される前までの統計となっています。

統計によれば、月間30～40万通もの違法メールが、日本データ通信協会に報告されています。
法改正がこれらの統計値にどの程度の影響を与えるか、注目したいところです。

また、同統計にあるグラフをみると“出会い系広告”の割合が極めて高いことが分かります。

「月別違反情報のメールの、広告・宣伝の内容別比率の推移」　平成20年1月～11月
※一部加工

日本では、かねてより出会い系に関する広告宣伝メールの割合が高い傾向にあります。

実際に、当協会のspamフォルダに溜まるのは、
ほぼ出会い系 or アダルト系広告のどちらかなので、この報告は合点がいきます。

当協会HP内の「特定電子メールについて考える　第二回」でも述べたのですが、
以前に、当協会において出会い系サイトに登録したことがありました。

サイト上では、無料登録を前面に宣伝しながらも
別の有料サイトにも二重登録される仕組みとなっており、
1日数十通の未承諾メールが送信されるといったことがありました。
業者に登録の解除を要求しても、あの手この手で対応しないというひどい有様でした。

このあたりについては、経済産業省が改正特商法（メール部分）のガイドラインにも触れられており、
次回以降に具体的な内容お伝えしたいと思います。

以前こちらで、プライバシーポリシーの内容は読み手にとって分かりやすい表現が必要であると述べました。

では、プライバシーポリシーへのアクセスについてはどうでしょうか。
内容を分かりやすくしたり、Multi-layered privacy notice方式を採用するなどの
表現の工夫はもちろん大切ですが、そもそもアクセスされないと意味がありません。

ウェブサイトでの個人情報の取得を考えた場合、
個人情報保護法に従えば、少なくともユーザーに対して利用目的はあらかじめ「明示」する義務があります。
「明示」とはユーザー本人が目視によりその内容を確認する方法と考えられます。

では、ユーザーにとってアクセスしやすいプライバシーポリシーとは何でしょう。

マーケティングの観点から述べられた以下の記事は参考になるでしょう。

申し込みフォームを使いやすくして途中であきらめる人を減らす具体的な方法論【後編】
All-in-One INTERNET magazine 2.0　ジョナサン・ブラウン　「カスタマーエクスペリエンスで道は開ける」

日本では、個人情報の漏洩を心配している消費者が多くいます。法律で、ウェブサイトで個人情報を集める（入力してもらう）ページにプライバシーポリシーのリンクを載せないといけないとしていますが※2、多くの日本企業はそのプライバシーのリンクをフッターの中に非常に小さな文字で入れています。それは、個人情報保護法に対しては問題ないかもしれませんが、お客様の不安を取り除く役割は果たしていません。

※2　「個人情報の保護に関する法律」の第18条で、個人情報を直接取得する場合、あらかじめ本人に対して利用目的を明示する必要があるとしている。

記事の内容の通り、ウェブサイトにおいて利用目的を含むプライバシーポリシーは、
フッター等に小さな文字でリンクされているだけのケースが散見されます。

法令遵守の観点のみならず、ユーザーから安心して情報を入力してもらえることを考慮すれば

1. 入力フォームのすぐそばの目立つ位置に、プライバシーポリシーのリンクを設定する
2. プライバシーポリシーを必ず読んでから、入力フォーム画面に遷移させるスキームにする
3. 重要項目については、プライバシーポリシーから抜粋して入力フォーム画面と同一ページに明示する
4. プライバシーポリシーはウェブサイトのトップページにもリンクを設定して、入力完了後にいつでも容易に内容を確認できるようにする

などの方法は必要に応じて導入するべきだと思います。

とりわけ、2.はあらかじめ利用目的を明示するという法の義務を果たすうえで、有効な方法でしょう。

法は事業者にとって最低限の内容を示したものであり、
その他の必要な事柄は、ユーザーへの配慮やサービス形態などに合わせて
工夫をしていくことが大切だと思います。

遅ればせながら、新年あけましておめでとうございます。
少しずつですがこちらのページも更新していきたいと思っています。
本年もよろしくお願いします。

年初草々ですが、個人情報漏えい事件のニュースが相次いて報道されています。

1月5日　ScanNetSecurity　記事
業務連絡FAXの誤送信で個人情報が流出（WOWOW）

1月5日　ScanNetSecurity　記事
IPA職員の個人用PCがウイルス感染、PC内の情報が流出（IPA）

1月6日　ScanNetSecurity　記事
元社員、285件の顧客情報を持ち出し不正利用（旭化成ホームズ）

とりわけ、IPAの漏えい事件はファイル共有ソフトの利用によるものであり、

IPAは過去に、「コンピュータウイルス・不正アクセスの届出状況[11月分]について」（2007.12）の中で

（前略）ファイル共有ソフトによる情報漏えいは、思いがけないことで起きることが想定されますので、いくら注意をしてもファイル共有ソフトを利用し続ける限りは、情報漏えい事故はなくなりません。
このため IPA では従来から「ファイル共有ソフトを使用しないで下さい」と呼びかけておりますが、再度注意喚起をします。

と述べていました。

IPAの理事は会見の中で以下の発言をしています。

IPA職員の私物PCからの情報流出、事実関係を説明 NewsInsight　記事

「IPAではセキュリティ対策を推進しており、特にファイル交換ソフトの利用については、ウイルス感染によってPC内の情報がインターネットにさらされる危険性を訴えてきた。そして、その危険を避けるために一番いい方法はファイル交換ソフトを使わないことだと啓蒙してきた。こういう事態はIPAとして慚愧（ざんき）に堪えず、非常に遺憾だ」と述べた。

情報セキュリティについてこれまで広く啓発活動を行ってきた機関だけに
非常に残念な思いです。

============================================================================

■ 2009/1/8 追記
流出した情報の詳細が報道されました。

「西武百貨店の従業員情報約6300人分が流出 - IPA職員の流出事故で」 2009/1/8　Security NEXT　記事
「IPA職員の自宅私物パソコンによる当社の情報の流出について」（PDF）　2009/1/7　西武百貨店　リリース

プライバシーマークの取得者数は、公式HPのアナウンスによれば
2008年12月25日現在で9,894社となっています。

これまでの取得事業者の数からみれば、明らかにその伸びが鈍化しています。
今年度はこのままのペースでいくと、取得事業者数は1千社程度になるのではないでしょうか。
勢いのあった2005年度は2,395社、2006年度は3,798社が取得していました。
※プライバシーマーク公式HP　「プライバシーマーク付与認定事業者数が 8000 を超える」（PDF）より

一因として、勢いのあった2005年に個人情報保護法による特需が発生し、
2006年をピークに、現在はその動きが落ち着いたとも考えられます。
また、更新取得をしない事業者も増えているようで、
中止事業者は累計772社（2008年12月25日現在）にのぼります。

ただ、事業者の個人情報保護や情報セキュリティなどへの関心が
必ずしも薄れてしまったという訳ではないと思います。
情報の安全管理という側面で考えると、
昨年、マネジメントシステムとは違った形で動きがありました。
民間主導のアプローチでは、情報セキュリティ格付けの稼働やPCIDSSの普及しだし、
行政側では、割賦販売法の改正により、クレジットカード情報を取り扱う者は、
一定のセキュリティ基準をクリアすることが求められることでしょう。

2009年は、マネジメントシステムだけではカバーしきれない領域を手当するソリューション、
具体的な安全管理の基準値をもつ認証などが、これまで以上に普及するかもしれませんね。

これまで2回（11/21,12/15）ほど、子供の個人情報とプライバシー情報に関する話題を紹介しました。

今回はこの分野での国内の状況を、国民生活センターの報告や省庁・業界ガイドラインなどで
どのように取り扱っているかについて触れてたいと思います。

11/21でも触れた、国民生活センターの「子どもの個人情報に係る消費者トラブルの現状と対応」（2005.3）では以下のデータが示され、
年々、子供の個人情報に関する相談の割合が増えているという結果が報告されています。

*（注）国民生活センターのPIO-NETによる（2005年2月10日までの登録分）

残念ながらデータが少し古く、ここ数年の経過はは不明ですが、
この傾向が現在も続くのか、また2005年の個人情報保護法施行後に、
影響があったのかについては興味があります。

同報告書には、子供をターゲットとした個人情報への懸念として以下のような記述があります。

子どもの個人情報に係る相談にみられる典型的なケースは、子どもの名前や携帯電話番号を知る業者から有料情報サービスの高額な料金請求を受ける（子ども個人を特定した不当・架空の請求）、子どもの名前で自宅に勧誘のダイレクトメールや注文した覚えのない商品が送りつけられる（子ども個人を特定した郵便物や配達物）、子どもから個人情報を聞き出そうとする不審な電話や電子メールなどを受け取る（子どもの個人情報を狙う電話やメール）などである。

また、続けて省庁・業界ガイドラインにも触れて、

個人情報に係る消費者トラブルが急増しているなか、個人情報保護法が、2005年4月から全面施行される。同法では特別の対象として子どもを規定していないが、同法を受けて作成・改訂された各省庁や事業者団体等の各分野ごとの個人情報保護ガイドライン等には、特に子どもの個人情報の取扱を規定・解説した部分もみられる。なかでも事業者団体等が自主的に作成した個人情報保護ガイドラインには、子どもの個人情報に対する特別な配慮を規定している場合がある。

と述べています。

以下に一部の省庁・業界団体ガイドラインなどの該当箇所をPickUpしてみます。

【1】ECOM（電子商取引推進協議会）
「民間部門における電子商取引に係る個人情報保護に関するガイドライン（Ver.6.0）」

第14 条（子どもから個人情報を取得する場合の措置）
事業者は、子どもから個人情報を取得する場合には、子どもが理解できる平易な表現で利用目的を明示するものとする。また、事業者は、子どもに個人情報の入力を求める場合は、保護者の了解を得るようにその子どもを促すものとする。
（解説） <中略>
3. ここで「子ども」とは、必ずしも全ての未成年者をいうものではなく、取り扱う商品やサービスにより、対象となる年齢層が定まることを想定した用語である。「ＪＩＳ Q15001」では一般に１２歳から１５歳までの年齢以下を対象としている。事業者は、それらを参考にし、かつ個人情報を取り扱う業務の内容を考慮し、対象となる「子ども」の年齢を定め、適正な取得方法に配慮するものとする。また、子どもから取得状況から考えて関係のない両親、家族、友人等に関する個人情報を不当に取得してはならない。

【2】社団法人全国学習塾協会
「個人情報保護に関する学習塾におけるガイドライン」（PDF）

（定義）第4条
(３)本人：個人情報によって識別される特定の個人をいう。情報主体でもある。なお、本人が未成年者（児童・生徒等）又は成年被後見人である場合にはその法定代理人・保護者等も「本人」に含まれるものとする。

(４)生徒及び保護者の同意：情報主体（本人）である生徒及び／又は保護者、従業者（以下、生徒、保護者、従業者等の全ての情報主体を「本人」という）が、取得、利用又は提供に関する情報を与えられた上で、本人に関する情報の取扱いを承諾する意思表示を行うことをいう。

【3】社団法人情報サービス産業協会
「情報サービス産業　個人情報保護ガイドライン」(第４版)（PDF）

（定義）第4条
(2)本人の同意　本人が、個人情報の取扱いに関する情報を与えられた上で、自己に関する個人情報の取扱いについて承諾する意思表示をいう。ただし、本人が子ども又は事理を弁識する能力を欠く者の場合は、法定代理人などの同意を得なければならない。

【4】経済産業省
「電子商取引及び情報財取引等に関する準則」（H20.8）（PDF）

Ⅰ-3-4 インターネットを通じた個人情報の取得
1．考え方
また、子どもを対象としているウェブサイトで、子どもの判断能力・理解力が不十分であることを利用して、親権者の知らない間に子どもから個人情報を取得することも同法第１７条及びプライバシー侵害として民法上の不法行為等により違法とされる場合が考えられる。

（２）適用される法律
①個人情報を取得しようとしていることや取得の目的を偽って個人情報を取得すること
子どもを対象としたウェブサイトについては、「取得の事実や取得目的を偽っている」か否かを判断する上で、対象年齢の子どもの判断能力も勘案する必要がある。したがって、大人向けの通常のウェブサイトであれば問題がないと判断されるような行為でも、子ども向けのウェブサイトでは問題とされる可能性がある。例えば懸賞への応募など子どもにとって誘惑的な目的を大きく掲げる一方、個人情報取得の目的については大人向けに作成された個人情報の利用目的を形式的に表示するだけであれば、子どもは個人情報の利用目的を理解しないまま個人情報を入力する可能性が高い。このように子どもの判断能力の不足を利用した方法で個人情報を取得することは、「偽り」による個人情報の取得に該当する可能性がある。特に、ウェブサイトの利用と直接関係しない個人情報（例えば両親の職業や収入状況、家族の趣味など）を子どもから取得することは、ウェブサイトを通じて子どもから取得する合理的な必要性のない情報をわざわざ親権者ではなく子どもから取得すること自体の妥当性に加えて、子どもにとって個人情報取得の意図や意味を理解することが難しいという面でも、取得方法の適法性が問題となる場合が多いと考えられる。

【5】経済産業省
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」（H20.2）（PDF）

2-1-10.「本人の同意」

なお、個人情報の取扱いに関して同意したことによって生ずる結果について、子どもが判断能力を有していないなどの場合は、法定代理人等から同意を得る必要がある。

2-2-2.個人情報の取得関係（法第１７条～第１８条関連）

【不正の手段により個人情報を取得している事例】
事例１）親の同意がなく、十分な判断能力を有していない子どもから、取得状況から考えて関係のない親の収入事情などの家族の個人情報を取得する場合

COPPAでは対象年齢は13歳未満と定められており、
JISQ15001では、12-15歳以下となっています。

サービスの種類にもよりますが、このあたりの年齢がひとつの目安にはなりそうです。

情報の不正取得は何故に起こるのか。
それはつまり、お金になるからに他ならないからだと思います。

アンダーグラウンドな世界では、
不正取得した情報は常時売買されていると聞きます。
情報の値段はこれまでも、いくつかのセキュリティベンダなどにより調査されてきました。

■Security NEXT （2008/12/19記事）

G DATA Softwareは、2008年におけるインターネット上の脅威について統括し、今後の予測などを発表した。2009年もウイルスが増加すると予測しており、個人情報の窃盗も増加。低価格化が進む不正取引は、ますます活発になるという。

（中略）

マルウェアなどを通じて入手した情報はブラックマーケットで流通しているが、低価格化がいっそう進んだ。同社によれば、銀行アクセスデータであれば日本円に換算して約800円弱から5万円前後。偽造防止コードに関する情報を含むクレジットカード情報も100件あたり約5000円から1万円程度だという。

さらに通常のクレジットカード情報であれば、1000件でわずか4万円から8万円弱、メールアドレスに至っては、1Mバイト数十円から提供されている。同社ではこうしたデータ窃盗は過熱し、今後も市場が成長していくと予測している。

■シマンテック社 News Release (2008/11/24 米国本社発表資料抄訳）

アンダーグラウンドエコノミーで最も広告の多い商品はクレジットカード情報で全体の 31%を占めています。クレジットカード番号の売値はカード 1 枚につき 0.1 ドルから 25 ドルまででしたが、シマンテックが観察した盗難クレジットカードの利用限度額は平均で 4,000 ドルを超えていました。シマンテックの計算では、本レポート期間中に宣伝された全クレジットカード情報の潜在的な価値は 53 億ドルに上ります。

（中略）

広告数の多い商品第 2 位は銀行口座で、全体の 20% でした。盗まれた銀行口座情報の売値は 10 ドルから 1,000 ドルでしたが、その平均残高は 4万ドル近い数字です。この平均残高と盗まれて売りに出ている銀行口座番号の平均価格から計算すると、本レポート期間中に宣伝された銀行口座の潜在的な価値は 17 億ドルになります。銀行口座情報の人気が高い理由はおそらく、大金を入手できる可能性と、換金までのスピードにあります。あるケースでは、銀行口座情報を使い、インターネット上の追跡不能な場所にキャッシュアウト ( 換金 ) されるまで 15 分かかりませんでした。

傾向として、1件当たりの情報価値は低下にある模様ですね。
供給過多が背景にがあるとも聞きますが…。

銀行口座情報からわずか15分以内に換金されてしまうのには驚きです。

皆さんの関係する組織は、プライバシーポリシーを公表しているでしょうか。
それは、はたして分かりやすいものでしょうか。

国民生活センターの公表する
「個人情報の保護に関する事業者の取組実態調査」（PDF）（2007.4）※によれば、
半数以上の事業者が「（プライバシーポリシー等を）策定しており、公表もしている」という結果が出ています。
※業種や事業規模（従業員数）などにも配慮し、特定の業種や事業規模の事業者に
偏らないように配慮して抽出した20,000事業者（有効回答数4,060件、回収率20.3%）を対象としている。

しかし、実際にその内容は読まれているのでしょうか。

同調査の別のデータでは、「プライバシーポリシー等の策定・公表に際して必要な支援」という質問に対して、
「効果的な公表の方法、社内における周知徹底の事例等の情報提供」
という回答が2番目に多い結果となっています。

以前に、経済産業省で開かれるパーソナル情報研究会のことに触れましたが、
この研究会の議事録に以下のような件（くだり）がありました。

ホームページ上のプライバシーポリシーについては、一個の企業が掲げているものではあるが、個別ではないと感じている。「個別」というのは、企業の中に複数の事業部があり、その事業部によって共同利用先などが異なってくるような場合を想定している。プライバシーポリシーで共同利用を掲げている場合、個別具体的に「この事業で共同利用する個人情報については」という書き方をしないと、個人情報の提供側としてはわかりにくいのではないかと感じる。
全社としては、企業で一つのプライバシーポリシーを掲げていることになるが、事業部ごとにホームページを持っているような場合で、あるサービスや商品購入の際に提供される個人情報がそれぞれどう取り扱われるのか、ということについて、個別に消費者が判断できるような形の掲示が必要であるのではないか。

これは、共同利用に限ったことではなく、多くの部門を抱える企業や、
事業ごとに利用目的や管理方法が異なっている場合などは、
1つのプライバシーポリシーで包括的に全ての情報を盛り込むと相当なボリュームになってしまい
結果的に読み手にとって分かりづらいものになってしまうのではないでしょうか。

こういった、懸念を払拭するひとつの方法として、
Multi-layered privacy noticeというアプローチがあります。
privacy noticeはプライバシーポリシーと同義に考えてもよいと思います。

部門や目的ごとにポリシーをグループ分けし、ディレクトリ化（階層化）した後、
各グループのインデックスとなるページを設けて、情報にアクセスしやすくするというものです。
詳しい内容は、以下URLをご覧下さい。

The Center for Information Policy Leadership（CIPL）-Multilayered Notices
「Ten steps to develop a multilayered privacy notice」（PDF）（英文）

ワールドワイドに活動する事業者などは、
既に国や地域ごとにMulti-layered方式を採用しているところも見受けられます。
国ごとに遵守する法律が違えば、共通する部分とローカライズすべき部分を分ける必要もでてくるでしょう。

■Multi-layered方式を採用するグローバル企業のポリシーの事例

• P&G社
• Microsoft社

また、携帯電話用のウェブサイトでは、1ページあたりの情報量の制限や
アクセシビリティの関係でこの方式をよく見かけるのはないでしょうか。

プライバシーポリシー等を公表していても、読まれないのでは意味がありません。
今後は、読み手にっとって分かりやすい表現も必要なのではと思います。

情報処理推進機構（IPA）が、
「漏れたら大変！個人情報」 ～個人情報漏えいを防ぐために、チェックしましょう～
と題したウェブページを公開しました。

個人情報漏えいに関する注意喚起や啓発をテーマとしており、
読者の立場に応じて、以下の4つの切り口で注意すべきチェックポイントをまとめています。

• 経営者
• ユーザ
• ECサイト運営者
• システム管理者

流出事故が多いP2Pの使用やPhishingなどについても触れており、
初心者にも分かりやすいように、簡潔にまとめられていると思います。
関連リンク集も充実しており、必要な情報にもアクセスしやすいでしょう。

慌ただしい、年末だからこそ
もう一度身の回りのチェックをしてみてはいかがでしょう。

(財)日本データ通信協会　迷惑メール相談センターのウェブサイトに
迷惑メール法に関するページが更新されました。

ここには、改正特電法に関する簡単な背景や法令等のリンクが載っていますが、
注目すべきは、
「特定電子メールの送信の適正化等に関する法律のポイント広告宣伝メールに係るオプトイン方式の規制等について」（PDF）

と題するパンフレットがアップされたことです。

内容は改正特電法のポイントを絞って、分かりやすく解説したものですが、
随所に特商法についても解説があり、特電法と特商法の違いが分かりづらいという方には、
参考になる資料かと思います。

以下に、パンフレット内の「特定電子メール法と特定商取引法の主な違い」という表を載せておきます。
※詳細はパンフレットをご覧下さい。

特定電子メール法と特定商取引法の主な違い

※1 プログラムにより自動的に作成された電子メールアドレスであって、利用者がいないもの
※2 送信に用いた電子メールアドレス、IPアドレス、ドメイン名

また先日、(財)インターネット協会が開催した「第６回 迷惑メール対策カンファレンス」において
会場から出された質問を中心に、比較的よく聞かれる内容を加えて整理した
「改正迷惑メール対策法に関するＱ＆Ａ」がアップされています。

■ 免責事項

本コーナーで書かれたものは、これまでに行われた質疑応答の内容をできるだけ分かりやすくなるように一般化してまとめたものですが、間違いを含まないという保証はありません。したがいまして、あくまで参考的なものとしてお読みください。本サイトの関係者および質疑応答の内容を提供していただいた関係者は、あなたに対して一切の責任を負いません。あなたがここに書かれた内容を利用する場合には、自己責任として行う必要があります。

とあるものの、内容は非常に具体的かつ現実的な問題に触れており、
大変参考になる資料ではないかと思います。

曖昧で解釈に迷っていた部分も、徐々に情報出そろってきたことで明らかになってきていると思います。
当協会も、近日中に特電法や特商法などについてまとめた資料の公表を検討しています。

12月11日、米連邦取引委員会（FTC）は、
米SONY BMG MUSIC ENTERTAINMENT社をCOPPA（Children’s Online Privacy Protection Act）
違反により提訴した模様です。

■ ITmedia
「SONY BMG、児童のプライバシー保護法違反で100万ドル支払い」

米連邦取引委員会（FTC）は12月11日、米SONY BMG MUSIC ENTERTAINMENTを児童オンラインプライバシー保護法（COPPA）違反で訴えていた件で、同社が100万ドルを支払うことに合意したと発表した。

FTCによれば、SONY BMGは1000以上の音楽関連サイトを運営しており、これらサイトの利用には、生年月日を含む個人情報の提供が求められている。同社はこのうち196のサイトで、少なくとも3万人の13歳以下の児童の個人情報を、親の合意なく収集しており、FTCはこれがCOPPAに違反するとして10日に同社を提訴した。

■ FTCのリリース（英文）
「Sony BMG Music Settles Charges Its Music Fan Websites Violated the Children’s Online Privacy Protection Act」

今回の事件だけではなく、FTCはCOPPA違反として過去に以下のような行政処分を下しています。

• 2006年　9月　Xanga.com社　　　　　　　　100万＄　※2006年当時の日本語記事（CNET Japan）
• 2004年　2月　UMG Recordings社　　　　40万＄
• 2004年　2月　Bonzi Software社　　　 　　7.5万＄
• 2003年　2月　Mrs. Fields Cookies社　　10万＄
• 2003年　2月　Hershey Foods社　　　 　　8.5万＄

SONY BMG社への100万＄は、過去に比較しても最大クラスの支払い命令のようですね。

COPPAについては、以前にもこここで触れましたが、
子供の個人情報に対する懸念とその対策は日米の温度差を感じます。
それにしてもFTCの罰則は強烈ですが…。

日本では、青少年に対するコンテンツに関しては法や自主規制の動きがありますが、
個人情報、プライバシー分野への大きな取り組みは聞かれません。
青少年（含む子供）への携帯電話の普及率を考えると、この分野の対策がもっと進んでもよいと思うのですが。

特に携帯電話は契約者固有IDの通知問題もありますし、今後、大きな動きがあるかもしれません。

前回の続きで
「個人と連結可能な情報の保護と利用のために」から考えたいと思います。

前回も少し触れましたが
本レポートでは、「共同利用」についてかなり掘り下げられていることが印象的です。

個人情報保護法上では、
他者に個人情報を移動させる場合「委託」「第三者提供」「共同利用」の3つに分けられますが、
「委託」「第三者提供」に比べて「共同利用」は分かりづらいという意見をよく耳にします。

本レポートでは、

「共同利用」は、個人情報の有用性に対する配慮から設けられた制度であるものの、法及びガイドライン等では事業者が共同利用を行う際の最小限のルールしか示していないことから、「共同利用」による個人情報の利用に慎重な事業者が多いとの指摘がある

と述べられています。

その背景として、

このように、「共同利用」制度の利用があまり進んでいない背景として、事業者によっては必ずしもそれほど広範な個人情報の利用を必要としていないという事情のほか、以下のような要因も指摘されている。

• 消費者の間に個人情報保護に対するいわゆる「過剰反応」や誤解が見受けられる状況では、「共同利用」による幅広い個人情報の利用は理解を得づらい。
• 共同利用制度について消費者の認知度が十分ではない。
• 「共同して利用される個人データの項目」「共同して利用する者の範囲」をいちど通知又は公表すると容易に変更することができないため（法第２３条第４項及び第５項参照）、制度を利用しにくい。

といった分析がされています。

法が解釈しづらいのであれば、具体的な事例を確認するのですが、
「個人情報の保護に関する法律についての経済産業分野を対象としたガイドライン」の中でも、
「共同利用」についての事例は以下の3つが挙げられているだけです。

【共同利用を行うことがある事例】

事例１）グループ企業で総合的なサービスを提供するために利用目的の範囲内で情報を共同利用する場合
事例２）親子兄弟会社の間で利用目的の範囲内で個人データを共同利用する場合
事例３）外国の会社と利用目的の範囲内で個人データを共同利用する場合

今後は、この問題を解決すべくガイドラインやQ＆Aの明確化、モデルケースの紹介・普及、消費者への啓発などにより是正されていくそうです。

去る11月に、経済産業省で開かれるパーソナル情報研究会から
「個人と連結可能な情報の保護と利用のために」と題されたレポートが公表されました。

パーソナル情報とは以下のように定義されており、

単独で個人情報に該当するか否かにかかわらず個人と連結可能な情報

検討の背景としては、

インターネット技術の発展により、ユーザーからの発信機会が増加するとともに、検索語など行動履歴を基にしたサービス提供が拡大している。今後消費者向けのビジネスは、一人一人の個性に応じたサービスを提供するパーソナライゼーションサービスを中心に大きく変貌していくものと考えられる。

（個性に応じたサービスの事例）

• 複数の方法により入手した消費者・利用者の情報（売買・検索の履歴等）を一体化・分析し、新たなサービスを提供しようとする動き
• ポイント・電子マネーの企業間連携に伴う個人の購買情報等の交換・流通
• 健康情報活用基盤（ＰＨＲ）の事業化、政府による社会保障カード事業や電子私書箱構想等の動きを踏まえた、民間事業者による個人情報の一括管理

一人一人のニーズを満たすサービスやマーケティングを可能にするためには、ユーザー自身のニーズを的確に捉える必要があることから、個人情報も含めた幅広い情報の有効利用が不可欠となる。その一方、個人と連結可能な情報がユーザーの意図しない形で利用されると、個人の権利利益を侵害する、社会的な地位や信頼を脅かすなどの行為が蔓延し、大きな社会不安に繋がる危険性がある。

となっています。

確かにインターネットを使った取引もごく普通になってきましたし、
事業者にとってはDBによる顧客管理が容易になったことから、マーケティングの精度は高まったと思われます。
行動履歴、購買履歴などを分析にすることにより、ユーザー個々の嗜好にあった広告やサービスを展開することは、ある意味で利便をもたらしています。
ネット広告企業にとってみれば、まさにここが生命線ともいえるでしょうし、
事業者は商品開発や在庫管理などに役立てていることでしょう。

一方でこういった行動履歴などの情報は、単独では特定の個人を識別できませんが、
氏名等のその他情報と関連付けた場合は、大きくプライバシーの領域にも踏み込んだ情報ともなり得ます。

情報精度の向上による利便性と、プライバシー問題や情報管理のあり方は今後も議論される点だと思います。

本レポートでは上記内容と既存の個人情報の問題点をふまえて、
個人情報保護制度の観点から3つの区分けをしています。

• 個人情報保護制度の枠内の問題
• 個人情報保護制度の境界線上の問題
• 個人情報保護制度の枠外の問題

個人情報保護制度の枠内の問題として
かねてより、つかいづらいとされてきた「共同利用」についても、かなり踏み込んだ報告がされています。
※この点は次回で触れたいと思います。

来春には、本レポートを踏まえて
「個人情報の保護に関する法律についての経済産業分野を対象としたガイドライン」
が改定されるということなので、どのような形で内容が反映されるかその動向を注視したいと思います。

2005年4月に個人情報保護法が全面施行されてから、3年以上が経過しました。

2008年は施行後3年目にあたるということで、法改正を検討することも考慮されましたが、
今回は見送られた経緯があります。

この3年間に、「情報漏洩」や「過剰反応」などの問題はありましたが、
社会の個人情報に対する意識は随分と高まったと思われます。
当協会がテーマの1つにしているインターネット上の個人情報についてはどうでしょうか。

国民生活センターの「「個人情報相談」３年の概要」（2008.7）に以下のデータがあります。

*その他の事業分野は、不動産業、飲食業、運輸業、教育・学習支援業等で、「医療・福祉」、「金融・信用」、「情報通信」のいずれにも該当しない事業分野。

全体の相談件数は、緩やかな減少傾向にあるものの、情報通信分野に関しては大幅に増加する傾向にあります。
国民生活センターの報告にも次のようにあります。

事業分野別の相談件数をみてみると、電話会社、携帯電話会社、インターネットプロバイダ等の「情報通信分野」に関する相談件数は2005 年度1,975 件から2007年度3,311 件と増加している（なお、2006 年度は1,886 件と若干減少している）。相談総件数が減少しているなかで、「情報通信分野」に関する相談が増加していることは、注目に値しよう。相談が増加している原因のひとつは、「自分の個人情報がネットの掲示板に無断で掲載されている」、「プロバイダが有している個人情報を開示させたい」等の、インターネットに関連する個人情報の相談の増加がある。

また、同じく国民生活センターの
個人情報に関する消費者の意識 ‐個人情報保護法説明会参加者へのアンケート調査結果報告書‐（2008.3）にも以下のようなデータがあります。

ここでは、「インターネットで自分の個人情報を直接発信しないなど、事業者への情報 提供は必要最小限に留める」という回答が最も多い結果となっています。

両報告書の結果により、
一般からはインターネットを介した個人情報の取扱いについて懸念が高まる傾向にあると言えそうです。

当協会は、今後もユーザーが安心してウェブサイトで個人情報等を利用できる環境を構築するために
活動していきたいと思っています。