ここから本文です

個人情報の利活用とプライバシー保護

東京大学大学院法学政治学研究科 教授 宍戸 常寿

1はじめに

インターネット通販サイトで検索したり、ブログを読んだりしていると、以前閲覧した商品や、それに関連した広告が表示されることがあります。こうしたことが生じるのはなぜか、インターネットの仕組みを説明し、関連する法律の規制を紹介したいと思います。

2インターネットと個人情報保護法

(1)ID・パスワードと個人情報

通販サイトを利用したいAさんが、氏名や住所等を入力してIDを付与され、アカウントを作成するという場合を考えましょう。ID・パスワードを入力してログインするたびに、通販サイトの側では、Aさんがいつ、どの商品を閲覧し購入したかの情報を蓄積します。

個人情報保護法にいう個人情報とは、氏名・住所等だけではなく、特定の個人を識別できる情報全てを指します。ID・パスワードはもちろん、Aさんの行動履歴の全体が個人情報に当たります。

個人情報がデータベースで管理されている場合は、個人データと呼ばれ、事業者は安全管理等の義務を負います。例えば、セキュリティに問題があって行動履歴に関する情報が漏えいすると、通販サイトの運営者は、個人データの安全管理を怠ったとして法的な責任を問われます。

(2)氏名を削除すれば個人情報じゃない?

それでは、通販サイトの運営者が、行動履歴からAさんの氏名や住所の項目を削除して、勝手に他の企業に販売することはできるでしょうか。これには二つの問題があります。

まず、氏名や住所なしでも、行動履歴の特徴からAさんのことだと分かるのであれば、やはり個人情報です。数ヵ月分のデータを分析すれば、趣味・嗜好といったAさんのプライバシーまで把握できる可能性もあります。

もう一つの問題は、通販サイトの運営者がもともとのデータを廃棄しない限り、氏名等を削除した販売用データとは容易に照合ができることです。このような容易照合性がある情報も、個人情報に該当します。そうするとこの販売用データは、購入した企業(提供先)にとってはAさんとは分からないので個人情報でないけれども、通販サイトの運営者(提供元)にとっては個人情報です。個人情報保護法は、このような場合も個人データの第三者提供に該当するとして、原則として本人(この事例ではAさん)の同意を得ない限り違法になるとしています。

(3)ファーストパーティ・クッキー

通販サイトへのログインに話を戻します。サイトをはじめて利用した後、次回改めてIDやパスワードを入力しなくても、スムーズにサイトを利用できることがありますが、これはクッキーが関係しています。

クッキーとは、利用者がサイトを閲覧した時などに、ユーザのブラウザに書き込まれる情報です。例えば、Aさんが最初に通販サイトのサーバにアクセスした際に、Aさんのブラウザには「0123456」というクッキーが書き込まれます。

次にAさんのブラウザが同じサイトのサーバにアクセスするときは、0123456というクッキーを送信します。このため、通販サイトのサーバの側では、「前にアクセスしたブラウザと同じブラウザが今回アクセスしてきたな」と分かるのです。

クッキーは、誰が発行したかによって、ファーストパーティ・クッキーとサードパーティ・クッキーとに区別されます。0123456を発行した通販サイトは、Aさんが自分で訪問した先なので、ファーストパーティ・クッキーと呼ばれます。通販サイトの運営者にとっては、このクッキーはAさんのブラウザのことだと分かるので個人情報ですが、他の事業者にはAさんのこととは分からないので、個人情報には該当しないのが普通です。

(4)サードパーティ・クッキー

利用者が自分で訪問したサイト以外の第三者が発行するクッキーのことを、サードパーティ・クッキーと呼びます。

Aさんが利用している通販サイトには、広告事業者が提供する広告用プログラムが設置されていました。Aさんが通販サイトを訪問すると、通販サイトのサーバに置かれた広告用プログラムが、Aさんのブラウザに、外部にある広告事業者のサーバにアクセスするよう指令します。Aさんのブラウザからアクセスされた広告事業者のサーバは、Aさんのブラウザに「ABCDEFG」というクッキーを書き込みます。これがサードパーティ・クッキーです。

次にAさんが通販サイトで4月1日に登山靴を購入し、次にリュックを探してと行動していくと、Aさんのブラウザは、その行動履歴をABCDEFGとセットにして、次々と広告事業者のサーバに送信していきます。そのデータを蓄積・分析して、広告事業者は、どうもこのブラウザは登山に興味がありそうだと推測して、登山旅行の広告のデータを送信して、Aさんのブラウザに表示します。

(5)行動ターゲティング広告

このように、同じサイト上の広告であっても、利用者の行動履歴によって異なる広告が表示されることが多いのですが、どの広告を表示するかの判断材料となる情報は、私たちの想像の範囲を超えています。

Aさんの登山仲間のBさんが、日本アルプスに登ったという記事をブログに投稿しました。Aさんもそのブログを4月15日に訪問したのですが、実はBさんのブログにも、通販サイトと同じ広告事業者の広告プログラムが設置されていました。

このため、もともとABCDEFGは登山に興味がありそうだと推測していた広告事業者は、「そうか特に日本アルプスに関心がありそうだな」と推測します。そこで、Aさんのブラウザが山に関係するサイトであれ、ネコの動画サイトであれ、どのサイトを訪問しても、自分の広告用プログラムが設置されていれば、日本アルプス登山旅行パックの広告を送信するようになります。

広告事業者はサードパーティ・クッキーにより、Aさんの利用しているブラウザの情報を、複数のサイトをまたいで追跡して収集し(クロスサイト・トラッキングと呼ばれます)、広告を表示できるのです。

(6)クッキー情報が提供されて個人情報になりそうな時のために

こうしたサードパーティ・クッキーの仕組みは、思わぬところで自分の情報が収集・分析されたり、誰か特定されてしまったりするという恐れを生みます。広告事業者が、「ABCDEFGは通販サイトで4月1日には登山靴を買った、ブログで4月15日には日本アルプスに関する投稿を見た」というデータを、通販サイトに販売するとしましょう。この場合、通販サイトは手持ちの0123456と、通販サイトから買ったABCDEFGが、同じブラウザのクッキーであることを特定し、両方のデータを突合して、Aさんが日本アルプスに関心があることを知ってしまいます。

このような状況を受けて、2020年には個人情報保護法が改正され、個人関連情報の規制が設けられました。この事例ですと、広告事業者にとってのABCDEFGは、Aさんを識別していないので個人情報ではないのですが、個人関連情報と呼ばれます。

そして、提供先(この事例では通販サイト)が個人データとして個人関連情報を取得することを提供元(この事例では広告事業者)が想定できるときには、まず、提供先が本人の同意を得なければなりません。この事例ですと、通販サイト(提供先)がAさん(本人)に対して、少なくとも「他の事業者から得た情報を個人データとして取得することがある」ことを説明し、同意を得なければなりません。

そして広告事業者(提供元)の方では、提供先が本人の同意を取得していることを確認しない限り、ABCDEFGのデータ(個人関連情報)を提供してはいけません。

3データの利活用とプライバシーの保護のバランス

(1)個人関連情報の規制はクッキー規制?

「個人関連情報の規制はクッキー規制だ!」と一時騒がれましたが、いまの紹介からは、実は不精確だったことが分かります。クッキーの中でもせいぜいサードパーティ・クッキーについて、それも個人データとして取得されることが想定される場合にのみ、規制が及ぶに過ぎません。その内容も、提供先は抽象的でもいいから本人の同意を取ればクッキー情報を取得できる、提供元も提供先が同意を取っていることを確認できればクッキー情報を提供してよい、というもので、クッキー情報の提供や取得を制限しているわけではありません。先の事例でいえば、ABCDEFGのまま、特定の個人を識別(個人情報化)しなければ、クッキー情報を提供しても広告の判断材料にしても違法ではないということになります。

さらにいえば、非常に多くのサイトが、訪問した利用者はもちろん、サイト運営者もその意味をよく理解しないまま、利用者の追跡を可能にする仕組みを設置しているのが現状です。例えば、SNSの「いいね」ボタンも、先ほどの広告用プログラムと同じ機能を持っているので、それが置かれている企業等のサイトは、訪問者の情報をSNSの運営者に送信しています。SNSの情報管理機能を使ってみると、SNSでの投稿や閲覧だけでなくて、SNS以外のサイトを訪問した等の行動履歴も膨大に集められているのが確認できます。

(2)データ利活用のメリットとデメリット

クッキーに代表されるデータ利活用のテクノロジーは日々進化しています。データ利活用には、通販サイトやSNSで、自分の趣味や嗜好にマッチする商品・サービスや他のユーザとのつながりをリコメンドされ、新しい経験をすることに貢献するというメリットがあります。

逆にデメリットとしては、プライバシーの侵害の恐れがあります。プライバシーはもともと、私生活を勝手に暴かれない権利として生まれましたが、情報化が進むにつれて、自らの情報を自らの意思でコントロールする権利(自己情報コントロール権)として説明する立場が、有力になっています。

消費者の同意なく行動ターゲティング広告がなされると、自分の行動を追跡し、さらに先回りされる点で、プライバシーを侵害するという面があります。2020年の個人情報保護法改正前には、就活支援サイトが、利用する大学生には分からない形で行動履歴を分析して、企業に内定辞退率のスコアを提供していたという事件が、大きく報道されました。

また、データ利活用は、消費者個人のレベルを超えて、社会のあり方にとって大きな問題になりつつあります。SNSや動画配信サイトなどを運営するグローバルなプラットフォーム事業者は、アカウントをもつユーザに限らず、それ以外の人の膨大な情報も、多くのサイトから収集して巨大な広告収入を挙げており、寡占状況が生まれています。

このような行動ターゲティング広告が論争の激しい社会問題の場面で使われると、従来マスメディアでは取り上げられなかった少数者の声を人々に届けられるという利点もあります。しかし、偽情報・誤情報を信じやすい人に意図的・効果的に拡散させて、投票行動をミスリードしたり、社会的分断を深めたりすることにも、利用されかねません。

(3)消費者が気付く機会を作るための規制

そこで2022年には、電気通信事業法に、利用者情報の外部送信規律という新たな仕組みが設けられました。携帯電話事業者、検索サービスやSNSの運営者等が、利用者のブラウザや端末に対して外部に情報を送信するよう指令するプログラムを設置するときには、あらかじめ、①利用者の同意を得るか送信停止措置(オプトアウト)を取れるようにするか、②送信する情報の内容などを利用者に通知するか本人が容易に知り得る状態に置くか、いずれかをしなければならない、という規制です。

この規制が検討された当初はより厳しい内容が提案されていたのですが、イノベーションを阻害する、個人情報保護法と重複する規制であるなどの反対があり、結果としてこのような内容に落ち着きました。それでも、一部のサイトとはいえ訪問した人が、行動が追跡される可能性があることを、何らかのやり方で知り得るようにするという点で、消費者の選択の機会を増やすものと期待されます。

(4)EU型の解決もある

海外のサイトを訪問すると、ポップアップが表示されて「クッキーを受け入れる/受け入れない」を選択しないと閲覧できないことがあります。必要なクッキーだけを受け入れるか、全てのクッキーを受け入れるかを選べる場合もあります。これはクッキーの利用を規制する国があるためです。特にEUの一般データ保護規則(GDPR)では、クッキーは個人データに該当し、広告目的でのクッキー情報の取扱いには本人の明示的な同意が必要とされています。

GDPRは、EU域内の企業だけでなく、EUに向けてサービスを提供する域外企業にも直接適用されます。日本企業の中にもGDPRが適用される可能性も意識して、クッキーに関する同意を求める例もあります。

さらに日本でも、特定の個人を識別できなくても、ブラウザや端末を識別できるだけで、個人情報として規制しようという提案もあります。これは規制をEU並みに広げようという主張で、今後の個人情報保護法改正の焦点になっていくことが予想されます。

4生徒に伝えたいこと

以上見てきたとおり、クッキーをはじめとするインターネットの仕組みと、その規制の内容は非常に複雑です。生徒のみなさんが、細かい規制の内容を知識として覚えることは必要でも有用でもないでしょう。

むしろ何が問題なのか、規制によってプライバシーをはじめとしてどのような利益が得られるのか、規制をめぐってなぜ対立が生じるのかなどを、身近な問題から生徒が考える力を養うための素材としては、他に例がないほど面白いだろうと思います。

本稿は主として法律の規制を解説しましたが、漫画の海賊版サイトなどの違法サイトを訪問すると、行動履歴が取得され、分析された結果、有害な内容の広告が表示される、フィッシング詐欺に引っかかりやすくなることもあります。このような身近な点から、なぜそうしたデメリットが生じるのかを考え、さらに自分事としてインターネットの仕組みやプライバシーについて考えてもらうという切り口も有用だろうと思います。

【参考】