これは買っておきましょう。私も数十冊の個人情報・プライバシー関連の書籍を買って読んできましたが、ここ２〜３年先ぐらいまでを見据えたいまどきのウェブサービス・スマートフォンビジネスにおける個人情報・プライバシーの取扱いについて、これ以上にまとまった書籍がほかにないので。というわけで秋のIT系法律実務書祭り第三弾がこちら。


ソーシャルメディア時代の個人情報保護Q&A
販売元：日本評論社
(2012-09-20)
販売元：Amazon.co.jp



たとえば、「携帯ID」の個人情報該当性・プライバシー性に関して、30ページ超にわたって取り上げている書籍というのは、私の知る限り今のところこの本だけです。

日本において、ユーザーと携帯電話事業者との契約には、携帯電話番号のほかに、契約ごとに「契約者固有ID」と呼ばれる固有の識別子が割り振られている。

契約者固有IDが「ガラパゴス携帯」である日本独自の携帯IDであるのに対し、端末固有IDは、国内外を問わず、スマートフォン端末自体に割り振られるIDである。

契約者固有IDは、Q1で述べたように「端末に固有」ではなく、「利用者に固有」であって、利用する携帯電話端末を変えても不変であることから、UDID以上に強力なトラッキングを可能とする。

携帯IDを利用したユーザー識別方法とクッキーを利用したユーザー識別方法との最大の相違は、携帯IDが長期にわたり不変のIDであり、アクセスするすべてのウェブサイトに対し、同一のIDが送信されるのに対し、クッキーはユーザー側で消去等の管理可能な一時的なファイルであり、アクセスするウェブサイトごとに異なるクッキーが送信されるという点である。

私がこの携帯IDの危険性について認識できたのは、2008年以降の高木浩光氏の一連のブログ記事やTwitter上での問題提起によってでしたが、当時の私はiモードIDのような契約者固有ID（加入者識別ID）とUDIDのような端末固有IDの違い・リスクの差もよくわかっていませんでしたし、契約者固有IDや端末固有IDを使ったクイックログイン（かんたんログイン）機能なども、危険性についてすぐにはピンとこない部分がありました。しかし2012年となり、スマホでのウェブアクセスがPCによるアクセス数を超えるようになった今、この違いについて知らずにITビジネスに携わっているのは大きなリスクを伴います。この本では、上記引用にあるような難しくない言葉で、そういったそれぞれのキーワードに初めて触れる法務パーソン・ベンチャー経営者でも十分にわかるよう説明がなされています。第二東京弁護士会編であり、法的な正確性もお墨付きです。



今夏８月、『スマートフォンプライバシーイニシアティブ』が総務省から公にリリースされ、この点に言及し世間を騒がせているところですが、「（契約者・端末固有 IDを）同一 ID に紐付けて行動履歴や位置情報を集積する場合、プライバシー上の懸念が指摘される。」との記載があります（P45）。しかし、結局それを扱ってよいのか、扱う場合はどのような点に配慮をすればよいのかの答えが明確に示されてはいません。各業界・各法務がそれぞれ自己流で解釈・リスクを検討していた中で、この本で示される方向性は少なからず影響を与えることになるでしょう。

さらに、第4章で取り上げられているこの「携帯ID」の問題のみならず、以下の様なトピックスが網羅されています。
第1章　ライフログ・ディープパケットインスペクション・行動ターゲティング
第2章　クラウドサービス
第3章　道路周辺映像サービス（ストリートビュー）・ライブカメラ
第4章　位置情報・アプリ利用履歴データ
第5章　インターネット上の書き込みと発信者情報開示

そして第2部では
・世界の潮流
　-第三者機関を設置する主要国の個人情報保護法制
　-プライバシーバイデザイン
・個人情報・プライバシーに関する国内の代表的判例33選
と、大きな流れを掴むために必要な知識が、コンパクトにまとめられています。

タイトルは売れ線を狙って「ソーシャルメディア時代の〜」という冠をつけてしまったのだと思われますが、中身は決してそれに限定されておらず、およそ日本で見聞きできる個人情報・プライバシー関連情報の一切が、この１冊にきれいに収まっていることがお分かりいただけるかと。10冊の類書、100のサイトを読んで情報を集めるよりも、この1冊を読むほうが圧倒的に効率がいいことは、間違いありません。
　

　
2010年以降の企業法務を考えるにあたって、研究すべきテーマは何でしょう？と問われたら、２つ返事でこう答えています。

「プライバシーでしょうね」と。

中でも把握しておくべきキーワードは、企業広告における“行動ターゲティング”です。企業が消費者のweb閲覧履歴やライフログを収集しマーケティングや広告宣伝に利用することの是非は、以前このblogでも取り上げたDPI（ディープ・パケット・インスペクション）問題然り、これから日本でも大論争間違いなしと読んでいます。

もちろん、広告業界にお勤めの方はとっくにご存知のキーワードなのでしょうが、あまりご存知でないという方も多いはず。この本からお読みになると良いです。

『生き残るための広告技術 進化したインターネット広告「行動ターゲティング」のすべて』

行動ターゲティングは、幅広い消費者を特性や行動履歴、志向に応じて小さくとも意味のあるグループに分類していく手法である。

携帯端末・無線技術の進歩と普及により、私たち消費者の特性・行動履歴・志向を事業者が把握することはますます容易になっています。そうした中静かに発展してきたのが、この行動ターゲティングというマーケティング＆広告手法。消費者の生活を企業が利益のためにのぞき見するような感覚には当然根強い抵抗もあるわけで、企業が行動ターゲティングをしているという認知が消費者に広まるにつれ、プライバシーの論争がこれまでとは違う新たな局面を迎えるのは、想像に難くありません。

さて、このブログの読者の方は、広報やマーケティングの部署の方は少ないはずです。プライバシーの本を紹介するならいざしらず、行動ターゲティングの本を紹介しているのはなぜか。それは、行動ターゲティングのプライバシー侵害性を正しく検討・判断できるようになるためには、まず行動ターゲティングがもたらすメリットを正しく知ることが大切だと思うからです。そのことはまさにこの本でも次のように語られています。

「メリット」は重要なキーワードだ。私たちは行動する前に、自分のためになるかを考える。自分との関連性が重要なのだ。（p114）

社会の積極的な一員であるためには、一定量の個人情報の開示が必要となってくる。例えば、意志に個人情報を明らかにすることを拒否したら、診断や治療を受けることは非常に難しいだろう。同様に、ローンを申し込むために銀行を訪れても、財務状況の開示を拒否すれば、ローンを組めずに家に引き返すしかないだろう。（略）受けたいサービスと開示するプライバシーの価値は比例しているのだ。（p116）

この本は、Google,Amazonが教えを請うマーケティング界のグルRob Grahamの著書を翻訳したパートをベースに、巻頭には日本のネット広告業デジタル・アドバタイジング・コンソーシアム社による概論、そして巻末にはYahoo/mixi/Nikkeinet/スバル他のマーケティング担当者インタビュー、ITジャーナリストの佐々木俊尚氏が寄稿するコラムなどがふんだんに盛り込まれています。広告業界の専門誌的な感じで、行動ターゲティングに関する「今」「これから」「得られるメリット」が手軽に理解できます。



気になるのはAmazonの評点の低さ。ただインターネットマーケティングを実業で専門にやってる私の後輩に「行動ターゲティングの入門書をどれか１冊あげるとしたら？」と聞いて推薦してもらった本でもあるので、スジは悪くないと思ってます。
　

　
今週頭から、総務省によるDPI（ディープ・パケット・インスペクション）検討に対する批判が、そこかしこで起きています。

DPIの全面禁止を主張されている皆さんの意見を総合すると

ISPが人のプライバシーをのぞき見して何をする気だ。同意をとればいいというものではない。全面禁止にしておかないと、同意をしてないユーザーも気付かないうちにDPIされてるなんてこともあるかもしれない。「通信の秘密」を守らないとはケシカラン！

ということのようです。

たしかに、世の中には信用ならないISP事業者はあると思います。が、過去電気通信事業者にいた時代に何回か考えたテーマであったことも手伝って、この「通信の秘密」を根拠にしたDPI全面禁止論に対しては、違和感を覚えています。

国が自らDPIを実施して（もしくはISPから情報をかすめ取って）国民の「通信の秘密」を侵害するようなことは当然NGと思いますが、そのような行為は国の検閲から国民を守る憲法21条2項によって排除されるという前提で、民間ISP事業者がユーザーの認識の下で通信の内容を把握する技術を持つということは、電気通信事業法第4条に定める「通信の秘密」を侵害するものではないのではと。



そもそも、ユーザーとしては、通信事業者に媒介してもらうことで他人との通信を容易に実現するという“利益”を得ている以上、その媒介者である通信事業者に通信の内容を把握されるのはやむを得ないことであり、「通信の媒介はしても内容を一切把握するな」というのは無理筋です。例えれば、毎日買い物で利用するスーパーのレジの店員さんに「お前がこれからレジに通すものは見るな」とか「私がこのスーパーで毎日同じあのお菓子を買って帰っているという（恥ずかしい）事実は、私のプライバシーに関わることなのだから、今この瞬間に記憶から抹消せよ。」と脅迫するようなもの（笑）。

ちなみにこの例えは、この本の第13章の一節「媒介者が把握しうるTransactional Dataは必ずしもプライバシー情報には該当しない」という事を述べたパート（p278）から。ご参考までに。

“Securing Privacy in the Internet Age”


DPIの問題は、このようなデータを媒介者として単純把握するという域を肥えて、そのデータを通信事業者の“利益”のために蓄積・分析・利用させていいかどうかという点にも及ぶものかと思いますが、ユーザーにとっての何らかの“利益”と交換に通信事業者にその蓄積・分析・利用を意思を持って許諾する自由は、ユーザーが持ってしかるべきで、それを規制する必要まではないのではないでしょうか。
「DPIで提供される“利益”などない、百害あって一利なし」という論調も見られますが、上述のスーパーの例で言えば、私が毎日買うほど好きなお菓子（そんなものはありません、あくまで例です笑）の在庫を切らさないよう、さりげなく多めに仕入れ、そっと並べておいてくれるようなサービスは、あって然るべきなのかもしれません。

そして、私はむしろ、DPIで用いられるようなパケット解析技術・機器の使用が法律によって全面的に禁止されてしまうことで、警察などの公権力の側が人知れず国民の「通信の秘密」を侵害するような行為を行うことを国民の側が技術的に掴めなくなることの方が、もっと恐れるべきことではないかとも思っています。
　

参考文献：

憲法第21条2項に定める「通信の秘密」と電気通信事業法第4条に定める「通信の秘密」の差異について述べた法律書はあまり多くありませんが、比較的新しめの本であればこちらを。

『インターネットと法 第4版』

　
「総務省がユルユルなせいで個人情報がネットで盗取されるようになるからおまいらビビれ」的なノリで話題になっているasahi.comのこの記事から。

▼「ネット全履歴もとに広告」総務省容認　課題は流出対策（asahi.com）

インターネットでどんなサイトを閲覧したかがすべて記録される。初めて訪れたサイトなのに「あなたにはこんな商品がおすすめ」と宣伝される―。そんなことを可能にする技術の利用に、総務省がゴーサインを出した。ネット接続業者（プロバイダー）側で、情報を丸ごと読み取る技術を広告に使う手法だ。だが、個人の行動記録が丸裸にされて本人の思わぬ形で流出してしまう危険もある。業者は今後、流出を防ぐ指針作りに入る。

asahi.comは単に「総務省は容認」と短く評していますが、少し眉に唾しながら読んで頂く必要もあるかと思います。以下が総務省が出している提言の原文になりますが、これを読むと、DPI（ディープ・パケット・インスペクション）による個人情報収集・利用の基本的な法的論点について網羅的に検討・言及され、同意がなければ違法であることも断言されています。

▼利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」第二次提言ー別紙２（PDF）

DPI 技術を活用した行動ターゲティング広告の実施は、利用者の同意がなければ通信の秘密を侵害するものとして許されない。（P58）

しかし、その違法性を阻却するために事業者が採用すべき“新しい同意の取り方”が、何とも事業者泣かせな嫌な感じになっています。

通信当事者の同意がある場合には、通信当事者の意思に反しない利用であるため、通信の秘密の侵害に当たらない。もっとも、通信の秘密という重大な事項についての同意であるから、その意味を正確に理解したうえで真意に基づいて同意したといえなければ有効な同意があるということはできない。一般に、通信当事者の同意は、「個別」かつ「明確」な同意である必要があると解されており、例えば、ホームページ上の周知だけであったり、契約約款に規定を設けるだけであったりした場合は、有効な同意があったと見なすことは出来ない。（P56）

つまり、色々書いてあって長文な契約約款をweb上のスクロールボックスの中でだらだらよませて「同意」ボタンを押させるような同意の取り方じゃダメだよと。



では、どうすればいいの？という回答がこれまた意味不明。

有効な同意とされるためには、例えば、新規のユーザに対して、契約の際に行動ターゲティング広告に利用するため DPI 技術により通信情報を取得することに同意する旨の項目を契約書に設けて、明示的に確認すること等の方法を行う必要がある。（P56）

ん？web上で「契約約款に規定を設けるだけ」ではダメだけど、「同意する旨の項目を契約書に設け」るとＯＫになるんですか？

私はこれを読んで、2001年に定められた借地借家法第38条第2項の定期借家契約制度を思い浮かべました。

それまで日本では困難だった定期借家（賃借人が強制的な返還義務を負う借家）契約が法律で認められた際、賃貸人にはそれを契約書に明示するだけではなく、契約書とは別に「更新がなく、期間の満了により終了する」ことについて別途書面を交付し説明しなければならない（で結局説明を受けた旨の証拠として印鑑を押させる）という、なんとも重畳的な義務が課されたあの改正。
今回の提言では「書面で」とははっきりと言わず、「契約書」という文字でさらっとごまかしていますが、総務省はDPIをやりたくてしょうがない事業者サイドと権利意識の強い消費者サイドとの狭間で、この定期借家契約スキームを落とし所として想定しているのかもしれません・・・。

ｗｅｂ（画面）上の契約約款だとどうせ読まないから同意したとは認めないが、紙の契約書だったらちゃんと読むだろうからＯＫっていうのはもうやめませんか。どれだけ消費者の契約行為に対して過保護な国なのかと。

利用者も事業者も喜ばない行き過ぎた個人情報保護に対する批判を反映した提言になるはずが、個人情報保護法にも規定されていないような収集・利用にあたっての不毛な義務を事業者に新たに課すだけの提言にならないことを、そして、この過保護さが今回のDPI許諾以外のネット上でのあらゆる契約行為に対する規制に波及しないことを、祈るばかりです。