2 民間個人情報保護の法制度のあり方についての検討
2.4 個人情報保護法制化委員会: 関係団体別ヒアリング資料
次に個人情報保護法制化専門委員会が 2000 年に行なった関係団体別ヒアリングのうち で、7月のECOMに対するヒアリング向け資料(個人情報保護SWGとして作成)を見て
いくものとする。これは行政側に対してECに関わる民間企業側としての個人情報の取扱 の実態を把握してもらうという点でとくに意義深いものがあった。
2.4.1 関係団体別ヒアリング事項「電子商取引における個人情報の取扱の実
態」 (電子商取引推進協議会:個人情報保護SWG)
2.4.1.1 結合データベース化による個人の特定
インターネットを使ってバーチャルショップやポータルサイトのホームページにアクセ スすると、本人が自ら個人情報を入力しない場合であっても、サーバー側には、アクセス・
ログ、接続履歴という形でアクセスした側の情報が送信・蓄積されているのが実態である。
またインターネットを利用する殆どのケースにおいて、いわゆる cookieというデータの自 動送信の仕組みを使って、パソコンのブラウザ側の情報(アクセスサイトのコーナー・商 品・興味分野等)は匿名性をもってサーバー側に送られている。
これらの蓄積データと氏名・住所・メールアドレスなどのインプットされた個人情報を結 合すると、本人の知らない間に特定可能な結合個人情報データベースを容易に構築するこ とができる。この手法が前述の様に米国で問題となっている「コンシューマー・プロファイ リング」とよばれるものである。
こうした取扱のメリットとしては、いわゆるワン・ツー・ワン・マーケティング(欲しい 個人に、その欲しい商品・情報を)という事業者側・ユーザー側の双方にとって非常に効 率的なビジネス展開が可能になる。
反面、そのデメリットとしては、デジタル情報であるが故の特性を悪用されて、大量の個 人情報が容易な手段で、情報主体の知らない間に、しかも瞬時に流出、漏洩してしまう危 険性をはらんでいるという点が挙げられる。
2.4.1.2 情報収集時における目的の通知、同意の取得の程度
それぞれの企業規模・業態によってバラツキあるのが実態。
(1) 大手企業サイト・有名モール・通信プロバイダー等
プライバシーポリシー及び個人情報保護に対する方針・考え方をウェブ上に掲載して、
同意の上で取引開始・情報収集に至る。
特に cookie(前述のブラウザ側からの自動送信データ)の使用をホームページ上に公
開して、オプトイン(事前同意)で了解を得てアクセスさせるサイトも多い。
(2) その他及び個人経営サイト等
単一ショップでプライバシーポリシーをウェブ上に掲載している例もあるが、現実に は保護方針等の明示や事前同意なく個人情報を収集するケースが大半。
2.4.1.3 ネット上で収集される個人情報の管理について
データベース化した電子媒体での保存が基本であるが、その保管場所・対策については様々 である。
(1) 大手企業・情報処理関連企業サイト
ホストコンピュータやメインサーバーのハードディスクに蓄積されている個人情報に ついて、パスワード・アクセス制限等により厳重に管理し、外部からの不正アクセス についてもファイアウォールの設定等のセキュリティ対策がなされているケースが多 い。
(2) その他のショッピングサイト等
一部にはデータ保護意識を強く持ち、社内体制も含めて整備されているサイトもある が、多くはコストとのからみで厳重なセキュリティ対策とまでは行かずに、サーバー のハードディスク保管以外にMO・フロッピーディスク等の可搬電子媒体に収納、キ ー付き保管等を行う程度。
2.4.1.4 ネット取引における個人情報保護の取組状況
インターネット上での個人情報の保護については、現状として下記の項目が挙げられる。
(1) ガイドライン等による規制
「通産省個人情報保護ガイドライン」等をベースにした各関連団体による保護ガイド ラインの策定。
(例)ECOMの「電子商取引における個人情報保護ガイドライン」
(2) 個人情報保護マーク制度のオンライン運用
JIPDECのプライバシーマーク(JIS規格)
日本データ通信協会の個人情報保護マーク
その他民間業者によるオンラインデータ保護マーク (3) 技術的なアプローチ
W3CによるP3P(プライバシー提供ランク自動設定)の取組み OECDによるプライバシー・ポリシー・ジェネレータ(生成器)導入 各種暗号技術による通信データの保護(SET・SSL等)
(4) 先進企業による自主規制
プライバシーポリシー・個人情報保護方針のウェブ掲載 プライバシー保護不充分企業サイトに対する自社広告自粛 個人情報保護プログラム(社内遵守規定)の策定
(5) 国際的な取組
プライバシー規制に対する企業側意識の高まりを反映してJIPDECのプラ イバシーマークの申請が増加
このJIPDECと米国のBBBオンラインのマーク制度との相互承認に向け ての取組み
米国を代表として、プライバシー保護の民間団体の活動が活発化
世界的にもオプトイン(事前同意あれば可)ビジネスが台頭してきており、これ までのオプトアウト(事前拒否なければ可)ビジネスに対する個人情報取扱いの 差別化要因として機能
2.4.2 インターネットを利用したワン・ツー・ワン取引における個人情報の活
用に利用目的制限を課した場合の実ビジネスへの影響
2.4.2.1 一般収集情報について
情報収集時の本人「同意」の取得について、わが国の一般的な商慣行からしても、妥当 なレベルで本人「同意」の事後取得や本人「同意」の推定規定といった考え方を導入しな いと事業活動に支障をきたす恐れが強い。
l プロバイダーへの加入時に受けるEC上の会員制サービスの提供の場合、サー ビス内容の改善や新サービスメニューの追加を行う場合に当初目的に限定され るのは、現実的でない。(相当程度包括的な目的が認められるべき。)
l グループ企業内で複合的にネット上での個人情報を収集・利用している場合、
窓口企業がその利用目的を示し、本人から同意を取り付けただけでは不十分とな ると、各企業が個別にその個人の同意を取らなければならなくなり、かえって面 倒な事態を招来する。
l プロバイダー企業の合併・再編及び会社機能のネット分社化(本体から分離)
等があるたびに、その都度、個別の顧客に利用目的の同意を取り直すのは非現実 的。
2.4.2.2 付随・特殊情報について
l アクセスログ(前述)からその商品・コンテンツの人気度(ヒット件数)を把 握して、結果としてその個人に詳細情報・関連グッズの紹介に及ぶ場合、アクセ ス毎に利用目的の通知や同意の取得は困難である。
l ネットショッピングしていただいた商品のアフターサービスの情報や修理内容 等の情報について、当初の利用目的だけに限定されると逆に顧客に対するサービ ス低下のおそれあり。
2.4.3 取扱いの透明性を確保する為の手段の在り方
2.4.3.1 消費者側にとっては
l 開示請求権・異議申立権等の基本的な考え方として、個人権利の範囲を明確に して上で、ネット上のアクセス可能手段・方法の明示。
l 同上の権利を行使できるような苦情窓口の設定と窓口責任者の配置。
2.4.3.2 事業者側にとっては
l 取引上不必要な開示請求権の行使等は、アクセス件数の増大につながり、サー バーの本来目的でない負担増につながるため、情報ランク・アクセス可能要件の 設定等が必要。