連載
» 2019年12月02日 05時00分 公開

ハッシュ化したからOKでしょ?:プライバシーフリーク、就活サイト「内定辞退予測」で揺れる“個人スコア社会”到来の法的問題に斬り込む!――プライバシーフリーク・カフェ(PFC)中編 #イベントレポート #完全版 (4/5)

[鈴木正朝, 高木浩光, 板倉陽一郎, 山本一郎,@IT]

Ad Techはどうだ?

鈴木 個人情報保護委員会は、今軽々にCookieの取り扱い方の個人情報の該当性に踏み込むと、オンライン広告など多方面に影響が及ぶ辺り、もう一段精査したいと思っているのではないのかなぁ、と勝手に想像しています。例えば、Ad Tech(広告技術)辺りは、まだ十分に研究していないのではないかなぁ。

山本 Ad TechはAd Techでややこしい話がたくさんあると思いますが。

鈴木 そうですね。そこの適法領域と違法領域の仕分けの落としどころをしっかりつかんだ上で踏み込んでいかないと。そこの整理ができていないのですかね。ただ、対象情報の定義は、義務規定とセットに考えていかないといけません。単純に対象情報の範囲の広狭の是非を独立して論じるものではないですよ。

 あと、そもそも委員会が個人情報の定義という一丁目一番地の判断基準をしっかりとガイドラインで示していない。毎度後出しじゃんけん規制になってしまいかねないところがあります。あらかじめガイドラインにしっかりとガイドしておかなければならないはずなのに、肝心なところが薄いじゃないですか。

 だから、皆さん個人情報の定義の解釈で毎度間違ってしまう。やっぱり委員会が先出ししてガイドしてあげた方がいいですよ。まぁ事業者側も規制緩和ばかり主張しているなら、行政に頼らず、しっかり考えて解釈して自らを律するべきなんじゃないの、とは思いますけどもね。

山本 リクナビの個人情報取り扱いに関するトラブルが、今まさに世界的に問題となっているAd Techにどう波及するかは、それなりに目の端っこに入れておかなければいけないと思うのですが。

高木 前回の個人情報保護法改正、平成27年改正の検討時にも、Ad Techに当たるCookieで集められる履歴をどうするかは検討されましたが、結局うまく整理できず、業界も賛成しないということもあって、先送りされています。今の3年ごと見直しの中間整理の中でも、検討事項という書きぶりで、次の改正でやるつもりはないように見えます。

 私が思ったのは、その話と今回の事案は違うということです。履歴を集める手段がCookieでやっている点では共通ですが、Ad Techの人たちは、そのデータを本人に結び付けることはしないようにずっとやってきたわけです。それは、20年前のDoubleClick訴訟の和解(2002年)からですよ。あくまでも「ブラウザを識別しているのであって、人を識別していない」という建前で、ブラウザ上に広告を出すだけならと和解したんですよね。

 Ad Techの人たちはそうやって、データを渡す相手にも人と結び付けない約束をさせてやってきたのに、リクナビは同じ技術を使いながらこの不文律を破って、もろに人と結び付けることをやってしまったわけです。ここはいったん区別した方がいいでしょう。

 私の提案としては、Ad Tech関係は次の改正ではどうせ間に合わないので先送りした上で、少なくとも人と結び付ける利用の場合は、現行法でも個人情報に該当するという解釈を確認すること、明確化する改正なりを少しでもするときかなと思います。ですので、今回の件がAd Techにはねるということではないと思います。

 ただ、Ad Techの人たちも一部で、氏名と結び付けて使っているところがあるという話がちらほら聞こえてきます。そういうのは現行法でも違法ですので……。

山本 それは、JapanTaxiなどの話も含む感じですかね。タクシーに乗った人の性別や年齢を推定して広告を出すだけでなく、位置情報と許可なく組み合わせるのはいけなかっただろうと。そこはうまく整理されていくのかなと思うのですが。今回、リクルートキャリアは統計データなので、個人情報ではないとする主張も一部含まれていたようですが。

高木 そうでしたね。本当に中の人かは分かりませんが自称(リクナビの)関係者だという人がTwitterに現れまして、泳がせておいたら、いろいろと自発的に釈明してくれて、彼らがどういう誤解をしているかが手に取るように分かって有益でした。

 いわく、「統計データだから個人情報ではない」というんですね。いやいや、複数の人のデータを集約して1つの統計量にしたらそうですけども、Web閲覧履歴を統計化して一人一人のスコアにしたという話ですから、一人一人のデータである以上は、それは個人データなんですよね。たとえ、True or Falseという値であっても、つまり1ビットであっても、本人の個人データなんですよ。そのことがどうも理解されていないようでした。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。