世界情報通信サミット2000

ネット会議

セッション２ -「デジタル・デバイド時代のエレクトロニック・コマース」

ビジネスモデルに関する議論４
From: 高木　寛 .Subj: 【３１】インフォミディアリとプライバシー保護
【２２】前川徹「インフォミディアリとプライバシー保護」といった問題でも結構です。私のところにもインフォミディアリからの相談がきており、具体的な問題となっています。また、ダブルクリック社のケースの中に問題点が具体化されています。ＯＥＣＤの８原則以後、法的強制か自主規制かは別として、個人情報の取得とその第三者への移転には情報主体の明示的承諾を必要とするのが国際的に認められたルールです。その場合、従来の社会でよく見られた「承諾とみなす」や「黙示的承諾」はほとんど認められません。従って情報の仲介業者はその取得と第三者への提供について情報主体の明示的承諾を得なければなりません。もちろん、これは問題の入り口に過ぎません。考え方としては (1)明示的承諾を要求したらそもそもインフォミディアリは成り立たない。 (2)インフォミディアリはプライバシー侵害を前提としており、健全なネットワーク社　会では認めるべきではない。 (3)インフォミディアリに対するビジネス的な要求が強く、肯定する方法を考えるべ　きである。 (4)情報取得の手段であるcookieについて個人情報保護のルールを考える。 (5)ＯＥＣＤ８原則はインターネット以前の原則であって修正が必要か？など、いずれもむずかしいのですが、自己の個人情報をコントロールする情報プライバシー権の考え方からは明示的承諾を不要あるいは軽減することは困難でしょう。 (1)(2)はインフォミディアリがシールプログラム(トラストマーク)を通じて、その透明性を高めて信頼性を高めるという企業努力でクリアするしかないと思います。それができない業者が淘汰されるのはしかたがない。 cookieは承諾なしで情報を取得する手段としては使用できないと思います。cookieのむずかしい点は良心的なサイトでも承諾と情報の取得が時間的にずれてしまうことです。最初のアクセス時に承諾を得たとしても、次に情報を取得するときにはないのが一般です。ダブルクリック社はOPT OUTのボタンでこの問題を解消しようとしていますが、承諾は情報の取得時に必要ですから、別のページにＯＰＴ　ＯＵＴを表示するだけでは足りないことになります。しかし、事前にcookieの使用について承諾が得られていることを前提に、情報取得時に同時にＯＰＴ　ＯＵＴボタンが表示されるのであれば、可能性はあるかもしれません。今の段階では一般のユーザにこのあたりの知識がほとんどありません。啓発が必要だと思います。
From: 前川　徹 .Subj: 【３２】コーディネーター～インフォミディアリ
【３１】高木寛私のところにもインフォミディアリからの相談がきており、具体的な問題となっています。また、ダブルクリック社のケースの中に問題点が具体化されています。やはり問題になっているのですね。B to C タイプの売り手サポート型のインフォミディアリが流行しつつあるという話を聞いてから、プライバシー問題との関係はどうなっているのだろうと思っていました。【３１】高木寛 (1)明示的承諾を要求したらそもそもインフォミディアリは成り立たない。利用者になんらかのメリット（あるいは対価）を与える仕組みにして個人情報を収集利用することは考えられないでしょうか？インターネット上での行動を監視されて、その情報を利用されることには抵抗がありますが、限定された個人情報（たとえば、私が井上陽水と森高千里と S&G が好きだというようなこと）であれば、第三者に提供してもかまわないと考える人がいるのではないかと思います。【３１】高木寛今の段階では一般のユーザにこのあたりの知識がほとんどありません。啓発が必要だと思います。この点はまったく同感です。ただ、事件でも起きないとマスコミはなかなか取り上げてくれないような気がします。
From: 高木　寛 .Subj: 【３３】インフォミディアリとプライバシー
【３２】前川徹利用者になんらかのメリット（あるいは対価）を与える仕組みにして個人情報を収集利用することは考えられないでしょうか？インターネット上での行動を監視されて、その情報を利用されることには抵抗がありますが、限定された個人情報（たとえば、私が井上陽水と森高千里と S&G が好きだというようなこと）であれば、第三者に提供してもかまわないと考える人がいるのではないかと思います。実はインフォミディアリとプライバシーではcookieが不可分の関係にあります。良く知られていることですが、 (1)ユーザがそのサイトを最初に訪れたときcookieはユーザのパソコンにユニークなIDを送り込んできますが、この時点で氏名・メールアドレス・電話番号などの個人情報を収集するときとそうでないときとあります。しかし、いずれもユーザのサイト内の行動履歴(これも個人情報なのですが)はIDと共に収集され、個人情報を提供したユーザの情報はそれと結合されてデータベース化されます。 (2)最初に個人情報を提供しなかったユーザものちに何かの機会に提供するとその時点でそれまでの行動履歴がcookieのIDによって個人情報と結合され、データベース化されます。 (3)さらにそののちにアクセスしたときの履歴もcookieによって個人情報と結合、データベース化されます。クリアしなければならないことは３つあります。［１］氏名などの個人情報を収集するときには当然privacy policyが提示されるのですが、そこにはcookieによって上に述べたような収集・使用が行われることが明示されます。これをきちんと理解した人が果たして個人情報を提供するだろうかという疑問があります。cookieに関する実際のprivacy policyではユーザに利便性をもたらすことを強調するのが一般的ですし、私も前川さんがおっしゃるように対価の提供などによって誘導することもできると思います。amzon.comや変な例で恐縮ですが猥褻サイトでは多くの人が個人情報を出しているのはその例でしょう。しかし、もう一方で透明性を高めてユーザの信頼を得ることが必要なのだろうと思います。［２］米国のthe Children's Online Privacy Protection Act of 1998(COPPA)の施行に当たりFTCは、個人情報を取得するページにprivacy policyのボタンを付けることを要求していますが、この方法はCOPPAだけではなく、大人の個人情報でも要求されるようになってきています。そこでcookieによって行動履歴が収集されるときにこの要件をどのように満たすかを考えなければなりません。ユーザに以前読んだprivacy policyを「記憶していなさい」というのも酷なような気がしますし、ずっとあとになってうっかりしてあらぬボタンをクリックしてそれがデータベース化されるのも困ります。しかし、しつこくprivacy policyボタンが出てくるのではユーザが離れてしまうおそれもあります。このあたりをどのように判断し、ルール化するか悩むところです。おそらくcookieを無効化するOPT OUTの提示の仕方を工夫することになるのだと思います。［３］氏名などの個人情報を出す以前にcookieによって収集された情報をどう扱うかもむずかしい判断です。私としてはインフォミディアリがビジネスとして成り立つような解決を考えたいのですが、ダブルクリック社の問題がどのあたりで収れんするか注目しているところです。ただ、同社に対しては、人権団体だけでなく、ＦＴＣや州政府などからの風当たりも強いようです。ビジネスモデルに関する議論３へ戻る　デジタルデバイド１へ
あなたのご意見をお寄せ下さい