インターネット上の利用者のプライバシー保護へ向けて

平成11年5月
財団法人ニューメディア開発協会

 

1.はじめに

 近年、学校教育におけるインターネットの利用が急速に拡大しています。インタ ーネットは生徒の情報収集のツールとして、また情報発信のツールとして教育現場 に様々な恩恵をもたらしています。

 こうした反面、生徒たちがインターネットの各種サービスを利用する際に、自分 の住所、電話番号、メールアドレス等の個人情報の入力を要求されることがありま す。これは一般のインターネット利用者についても言えます。近年では、こうして 入力された個人情報が利用者の知らない間にWebサイト運営者によって収集・蓄積さ れていたり、利用者の予期しないやり方で使用されたりする事態が生じています。 現に、昨年の1月には東京のインターネットプロバイダーの加入者名簿がインターネ ット上に流出するという事件や、昨年10月にはエンターテインメント市場調査会社 の運営するWebページの懸賞付きアンケートに回答した利用者の個人情報リストがイ ンターネット上に流出するという事件が起こっています。また、一度利用したショ ッピングサイトからしつこい売り込みを受けたり、さらには見知らぬ業者から勧誘 メールを送りつけられたりして迷惑を被る利用者も増えてきています。利用者の間 には、自分が入力した個人情報がWebサイトによって流用されたり、第三者に提供さ れたりしているのではないかという懸念が生じています。

 このような現状においては、生徒たちがインターネット利用中に訪問したWebサイ トでうっかり入力した個人情報が業者によって悪用されてしまう恐れもあります。 したがって、インターネットを利用する生徒たちは、自分の個人情報をネット上で 不必要に提供することのないように注意する必要があります。

2.米国の動向

 昨年3月、米国で連邦取引委員会が行った調査では、商業サイトの90%以上が個人 データを利用者から収集しており、また、子供向けサイトの90%近くが子供たちから 個人データを収集しているという結果が出ました。子供向けサイトは可愛らしいキャ ラクターを使って個人データを要求して来たり、ゲストブックに記帳させたり、賞品 で誘って個人データを入力させたり、「ペンフレンド紹介」や「オンラインコンテス ト開催」の名目で多くの学童から個人データを収集したりすることがあります。ひど い所では、子供に対して親の金融情報まで聞いてくるWebサイトもありました。 こ のように米国では、特に子供に対するネット上のプライバシー侵害が大きな社会問 題となっており、昨年10月には連邦取引委員会や消費者保護団体の要請を受ける形 で、「児童オンラインプライバシー保護法」が成立しています。この法律は、Webサ イトが12歳以下の子供から個人情報を収集する場合には、収集する前に親から同意 を得なければならないとするものです。一方で、連邦取引委員会は、大人を含むイ ンターネット利用者の包括的なプライバシー保護に関しては民間部門の自主規制に 任せる姿勢を維持しています。

 そこで民間部門に目を向けると、個人情報の適切な取り扱いを行うWebサイトに対 して「プライバシーマーク」を付与する機関であるTRUSTeやBBBオンラインが産業界 の自主規制を促進しており、TRUSTeは今年の3月時点で約500のサイトにプライバシ ーマークを付与しています。昨年6月には、アメリカ・オンライン、マイクロソフ ト、米ダイレクトマーケティング協会等の企業及び業界団体からなるオンライン・ プライバシー・アライアンスが発足し、やはり民間部門の自主規制を促進していま す。また、大手Webサイトにおいては、利用者から収集した個人情報の取り扱い方法 や利用者向けの問合せ窓口等を明記した「プライバシーポリシー」ページを掲載す るサイトが増えてきています。

3.EU(欧州連合)の動向

 欧州では伝統的に個人情報の漏洩等に対する警戒感が強く、インターネット上の 個人情報を保護するための法規制を継続的に主張しています。

 EUは95年10月に、加盟国に対して個人情報保護に関する包括的な法律を策定する ことを求める「個人データ処理に係る個人情報の保護及び当該データの自由な移動 に関する欧州議会及び理事会の指令」、通称「EU指令」を公示しており、同指令を 昨年10月25日から施行しています。同指令は第25条において、EU域内から、個人デ ータに関する十分なレベルの保護が行われていない第三国への個人データの移動を 禁じています。

 このEU指令の施行を受けて、個人データの移動制限等による経済活動への影響を 懸念した米国は昨年からEU側と協議を続けていましたが、今年4月になって企業・団 体による個人情報の取り扱いについて保護基準を導入することで基本合意し、米商 務省は企業・団体に対して「本人に個人データの用途と苦情の連絡先を伝達するこ と」など7項目からなる個人データ保護指針を策定しています。

 英国やイタリア、ギリシャ等の国はすでにEU指令に対応した法律を制定していま す。フランス、ドイツは、データ保護に関する法令をEU指令に合わせて改正してい る最中です。

4.プライバシー保護へ向けた日本の取組み

 日本では、1988年に公共部門を対象にした「行政機関の保有する電子計算機処理 に係る個人情報の保護に関する法律」が策定されています。

 民間部門の個人情報保護についてはいまだ包括的な法律はないものの、日本情報 処理開発協会(JIPDEC)が1988年に「民間部門における個人情報保護のためのガイ ドライン」を策定しており、1989年には通商産業省がJIPDECのガイドラインを「民 間部門における個人情報保護のためのガイドライン」として提示しています。95年 に公示されたEU指令にも配慮した形で、通商産業省は1997年には同ガイドラインを 改正した「民間部門における電子計算機処理に係る個人情報の保護に関するガイド ライン」を公示しています。また、コンピュータ関連企業が組織する電子ネットワ ーク協議会は電子ネットワーク事業者向けに「個人情報保護に関するガイドライ ン」を作成しており、1997年には同ガイドラインの改訂版を作成しています。

 また、JIPDECは通商産業省のガイドラインを補完する制度として、昨年4月から同 ガイドラインに準拠して個人情報の取り扱いを適切に行っている民間事業者に対し て「プライバシーマーク」の使用を認めるプライバシーマーク制度の運用を開始し ています。今年の4月12日現在では58の事業者がプライバシーマークの使用を許諾さ れています。

 今年の3月には、通商産業省が事業者の個人情報管理システムに日本工業規格 (JIS)である「個人情報保護に関するコンプライアンス・プログラムの要求事項」 を導入しています。同規格は、事業者が自主的に策定する個人情報保護のためのコ ンプライアンスプログラム(実践遵守計画)の最小限の要求事項を規定するもので す。JIPDECはこの規格の制定を受けて、今後は同規格との適合性を評価する第三者 機関として、プライバシーマーク制度の運用を継続していくことになっています。

 日本政府は今年4月16日に決定された高度情報通信社会推進本部の行動計画におい て、国民の情報リテラシーの向上を図るため、2001年までにすべての公立学校をイ ンターネットに接続する計画を打ち出しています。同行動計画の中ではまた、電子 商取引の本格的普及へ向けて、個人情報保護の在り方を検討する部会を99年夏をめ どに設置する計画が盛り込まれています。

 このように日本では米国、EU等の動きに対応した形で、公的機関が中心となって 個人情報保護に向けた取り組みを推進していますが、民間のWebサイトで個人情報の 取り扱い方法を明記したプライバシーポリシーを掲げているサイトは極めて少な く、民間部門の取組みにおいては立ち遅れていると言えます。

5.インターネット利用上の注意

 「1.はじめに」で述べたように、Web上の多数の業者から個人情報を要求された り、利用者の個人情報がネット上に流出する事件が生じたりする現状では、生徒た ちがインターネット利用中に何気なく入力した個人情報が業者によって悪用された り、第三者に提供されたりする恐れもあります。

 上記のように、日本では公的機関が中心となって個人情報保護へ向けた取り組み を進めている段階ですが、プライバシーマークの掲載等の手段によって個人情報の 取り扱い方針を利用者側に明示しているWebサイトはまだ少なく、利用者はプライバ シーを侵害されるリスクを負ってインターネット上のサービスを利用しているのが 実状です。

 そこで、利用者が安全にインターネットを利用するためには、不必要な個人情報 の提供を避けること等、利用者側で自己防衛策をとることが必要となります。以下 に、インターネットを利用する上で利用者が注意すべきいくつかの点を挙げます。

(1) Webサイトのサービスを利用する上で、Webサイトへの提供が不必要と思われる個 人情報については提供しない。あるいは、必要最小限の個人情報のみを提供するよ うにする。 

 例えば、「趣味・嗜好」、「興味ある分野」等は、多くの場合、Webサイト運営者 がマーケティングへの利用を目的として収集している個人情報ですので、そのよう な利用を望まない場合には提供しないようにします。

(2) 次に掲げる種類の内容を含む個人情報については提供しない。

(3) Webサイト運営者が個人情報の収集目的等を明記しているかどうか、明記してい る場合にはその内容をチェックする。

(4) Webサイト運営者が、利用者からの問合せに対応するための対応窓口を設定して いるかどうかをチェックする。

(5) パスワードなど利用者本人しか知り得ない個人情報については、他人に漏洩する ことのないよう、利用者本人が責任を持って管理する。

6.プライバシー情報管理システムについて

 今年3月、ニューメディア開発協会は、上記のようなインターネット上の利用者の プライバシー侵害の問題に対処するために、インターネット上で収集された利用者 の個人情報が利用者の承認した用途と範囲内で適正に使用されることを目的とした 「プライバシー情報管理システム」を開発しています。同システムは、WWWコンソー シアム(W3C)が開発を進めている技術仕様であるPlatform for Privacy Preferences(P3P、プライバシー情報取り扱いに対する個人の選好を支持する技術 基盤)に準拠したシステムです。

 以下に、プライバシー情報管理システムの概要を説明します。

(1)プライバシー情報管理システムとは

 プライバシー情報管理システムは、ネット上で個人情報をやりとりする際に、Web サイトが個人情報の取り扱いに関して利用者に明確に通知し、利用者が自分の意思 で個人情報提供の可否を選択することによって、利用者のプライバシーを保護する ためのシステムです。同システムを導入したWebサイトは、利用者の個人情報の取り 扱いについて明確な方針を公開することになります。

 なお、プライバシー情報管理システムが機能するためには、Webサイト運営者と Webサイト利用者の両者が同システムを使用する必要があります。

(2)プライバシー情報管理システムの構成

 プライバシー情報管理システムは以下の3つの機能から構成されています。

 プロポーザル機能
 Webサイトをプライバシー情報管理システムに対応させるための機能です。 ニューメディア開発協会は次の機能をもったP3Pオーサリングツールを提供す る予定です。
 Webサイト運営者はP3Pオーサリングツールを用いることにより、Webサイト における個人情報の使用目的と開示範囲について説明した個人情報提供要求 (プロポーザルといいます)を容易に作成することができます。個人情報の使 用目的には、購入商品の発送のように利用者の依頼に応えることや、利用者の 属性に合ったWebページを表示すること等があります。また、個人情報の開示 範囲とは、収集した個人情報をWebサイト内でのみ使用するのか、あるいは他 の組織に提供するのか等を示します。Webサイトにアクセスした利用者に対し てこのようなプロポーザルを送信することにより、Webサイトは利用者から事 前の同意を得た上で、必要とする個人情報を収集することになります。
 P3PオーサリングツールはプロポーザルをCGI(Perl スクリプト)で作成しま すので、プライバシー情報管理システムを利用するためには、CGIが動作可能 なWebサーバが必要となります。
 このほか、Webサイト運営者がプライバシーポリシーを容易に作成できるよ うにするための「プライバシーウィザード」も搭載されています。

 プリファレンスビューロ機能
 利用者があらかじめ自分の個人情報とプリファレンスとを登録しておくため に、Webブラウザが動作するパソコンにインストールしておく機能です。プリ ファレンスとは、Webサイトに提供してもよい個人情報およびその使用目的と 開示範囲について規定した個人情報使用原則のことです。ニューメディア開発 協会はこのプリファレンスビューロ機能とその設定ツールを提供する予定で す。
 プリファレンスビューロ機能は、個人のパソコンの他、学校や会社のプロキ シサーバにインストールすることもできます。これにより、生徒や社員の個別 のパソコンにインストールする手間がなくなるほか、複数の利用者(生徒、社 員)の個人データ取り扱いを集中的に管理することもできるようになります。
ニューメディア開発協会では、本機能をWindows95/98/NTとLinuxで実現するソ フトウェアを提供する予定です。

 ユーザエージェント機能
 利用者がインストールする機能です。Webサイトの要求に利用者が同意でき るものか否かを決定するために、Webサイトからのプロポーザルと利用者のプ リファレンスとを自動的に照合し、両者が合致すれば個人情報をWebサイトに 送る働きをします。それに加えて、Webサイトからのプロポーザルを、利用者 が読むことができる形でWebブラウザ上に表示することにより、利用者からそ のつど同意を得た上で、個人情報をWebサイトに送信する(インフォームドコ ンセント)機能があります。  ユーザエージェント機能は、個人のパソコンの他、学校や会社のプロキシサ ーバにインストールすることもできます。これにより、生徒や社員の個別のパ ソコンにインストールする手間がなくなるほか、複数の利用者(生徒、社員) の個人データ取り扱いを集中的に管理することもできるようになります。ニュ ーメディア開発協会では、本機能をWindows95/98/NTとLinuxで実現するソフト ウェアを提供する予定です。

参考資料

 

ニューメディア開発協会のページに戻る
e-mail address press@nmda.or.jp
(c)1999 New Media Development Association