経済産業省
文字サイズ変更

IT融合フォーラム パーソナルデータワーキンググループ(第3回)‐議事要旨

日時:平成25年1月18日(木曜日)10時~12時
場所:経済産業省 本館2階 西3共用会議室

出席者

委員
松本座長、石井(純)委員、大倉委員、金子委員、小林委員、小松委員、崎村委員、佐藤委員、城田委員、森委員、森川委員(関委員代理)
経済産業省
商務情報政策局情報経済課 佐脇課長、三又課長、宮田補佐
オブザーバー
消費者庁 消費者制度課個人情報保護推進室 辻畑課長補佐
総務省 情報流通行政局情報流通振興課情報セキュリティ対策室 藤波補佐

議題

  1. 前回までの議論のまとめ
  2. 「同意取得」を通じた事業者と利用者の信頼関係構築の実現に向けて
  3. 討議

議事概要

I.分かりやすさの手法・アプローチに関する論点

  • 同意取得の際に、サービスによっては最低3,4個の同意画面が出てきて、クリックトレーニングしてしまうことが問題となっている。事業者視点としては、利用者は同意ボタンを押しているのでエクスキューズになっていると認識しているが、エクスキューズが成り立つという考え方とそうでない考え方がある。それを避けるためには、「そんなことを思っていなかった」と明示する必要がある。文章にメリハリをつけることで見なし同意を事実上なくし、クリックトレーニングを回避するのである。
  • 事前同意(オプトイン)だけでなく、オプトアウトができているかにも目を向けるべきである。Facebookはあとから設定を変えることができる。ユーザーは自分でコントールできるから安心できる。Google+も同様のことをやっており、オプトアウトはアメリカの事業者に受け入れられている。
  • SNS上では、第三者が提供するサービスを利用する場合がある。このような場合のオプトアウトは、APIを用いて制御しなくてはならず、プロトコルを標準化しなければならない。今年度中にプロトコルが標準化されると聞いている。
  • 法の遵守という意味においては、現在のサービスはほとんど合法である。情報取得のデフォルト設定をオフにするといったことを世の中にどう普及させていくのか。JIS Q1501で言えば、第三者認証のような機関が規定するとかPマークを使うといったことが現実的だと思うが、どのように対応するか議論する必要がある。法律改正も含め、行政として実現可能なパッケージをつくる必要があるのかもしれない。
  • EU電子プライバシー保護指令(クッキー法)では、オプトイン(事前同意)を原則としている。各Webサイトでは、サイトに埋め込んでいるCookieの種類や具体的なCookie名称を分かり易く説明し、ユーザーの同意を得ることが必要である。例えば、Cookieの受け入れなどの業者名ができていて、onかoffか変更できるようになっている。これがきちんとできないとICO(Information Commissioner's Office)に対して最大50万ユーロ(約7000万円)払うことになる。つまり、罰則も含めないと実効性がないということである。
  • 日本の場合は、プライバシー侵害で訴訟になっても損害賠償が5万円で済むようなケースがほとんどである。個人情報保護法では刑罰は一件もない。罰則よりも社会的批判でサービスをやめてしまう。クリアなルールがあれば法執行も意味があり、法執行のためのルールの明確化も必要である。
  • 分かり易さの課題として、現状では利用目的の通知義務はあっても、取得する一連の個人情報を項目に分けて各々について記載する義務が現状ないことがある。意図しない項目を事業者が都合良く使える状態になってしまう。識別情報に類する項目だけでなく、属性情報に類する項目の利用目的についても記載することで、利用目的を分かり易くできるのではないか。

II.分かり易さの手法・アプローチに関する論点

  • 事業者の視点で述べると、アプリケーションの審査・評価に対し、アプリをアップデートする度に審査を受けたり、審査をやり直したりするまでサービスが始めらないような内容は負担である。年一回行うのか、アプリケーション毎に審査になるのかが気になる。審査に数十万円から数百万円かけて行うなどのしくみになってしまうのは承諾しかねる。
  • 何をどのように審査するか、が重要である。例えば、水準審査は年一回、それ以外はマネジメント審査を行うなど、実現にはいくつかのパターンがあるだろう。
  • スマートフォンアプリの場合、技術的なことと利用目的文言を分かり易くすることを明確に分ける必要がある。技術的なことの例としては、アプリ開発の審査において、SDメモリカードにアクセスできるのか、アドレス帳にアクセスできるのか、ネットワーク通信になるのかなどの権限に基づいたチェックがある。しかし、一般の利用者が判断できるかは疑問である。分かり易さの提供という意味では、有言実行の「有言」の内容が適正かを利用者がどうやって判断するかが課題である。
  • 情報アクセスの権限は、「電話帳にアクセスしていいですか」「ネットワークにアクセスしていいですか」と聞かれているだけであって、「電話帳を吸い上げてそれをネットワークにアクセスしているか」はわからない。利用目的は「あなたのアドレス帳にアクセスして、電話帳の内容を名簿にして販売していいですか」などという具合に明確に示さなければいけない、ということである。
  • 利用目的の文言の分かり易さの改善のためには、ToS;DRのようにアイコン化するのも一つの解決方法である。ただし、ToS;DRのような評判システムでやるのか公的機関でやるのか、メリット/デメリットを整理したほうがよい。利用者は意外と公的機関を信頼している。マークをつけてもらうと安心するが、事業者側の負担は大きくなる。
  • 「どこまでがOK」「ここから先は駄目」と決めていくのは難しい。ハードロー(法)でどこまで規定し、ソフトロー(ガイドラインや自主規制等)でどこまで規定していくのか。また、公的機関が唯一無二の判断ができるのか。大きな悩みである。
  • 情報主体(消費者)が判断できる形の仕組みが良いのではないか。実際の同意の取り方や説明の仕方はソフトローに任せる分担になる。どの項目をどう利用するのかを分り易くする必要がある。情報主体に認識してもらって判断してもらい、あとでやりなおせる手段も確保する、というのが現実的なのではないか。
  • 情報主体に対してだけではなく、関係者が「分かる(合意する)」ことが重要である。取得の事実を公表する、安全管理措置について公表する等のアプローチの方がいいのではないか。個人情報保護法50条に書かれている安全管理のための必要な処置の公表を義務化する、というアプローチもあるだろう。
  • まず在るべき論で進めるのが良いのではないか。例えば、同意原則はハードロー、利用する情報の項目列記を含めるのはガイドライン(ソフトロー)など。
  • プライバシーポリシーの作成や公表は法律上の義務はないが、事業者のやり方を透明化して、社会的に認められるようにしていくために必要だろう。それを証明するために、第三者認証機関が必要となるのではないか。
  • 第三者認証・評価・審査ができると、そこに依存してしまう危険性もある。第三者認証機関の「あり方」を慎重に設計しなければいけない。そこに依存してはいけない。
  • 基準を満たしているのかどうかを、行政機関の代わりに第三者機関が評価する方法もある。法的規制の代替ではなく、青少年保護のようなものである。認定を受けなくてもビジネスはできるが、信頼されないリスクがある。よりよいビジネスはこちらの方という認証である。
  • ビジネスそのものではなく、個人情報に関する評価をし、分かり易い表示になっているのか、不必要な事項がデフォルトでonになっていないか等を世間に公表するということが重要なのではないか。
  • 第三者認証を欲しているのは中小企業である。何かが起きた場合に「駆け込み寺」になるような機関が必要ではないか。例えば英国のICOは、違反した場合に「罰金を支払いなさい」というのではなく、改善のために「ソフトなアドバイス」をする。そのような親身になってくれる駆け込み寺が必要ではないか。

III.消費者による情報開示レベルの制御

  • 自分の情報(個人情報+ライフログ)がどこか格納されている場所があり、事業者はそこから選択的に情報を取る。その時に、利用者はあらかじめ設定した内容によってコミュニケーションを取る、という形にできないか。
  • IdP(アイデンティプロバイダー)という概念があり、プロトコルも規定されている。IdPはパーソナルデータストアとして情報を整理する。IdPは目的、属性項目を利用者に表示しなければならない、求められた以外の項目は外には出さない等、ポリシーで決められた情報は出してはならないというガイドラインが存在する。
  • IdPはビジネスが成り立たないのではないか。情報銀行も実証実験したがビジネスにならなかったと聞いている。IdPがビジネスとして成立させるのはどうしたらよいかという議論が必要である。
  • 情報取得を公的機関がやってくれると安心感がある。公的機関がAPIを公開し、事業者はそれを介して情報を得るというモデルである。
  • IdPのような、特定の個人情報を取り扱う事業はどのようなレイヤーで規律するのが社会的にいいのかを思考実験として考えてみたい。

以上

お問合せ先

商務情報政策局 情報経済課

関連リンク

最終更新日:2013年4月26日
経済産業省 〒100-8901 東京都千代田区霞が関1-3-1 代表電話 03-3501-1511
Copyright Ministry of Economy, Trade and Industry. All Rights Reserved.