インターネット上の利用者のプライバシー保護へ向けて

平成11年5月

1.はじめに

 近年、学校教育におけるインターネットの利用が急速に拡大しています。イ ンターネットは生徒の情報収集のツールとして、また情報発信のツールとして 教育現場に様々な恩恵をもたらしています。

 こうした反面、生徒たちがインターネットの各種サービスを利用する際に、 自分の住所、電話番号、メールアドレス等の個人情報の入力を要求されること があります。これは一般のインターネット利用者についても言えます。近年で は、こうして入力された個人情報が利用者の知らない間にWebサイト運営者に よって収集・蓄積されていたり、利用者の予期しないやり方で使用されたりす る事態が生じています。現に、昨年の1月には東京のインターネットプロバイ ダーの加入者名簿がインターネット上に流出するという事件や、昨年10月には エンターテインメント市場調査会社の運営するWebページの懸賞付きアンケー トに回答した利用者の個人情報リストがインターネット上に流出するという事 件が起こっています。また、一度利用したショッピングサイトからしつこい売 り込みを受けたり、さらには見知らぬ業者から勧誘メールを送りつけられたり して迷惑を被る利用者も増えてきています。利用者の間には、自分が入力した 個人情報がWebサイトによって流用されたり、第三者に提供されたりしている のではないかという懸念が生じています。

 このような現状においては、生徒たちがインターネット利用中に訪問した Webサイトでうっかり入力した個人情報が業者によって悪用されてしまう恐れ もあります。したがって、インターネットを利用する生徒たちは、自分の個人 情報をネット上で不必要に提供することのないように注意する必要があります。

2.米国の動向

 昨年3月、米国で連邦取引委員会が行った調査では、商業サイトの90%以上が個人データを利用者から収集しており、また、子供向けサイトの90%近くが子供たちから個人データを収集しているという結果が出ました。子供向けサイトは可愛らしいキャラクターを使って個人データを要求して来たり、ゲストブックに記帳させたり、賞品で誘って個人データを入力させたり、「ペンフレンド紹介」や「オンラインコンテスト開催」の名目で多くの学童から個人データを収集したりすることがあります。ひどい所では、子供に対して親の金融情報まで聞いてくるWebサイトもありました。  このように米国では、特に子供に対するネット上のプライバシー侵害が大き な社会問題となっており、昨年10月には連邦取引委員会や消費者保護団体の要 請を受ける形で、「児童オンラインプライバシー保護法」が成立しています。 この法律は、Webサイトが12歳以下の子供から個人情報を収集する場合には、 収集する前に親から同意を得なければならないとするものです。一方で、連邦 取引委員会は、大人を含むインターネット利用者の包括的なプライバシー保護 に関しては民間部門の自主規制に任せる姿勢を維持しています。

 そこで民間部門に目を向けると、個人情報の適切な取り扱いを行うWebサイ トに対して「プライバシーマーク」を付与する機関であるTRUSTeやBBBオンラ インが産業界の自主規制を促進しており、TRUSTeは今年の3月時点で約500のサ イトにプライバシーマークを付与しています。昨年6月には、アメリカ・オン ライン、マイクロソフト、米ダイレクトマーケティング協会等の企業及び業界 団体からなるオンライン・プライバシー・アライアンスが発足し、やはり民間 部門の自主規制を促進しています。また、大手Webサイトにおいては、利用者 から収集した個人情報の取り扱い方法や利用者向けの問合せ窓口等を明記した 「プライバシーポリシー」ページを掲載するサイトが増えてきています。

3.EU(欧州連合)の動向

 欧州では伝統的に個人情報の漏洩等に対する警戒感が強く、インターネット 上の個人情報を保護するための法規制を継続的に主張しています。

 EUは95年10月に、加盟国に対して個人情報保護に関する包括的な法律を策定 することを求める「個人データ処理に係る個人情報の保護及び当該データの自 由な移動に関する欧州議会及び理事会の指令」、通称「EU指令」を公示してお り、同指令を昨年10月25日から施行しています。同指令は第25条において、EU 域内から、個人データに関する十分なレベルの保護が行われていない第三国へ の個人データの移動を禁じています。

 このEU指令の施行を受けて、個人データの移動制限等による経済活動への影 響を懸念した米国は昨年からEU側と協議を続けていましたが、今年4月になっ て企業・団体による個人情報の取り扱いについて保護基準を導入することで基 本合意し、米商務省は企業・団体に対して「本人に個人データの用途と苦情の 連絡先を伝達すること」など7項目からなる個人データ保護指針を策定してい ます。

 英国やイタリア、ギリシャ等の国はすでにEU指令に対応した法律を制定して います。フランス、ドイツは、データ保護に関する法令をEU指令に合わせて改 正している最中です。

4.プライバシー保護へ向けた日本の取組み

 日本では、1988年に公共部門を対象にした「行政機関の保有する電子計算機 処理に係る個人情報の保護に関する法律」が策定されています。

 民間部門の個人情報保護についてはいまだ包括的な法律はないものの、日本 情報処理開発協会(JIPDEC)が1988年に「民間部門における個人情報保護のた めのガイドライン」を策定しており、1989年には通商産業省がJIPDECのガイド ラインを「民間部門における個人情報保護のためのガイドライン」として提示 しています。95年に公示されたEU指令にも配慮した形で、通商産業省は1997年 には同ガイドラインを改正した「民間部門における電子計算機処理に係る個人 情報の保護に関するガイドライン」を公示しています。また、コンピュータ関 連企業が組織する電子ネットワーク協議会は電子ネットワーク事業者向けに 「個人情報保護に関するガイドライン」を作成しており、1997年には同ガイド ラインの改訂版を作成しています。

 また、JIPDECは通商産業省のガイドラインを補完する制度として、昨年4月 から同ガイドラインに準拠して個人情報の取り扱いを適切に行っている民間事 業者に対して「プライバシーマーク」の使用を認めるプライバシーマーク制度 の運用を開始しています。今年の4月12日現在では58の事業者がプライバシー マークの使用を許諾されています。

 今年の3月には、通商産業省が事業者の個人情報管理システムに日本工業規 格(JIS)である「個人情報保護に関するコンプライアンス・プログラムの要 求事項」を導入しています。同規格は、事業者が自主的に策定する個人情報保 護のためのコンプライアンスプログラム(実践遵守計画)の最小限の要求事項 を規定するものです。JIPDECはこの規格の制定を受けて、今後は同規格との適 合性を評価する第三者機関として、プライバシーマーク制度の運用を継続して いくことになっています。

 日本政府は今年4月16日に決定された高度情報通信社会推進本部の行動計画 において、国民の情報リテラシーの向上を図るため、2001年までにすべての公 立学校をインターネットに接続する計画を打ち出しています。同行動計画の中 ではまた、電子商取引の本格的普及へ向けて、個人情報保護の在り方を検討す る部会を99年夏をめどに設置する計画が盛り込まれています。

 このように日本では米国、EU等の動きに対応した形で、公的機関が中心となっ て個人情報保護に向けた取り組みを推進していますが、民間のWebサイトで個 人情報の取り扱い方法を明記したプライバシーポリシーを掲げているサイトは 極めて少なく、民間部門の取組みにおいては立ち遅れていると言えます。

5. インターネット利用上の注意

 「1.はじめに」で述べたように、Web上の多数の業者から個人情報を要求 されたり、利用者の個人情報がネット上に流出する事件が生じたりする現状で は、生徒たちがインターネット利用中に何気なく入力した個人情報が業者によっ て悪用されたり、第三者に提供されたりする恐れもあります。

 上記のように、日本では公的機関が中心となって個人情報保護へ向けた取り 組みを進めている段階ですが、プライバシーマークの掲載等の手段によって個 人情報の取り扱い方針を利用者側に明示しているWebサイトはまだ少なく、利 用者はプライバシーを侵害されるリスクを負ってインターネット上のサービス を利用しているのが実状です。

 そこで、利用者が安全にインターネットを利用するためには、不必要な個人 情報の提供を避けること等、利用者側で自己防衛策をとることが必要となりま す。以下に、インターネットを利用する上で利用者が注意すべきいくつかの点 を挙げます。

(1)Webサイトのサービスを利用する上で、Webサイトへの提供が不必要と思われ る個人情報については提供しない。あるいは、必要最小限の個人情報のみを提 供するようにする。 

 例えば、「趣味・嗜好」、「興味ある分野」等は、多くの場合、Webサイト 運営者がマーケティングへの利用を目的として収集している個人情報ですので、 そのような利用を望まない場合には提供しないようにします。

(2)次に掲げる種類の内容を含む個人情報については提供しない。

(3)Webサイト運営者が個人情報の収集目的等を明記しているかどうか、明記し ている場合にはその内容をチェックする。

(4)Webサイト運営者が、利用者からの問合せに対応するための対応窓口を設定 しているかどうかをチェックする。

(5)パスワードなど利用者本人しか知り得ない個人情報については、他人に漏 洩することのないよう、利用者本人が責任を持って管理する。

6.「プライバシー情報管理システム」について

 今年3月、ニューメディア開発協会は、上記のようなインターネット上の利 用者のプライバシー侵害の問題に対処するために、インターネット上で収集さ れた利用者の個人情報が利用者の承認した用途と範囲内で適正に使用されるこ とを目的とした「プライバシー情報管理システム」を開発しています。同シス テムは、WWWコンソーシアム(W3C)が開発を進めている技術仕様である Platform for Privacy Preferences (P3P、プライバシー情報取り扱いに対す る個人の選好を支持する技術基盤)に準拠したシステムです。

 以下に、プライバシー情報管理システムの概要を説明します。

(1)プライバシー情報管理システムとは

 プライバシー情報管理システムは、ネット上で個人情報をやりとりする際に、 Webサイトが個人情報の取り扱いに関して利用者に明確に通知し、利用者が自 分の意思で個人情報提供の可否を選択することによって、利用者のプライバシー を保護するためのシステムです。同システムを導入したWebサイトは、利用者 の個人情報の取り扱いについて明確な方針を公開することになります。

 なお、プライバシー情報管理システムが機能するためには、Webサイト運営 者とWebサイト利用者の両者が同システムを使用する必要があります。

(2)プライバシー情報管理システムの構成

 プライバシー情報管理システムは以下の3つの機能から構成されています。

プロポーザル機能
 Webサイトをプライバシー情報管理システムに対応させるための機能で す。ニューメディア開発協会は次の機能をもったP3Pオーサリングツールを提 供する予定です。
 Webサイト運営者はP3Pオーサリングツールを用いることにより、Webサ イトにおける個人情報の使用目的と開示範囲について説明した個人情報提供要 求(プロポーザルといいます)を容易に作成することができます。個人情報の 使用目的には、購入商品の発送のように利用者の依頼に応えることや、利用者 の属性に合ったWebページを表示すること等があります。また、個人情報の開 示範囲とは、収集した個人情報をWebサイト内でのみ使用するのか、あるいは 他の組織に提供するのか等を示します。Webサイトにアクセスした利用者に対 してこのようなプロポーザルを送信することにより、Webサイトは利用者から 事前の同意を得た上で、必要とする個人情報を収集することになります。
 P3PオーサリングツールはプロポーザルをCGI(Perlスクリプト)で作成 しますので、プライバシー情報管理システムを利用するためには、CGIが動作 可能なWebサーバが必要となります。
 このほか、Webサイト運営者がプライバシーポリシーを容易に作成でき るようにするための「プライバシーウィザード」も搭載されています。
プリファレンスビューロ機能
 利用者があらかじめ自分の個人情報とプリファレンスとを登録しておく ために、Webブラウザが動作するパソコンにインストールしておく機能です。 プリファレンスとは、Webサイトに提供してもよい個人情報およびその使用目 的と開示範囲について規定した個人情報使用原則のことです。ニューメディア 開発協会はこのプリファレンスビューロ機能とその設定ツールを提供する予定 です。
 プリファレンスビューロ機能は、個人のパソコンの他、学校や会社のプ ロキシサーバにインストールすることもできます。これにより、生徒や社員の 個別のパソコンにインストールする手間がなくなるほか、複数の利用者(生徒、 社員)の個人データ取り扱いを集中的に管理することもできるようになります。 ニューメディア開発協会では、本機能をWindows95/98/NTとLinuxで実現するソ フトウェアを提供する予定です。
ユーザエージェント機能
 利用者がインストールする機能です。Webサイトの要求に利用者が同意 できるものか否かを決定するために、Webサイトからのプロポーザルと利用者 のプリファレンスとを自動的に照合し、両者が合致すれば個人情報をWebサイ トに送る働きをします。それに加えて、Webサイトからのプロポーザルを、利 用者が読むことができる形でWebブラウザ上に表示することにより、利用者か らそのつど同意を得た上で、個人情報をWebサイトに送信する(インフォーム ドコンセント)機能があります。
 ユーザエージェント機能は、個人のパソコンの他、学校や会社のプロキ シサーバにインストールすることもできます。これにより、生徒や社員の個別 のパソコンにインストールする手間がなくなるほか、複数の利用者(生徒、社 員)の個人データ取り扱いを集中的に管理することもできるようになります。 ニューメディア開発協会では、本機能をWindows95/98/NTとLinuxで実現するソ フトウェアを提供する予定です。

以上

(参考資料URL)


logo