法律とビジネスと
私はこのブログにおいて「武雄市図書館問題」を取り上げ、そのプライバシー情報の取り扱い姿勢について批判してきました。
その最初の記事にも書いたように、特定個別の事案を批判するのはこのブログの性格上不適当であるという認識はありましたが、この問題をめぐってのIT業界の不穏な動向に危機感を覚え、上記の記事を書いた次第です。 そんなわけで、今後はこの問題への言及は行わないようにするつもりでしたが、ここに至ってまた新たな「悪しき流れ」が起こりつつあるため、これを食い止めるためのカウンタとして、急いでこの記事を書き始めました。
問題に気が付くきっかけとなったのは、高木浩光氏の以下のツイート。
Business Law Journal 2012/10月号 http://www.businesslaw.jp/contents/2012... 「ミログ第三者委員会報告書から考える プライバシー情報 ビジネス利用の問題 達野大輔弁護士」は必ず読むこと。 すごい。
これを目にした瞬間、「まずロクな内容ではないだろう」という予想が立ちました。 というのは、この記事見出しで触れられている「ミログ第三者委員会報告書」というものが公正中立を欠くどころか、その遥か斜め上を行くトンデモナイ代物だったからです。 というわけで、書店へと出向いてこの「Business Law Journal 10月号」(1,680円)を買ってきた読んだのですが、結論から言うと、予想を裏切らずしっかりとひどい内容でした。
「ミログ第三者委員会報告書」とはどのようなものだったか
記事の内容に触れる前に、読書諸兄には、まずその下敷きとなった株式会社ミログの「第三者委員会報告書」なるものに目を通して頂きたいわけですが、ミログのサイト (http://milog.co.jp/) は既に閉鎖 (?) されており、そこに置かれていた報告書も、現在では読むことができなくなっています。 しかし、その報告書を引用する形で批評した以下の記事を読んで頂ければ、それがおおよそどのようなものであったかは容易に把握できるのではないでしょうか。
ミログが app.tv 及び AppLog を用いて行おうとしていたターゲティング広告それ自体については、ユーザーに対しても有用な広告が配信されるといったメリットが与えられるものであり、ユーザーに対し、収集される情報に関して十分な説明が行われ、その上でユーザーの同意が取得される場合には、これを否定すべき要素はない。
株式会社ミログ 第三者委員会報告書「ユーザーに対しても有用な広告が配信されるといったメリットが与えられる」?
app.tv にしても AppLog にしても、ユーザーは広告を見たいわけではありません。 app.tv ではユーザーは動画を視聴したいだけ、AppLog ではアプリケーションを利用したいだけで、広告はない方が良いはずです。 ターゲティング広告のほうが良いというのは、ターゲティング広告の方がCTRやCVRが高いからであって、それは広告を配信する側の理屈でしょう。
ユーザーが「広告はない方が良い」と思っているのに、「有用な広告が配信されるといったメリットが与えられる」と説明するのは、ユーザーの視点からは明らかにずれています。 広告配信側を弁護する立場であるように見えてくるわけで、この時点で第三者としての中立性に疑問符がつきます。
( 中略 )オプトアウトだとしても、手続が明示されていればすぐに情報の収集を停止できる。 行動履歴情報の収集の際には、一定程度の期間の情報収集が必要であり、直ちに情報の収集の停止ができれば、オプトアウトであるから全く許されないという制限は必ずしも必要ないものである
株式会社ミログ 第三者委員会報告書すみませんが、これは理解できません。 「行動履歴情報の収集の際には、一定程度の期間の情報収集が必要」って……情報が送信されるのが一瞬だけなら統計が取れないから、情報を収集する側では役に立たないということですか?
それは、情報を収集する側の論理ですよね。 送られた情報が役に立つとか立たないとかは、ユーザーの知ったことではないのです。 少しだけ送られても利用側では役に立たないからOKとか、そういう理屈はユーザーには受け入れられないでしょう。
このように、広告を配信する側の理屈を以って利用者情報の不適切な (と考えられる) 収集を正当化。 それだけに留まらず、さらには、
* 純粋に統計情報として利用するために、端末識別情報を収集せず、完全に匿名化がなされているなどの措置がとられ、プライバシー感情を害しないと考えられる情報収集を行う場合には、収集時に同意のない情報収集を認めてもよいと考えられる。
株式会社ミログ 第三者委員会報告書, 2011年12月16日そんなばかな。 「統計情報として利用する」ためなら、電話も盗聴するし、カメラも盗撮するし、マイクから音も収集するし、あらゆるセンサーを無断で使うし、ファイルも盗むつもりだというのか。
この「第三者委員会」とやらは、本当に独立性があるのか? 誰がここを書いたのか? 第三者委員会は、ミログのやったことに対する調査が目的であるはずなのに、なぜか、ミログがやってもいないもっと酷いことを、正当化するよう社会に呼びかけるという謎の行動に出ている。
といった、「報告書」に求められる内容から完全に逸脱した「提言」まで行っています。
さらに注目すべきは、本稿で紹介・批判する Business Law Journal の記事「ミログ第三者委員会報告書から考えるプライバシー情報のビジネス利用の問題点」の著者である達野大輔なる人物が、他ならぬこの「報告書」を作成した「第三者委員会」のメンバであるということ。 自分 (たち) が作った報告書について、「~から考える」というタイトルで記事を書くというのは、個人的には受け入れがたいセンスです。
個人情報じゃないから問題ない?
では、この「報告書」から考えたというビジネスロー・ジャーナルの記事はどのようなものなのか。 報告書に対してくわえられた批判への反論 (らしきもの) を付け足しただけで、基本的には報告書にある論理展開をそのまま踏襲したものとなっています。 以下、必要最小限の引用をもって、これに反駁していきます。
しかし、ミログ社が収集したデータには個人情報に該当するもの、すなわち、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの (同法2条1項) はなかった。 ミログ社に対する批判の中には、「Android ID」あるいは「IMEI」などの、携帯端末に固有の識別番号を取得することを批判するものも存在したが、これは携帯端末を特定することはできても、個人を特定する情報ではない。 したがって、個人情報保護法に反しているとの点は否定された。
プライバシー問題を扱っている人には「何をいまさら」感満載で、ともすれば詭弁とも看做される「氏名や生年月日ではないから個人情報ではない」論。 携帯端末のようなプライベートな機器においては、端末を追跡することは個人を追跡することとほぼイコールになる、というポイントを完全に (そして、おそらく半ば意識的に) 無視しています。
また、記事はこれに続いて「電話会社等であれば名寄せを行うこともできるが、ミログはそのような立場にはないので問題ない」とも述べています。 しかし、電話会社でなくとも、大量に収集され、詳細に分析されたデータからは個人の輪郭が浮かび上がり、他の情報との紐付けも容易になります。 まして、ミログ社は収集した情報を広告配信のために利用する (第三者への提供・販売を含む) ことを想定していたわけですから、この理屈は通りません。
Cookie と同じだから問題ない?
記事では続けて、ミログのアプリの動作にも問題はない、という主張が展開されます。
そもそも、ミログがこれほどまでに批判される一因となったのは、アプリの利用情報という、スマートフォン独自の目新しい情報が収集され、それに基づいた行動ターゲティング広告に利用されようとしたことにあると考えられる。 しかし、PCにおいては、クッキーを利用した行動ターゲティング広告の仕組み自体は、さほど目新しいものではない。
( 中略 )このような、従来から存在したクッキーを利用したターゲティング広告とミログのアプリとがその動作において何ら異ならない以上、ミログのアプリのみを違法とはいえない。
cookie を利用してのターゲティング広告が行われてきたことは事実ですが、そこにも様々な議論の歴史があります。 例えば、サードパーティ (ユーザが閲覧しているサイト以外のドメイン) から発行される cookie や、俗に "super cookie" と呼ばれる識別子送信については、かなり以前から問題視され、その取り扱いに対するコンセンサス作りや対策が行われています。 (参考: サードパーティCookieの歴史と現状 Part1 前提知識の共有 - 最速転職研究会)
また、従来型の cookie を用いての行動ターゲティングと「何ら変わらない」という主張も誤りであり、既に高木氏より以下の指摘が為されています。
その上で、p.64からp.66にかけて「(C) クッキーによるターゲティング広告と、アンドロイド端末の行動履歴に基づくターゲティング広告の違い」を検討しているのだが、「違い」とされているのは以下の4点である。
( 中略 )報告書はこれら4点について検討して、「決定的に異ならしめるものとはいえない」「決定的な差異があるとは思われない」「本件との事情と大きな違いがあるわけではない」と締めくくっている。
それもそのはず、肝心の違いを挙げていないからだ。
肝心の違いがどこにあるかは、10月27日の@ITの記事で示されている。
スマホアプリとプライバシーの「越えてはいけない一線」, @IT, 2011年10月27日( 中略 )これは別の言い方をすると以下のように説明できる。
cookieを用いたWebのターゲティングが広告が概ね許容されているのは、Webサイトは元々 (その黎明期からの慣習として) アクセスログをとるものだからである。 Webにアクセスするということは、そのサイトにアクセスログをとられるということであり、cookie に訪問者番号を与えられて、リピーター (再訪問者) か否かをそのサイトに識別されることも、元からWebとはそういうものであって、受け入れざるを得ないものである。
それが、第三者 cookie を用いたアドネットワークとなると、少し違ってきて、広告を貼付けたサイトは、言わば、自サイトのアクセスログを自動的に広告会社のサーバに転送しているようなものであり、アクセスログを (閲覧者に無断で) 第三者に提供するのはいかがなものかという問題と、cookieによる識別が広告サーバ発行のcookieで行われることによりサイト横断的に閲覧者が識別されるという点が問題となるのだが、問題はその程度のものであって、「Webにアクセスするとアクセスログをとられる」ことに違いはない。
これがオプトアウト手段の提供程度で許容されているのは、広告サーバにアクセスログを「転送」するようなサイトは嫌だという人は、アドネットワークの広告が貼られたサイトを訪れなければよいという考え方があるからだろう。 そして、そのように敬遠されては困るサイトは、アドネットワークの広告を貼らなければよい。 実際、そうしているサイトもたくさんあるだろう。
他方、ブラウザのツールバーがアクセスログを転送している場合となると、話は違ってくる。 同意なくそれをすればスパイウェアと看做される。 なぜなら、Webサイト側の意向と関係なくログが転送されてしまうからだ。 ミログがやったことはこれに相当する。
達野氏は上記の指摘を読んだ上でこの記事を書いたと思われ、先に引用した部分の少し後で次のように述べています。
他方で、第三者委員会報告書の公表後、かかるクッキーを利用したターゲティング広告との比較についての異論も提起された。
( 中略 )第三者クッキーを利用した「アドネットワーク」でも、情報を収集するのはネットワーク内で広告を貼っているサイトだけであり、無関係なサイトの履歴までは取っていない。 一方、ミログのアプリは情報収集機能を埋め込まれたアプリに関する情報だけではなく、スマートフォンにインストールされたすべてのアプリの情報を取得するのだから、問題だと言うのである。
しかし、依然として法律的な観点からは両者の間に特段の違いはないというべきである。 ( 中略 ) スマートフォン上にインストールされたアプリの使用状況に関するデータを当該アプリが独占できる権利が、何かの法律上存在するわけではない。 ( 中略 ) 同様に、ブラウザのツールバーがアクセス履歴を記録することを、閲覧されるウェブサイトがコントロールする権利などはどこにもない。 したがって、この点を問題と認めることもできない。
実に素晴らしい物言いです。 「法律で禁止されていないのだから問題ない」と。 ある意味で「弁護士らしい」意見だと言えるかも知れません。 確かに、これを述べる場が法廷であるならば、まったく正当かつ妥当な主張であると言えます。
しかしながら、このようなビジネス誌上においての主張となると、技術的・倫理的な観点から、あるいは法学の観点からであっても、その正しさを訴えることは難しいでしょう。 後ほど改めて述べますが、法律で禁止されていないからと言って、何をやってもよいわけではありません。 現行法には明記されておらずとも、それが社会にとって問題のある行為であれば、それが通り抜ける穴は塞がれるし、また法とはそのように在るべきものだからです。
感情的な反発?イノベーションの阻害?
そして、記事の論調はお定まりの路線へと突入。
にもかかわらず、利用者情報の取得がここまで警戒されるのは、法律論からはやや離れた、ユーザーの「不安感」に根源を有しているようである。 ( 中略 ) これらの「不安感」が、利用者保護の名の下に、ビッグデータを利用したビジネスの芽を摘んでしまう可能性がある。
( 中略 )このような、従来の枠組みにはまらないビジネスの芽を、単なる「不安感」により摘んでしまわないためにも、ビッグデータ利用については単なる感情的・情緒的な観点からの判断ではなく、法的に保護された個人の権利をもとにした冷静な判断がなされなければならない。
ミログ第三者委員会報告書から考えるプライバシービジネス利用の問題 (p56-57)
どうも、合法なもの・違法でないものについての問題点を指摘することは「感情的」な行為だという考えのようです。 こうした論立てについては、奇しくも、と言うべきか、折りよく、と言うべきか、私自身が先に書いた記事の中で既に批判を加えているので、これを再掲しておきましょう。
例えば、ある人物または団体のある行為に対する批判から議論が起こったとします。 そんなときによく現れるのが、議論の対象となっているその行為が現行法に照らして合法であるかどうかという観点だけから結論を導き出そうとする人。 「違法なのだから有無を言わさず処罰すべき」とか「違法ではないのだから批判すべきでない」といった主張をする手合いがそれです。 本人は自分個人の意見 (主観) を排して、誰もが従うべき「法律」というルールに基づいた評価を行うことで、客観的な立ち位置を確保したつもりになっているようですが、法律がどのように成立するものなのかを考えれば、そのおかしさに気が付くはずです。
法律とは、社会というシステムを維持していく上で脅威・障害となる行為を定め、それを規制するために存在するものですが、何が社会にとっての脅威・障害であるかは、その背景となる文化・技術に応じて絶えず変化します。 従って、時代の移り変わりによって新たな問題が出現すれば、それを解決するための新しい法律が作られるでしょう。 また、法律の不備を突いて規制を回避しようとする者が現れれば、その条文を改正をするなどの対応が取られます。 法律の機能を維持するためには、その内容が妥当であるかどうかを議論し、必要に応じて修正を施すという、いわば「メンテナンス」作業が欠かせません。
法律の内容についての検討は、「社会はどう在るべきか」という問いに直結します。 その問いに対する答は、社会を構成する者たちの議論によって得るべきもの。 それを法律に拠って導こうとするのは、法律というものの意義を根本から見失った行為だと言えるでしょう。
より端的には、「(狭義の) 司法」の概念ばかりに目がいってしまっていて、「立法」の概念が忘れ去られている、と表現することができるかもしれません。
そしてまた、記事は繰り返し「新しいビジネスの芽を摘んではいけない」と説いていますが、これも私には滑稽な主張に思えます。 「新しいこと」は即ち「善」ではないし、「ビジネスを生み出すこと」もまた、無条件に肯定されるべきことではない筈。 むしろ、問題のあるビジネスが淘汰され、消費者あるいは社会にとってよいものが選択されていくことの方が、ビジネス全体の発展にとっては重要でしょう。 これも繰り返しになりますが、法律や良識の隙を突いて利益を上げるのが「イノベーション」であるならば、そんなものはさっさと潰してしまうべきなのです。
一番マズいことは何か
ここまで本稿を読まれた方は、記事に占める引用の割合がかなり多いことに気付かれたのではないかと思います。 それもそのはず、この記事で主張されていることは、過去にあちらこちらで繰り返し議論し、決定的にとは言わないまでも、およそ妥当といえる結論・コンセンサスが、少なくとも技術者の間では得られているものだからです。 そのため、セキュリティ・プライバシー問題を専門としていない私でさえ、記事を読んだ当日にこれだけのツッコミを (引用を多用しながらも) 行えるわけです。
ところで、私が一番「マズい」と考えているのは、「ビジネス界」の人々の「合法だからよいのだ」という意識もさることながら、本件のようなちょっと考えれば (調べれば) 容易に判断が付くような単純な問題についてさえ、きちんと考えようとせず、また、このBLJに掲載された記事のように、批判に対して場当たり的な反論を行って、それで問題なしとする態度。 合法だろうが違法だろうが、システムや制度に不備があればプライバシーは侵害され、その回復は極めて困難 (事実上不可能) なものとなります。 だからこそ、法律は社会の動向に対応できるよう変化していく必要があり、ビジネスにもまた、そうした社会の在り方について責任ある態度が求められるわけですが、そうした問題に向き合うことなく、表面的な法律談義でコトに片を付ようというその了見ほど有害なものはありません。
とはいえ、企業活動が利益の追求を最優先課題とするものである以上、その自律性に期待をしたところで無駄であることは百も承知しています。 消費者の一人一人が、こうした企業の取り組みを適切に評価・議論し、自分たちにとって (ただ安価にモノ・サービスを提供するというだけでなく) 本当に好ましい商品を提供する方向へ、業界を「育て」ていく他に、こうした動きを阻む道はないでしょう。 「プライバシー」もまた「自由」と同様、座して与えられるを待つのではなく、自らの手で勝ち獲りに行かなければならないものなのですから。
コメント