《本記事のポイント》
- ネット通販などのIT企業の5割が、ユーザーの個人情報を無断で外部提供していた
- 日本では、民間企業による捜査機関への情報提供をチェックする術がない
- プライバシーを守るためには、「監視に対する監視」が必要
ユーザーが記入した個人情報が、第三者の手に渡り、さらに二次・三次流用されている――。
日本経済新聞がデータ管理サービス企業「データサイン」と共同で行った調査によると、ネット通販など国内で消費者向けサイトを運営する主要100社の5割が、具体的な提供先を明記せずに、ユーザーの利用データを外部に共有していたことが分かった(26日付日経)。
2月1日時点で、100社中89社が外部にデータを送り、そのうち47社が具体的な提供先を1社も示さずに、共有を止める拒否手段も備えていなかったという。
主に共有されたのは、「クッキー」と呼ばれる利用データ。いつ、どのウェブサイトを見たかなどの履歴や、ログイン情報を集めたものだ。個人情報を外部に提供する場合は本人の同意が必要だが、日本では基本的にクッキーは個人情報にあたらないため、当事者に断りなく、外部提供されてしまう。さらに、直接の提供先のみならず、二次・三次の媒体にまで情報が流れるリスクも指摘されている。
確かに、クッキーはユーザーの個人名を含まない情報であるため、それ単体では十分な個人情報にはなり得ないかもしれない。しかし、他のデータと照合すれば、氏名や住所、収入までもが特定されかねず、個人情報の管理をめぐっては、世界的に問題認識が高まっている。
すでにEUは、「一般データ保護規則(GDPR)」で、クッキーを個人情報と規定し、情報の入手や外部提供の説明を義務付けている。こうした法律に基づき、フランスの規制当局は今年1月、個人情報を外部に無断提供したグーグルに対して、62億円の制裁金を命じた。
商業に限らない使用目的
また、個人情報という観点で見逃してはならないのが、流用が商業目的に限らないということだ。
日本では、誰からもチェックされることもなく、民間の通信会社が、警察などの捜査機関に情報提供を行っている。海外では、捜査機関から情報開示の請求が何件あり、そのうち何件提供したかを、ホームページなどで公表している。しかし、日本で公表しているのは韓国系企業のLINEなど、ごく一部の企業に限られている。
1月には、ポイントカード「Tカード」の運営会社が、会員規約に明記することなく、会員の個人情報を、裁判所の令状なしに捜査当局に提供していたことが明らかとなり、ニュースとなった。
個人の氏名や住所はもちろん、買い物やレンタルした商品の購入履歴までもが、捜査機関に伝わっていたということだ。その後、捜査に使われなかった情報が廃棄されたかどうかも確認しようがなく、プライバシーが十分に守られているとは言い難い。
企業のみならず、政府機関による行きすぎた監視が行われないように、「監視に対する監視」が必要だ。クッキーの取得・外部提供における説明の義務化や、個人情報が漏えいした際の報告義務など、国民のプライバシーを守るために、個人情報保護法の改正が急務だ。
(片岡眞有子)
【関連記事】
2019年1月21日付本欄 Tカード情報 令状なしで警察などに提供 日本は個人情報の後進国
https://the-liberty.com/article/15317/
2017年10月号 「監視社会」のリアル あなたのスマホは見られている Part.1