一昨日の日記の「tracerouteしてみよう」で、mail.jp.sonystyle.com や、jmb.jal.co.jp、news.apple.co.jp がDoubleClick社に到達することについて書いたところ、悪いイメージを抱いたらしい反応が見られた。たとえば「ただのにっき」の6月16日の日記では、
今回の記事で一番衝撃だったのは、いろんな会社のメルマガに仕込まれているWebバグが、実はみんなDoubleClick社に通じていたってとこだな。これじゃドメイン名なんて信用できないじゃん。
という反応があった。類似の反応が他にもいくつかあった。その一方で、「Tea Room for Conference」No.1417では、
でも、このような例はむしろ良心的なのだと思う。ドメインがメールマガジン発行主体(発注元)のものになっていれば、メールマガジン発行主体が掲げているプライバシーポリシーで「当ホームページにおいて」などと書いていれば、Webバグの仕組みも「当ホームページ」に配下にあることことは明らかであり、責任の一端をメルマガ発行主体にあることが明確になるからだ。
というコメントがあった。
私は、これは、ソニースタイルが自身がすべての責任を負うのだということを消費者に明示しているのだと思う。ドメインを借りるには、ドメイン保有者の許可が必要であり、まともな組織であれば、自社のセキュリティポリシーに厳格に従わせた上で貸与しているはずだからだ。ソニースタイルのメールマガジンの利用規約にも次のように書かれている。
利用者から同意を得た目的のために、事業協力会社に対する利用者情報の開示が必要な場合。なお、この場合ソニースタイルは、当該事業協力会社に対して、当該利用者情報の厳重な管理を求め、利用者から同意を得た目的以外の利用を行わせないものとします。
一方、日本航空はどうか。日経BizTechの「本格的に動き始めた電子自治体」の「プライバシーポリシーの明示を!」によると、
サイト上での個人情報の保護について、お手本となる自治体はほとんどないようだ。企業ではこの点、非常にシビアに取り組んでいる。例えば日本IBM、日本航空のサイトのプライバシーポリシーなどが良い手本となる。手前味噌で恐縮だが、日経BP社のプライバシーポリシーも充実している。
とある。たしかに、日本航空のプライバシーポリシーは正しい書き方がなされている。「クッキーの使用について」では、
当社がクッキーを使用するのは以下の場合に限定しております。
○JMB会員専用ページにログインしていただいた後のセッション管理を安全に行うため ...
○「国内線空席照会」、「国際線空席照会」における入力補助を行うため ...
○「体験!JAL WEB」において、JALホームページのサービスをより忠実に再現するため ...
...
というように、cookieを何の目的で発行していて、それがどの程度の必然性のあるものであるかを具体的に説明している。一昨日参照した社団法人関西経済連合会のようなオールマイティで情報量ゼロの勘違いポリシーを掲げたサイトが多いのと対照的だ。
それだけ何を書くべきかをわかっている人によって日本航空のプライバシーポリシーは書かれたのに、HTMLメールマガジンのWebバグについて記述がないのはなぜだろうか。cookieや、ここに書かれているWebビーコン(Webページ内のWebビーコン)よりも、メール中のWebバグは、プライバシーへの影響が大きいものなのに。
想像するに、日本航空の個人情報保護担当者は、DoubleClick社のHTMLメールがそうしたことをやっている事実を知らされていないのではなかろうか。HTMLメールマガジンを始めるにあたり、プライバシーポリシーを改定する必要性に気づかなかったのではなかろうか。そうしたことはメールマガジン配信業者が説明しておくべきだろう。
プライバシーポリシーの提示がなぜ必要なのかというのは、こうした、知らないうちに、主体者が了解していない行為が、委託先によって行われるという事態を防止するためにもある。だから、プライバシーポリシーは具体的でなければならないのだ。コピー&ペーストで使えるようなものを掲げていると、こうした事態に気づくことができない。プライバシーポリシーは事業者にとっての自己点検リストでもある。
一昨日の日記の「プライバシーポリシーで解決するのか」で触れた、「HTMLメールを発行する前に準備すること」の著者である塚田氏からメールを頂いた。内容を紹介してよいかについて確認中。