この記事が今日の朝日新聞朝刊1面に出ている。紙の方の記事では「行動ターゲティング広告」と「米英では頓挫」のキーワード解説が載っている。
これは、総務省の「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会 第二次提言」のことだろう。「ライフログ活用サービスに関する検討について」の中に「ディープ・パケット・インスペクション技術を活用した行動ターゲティング広告について」という節がある。(電気通信事業者の取扱中に係る通信の傍受のことを指して「ライフログ」を呼ぶのには強い違和感があるが。)
この提言は、4月9日から5月10日にかけてパブリックコメントにかけられていたので、私も意見を提出した。提出した意見は以下のとおり。
■意見2: DPI広告事業者の透明性は検証不能であるから第三者による監査を義務付けない限り実施を認めるべきでない
(ライフログ活用サービスに関する検討、DPI技術を活用した行動ターゲティング広告)理由
提言案は、DPI技術を活用した行動ターゲティング広告(DPI広告)の実施は、通信当事者の同意がない限り、通信の秘密の侵害行為であって違法性も阻却されないとしており、その通信当事者の同意についても、「その意味を正確に理解したうえで真意に基づいて同意したといえなければ有効な同意があるということはできない」としている。この点について、提言案は、最後の段落において、同意にあたっての判断材料として、「利用者に対してサービスの仕組みや運用について透明性が確保されるべき」とし、「各事業者は、透明性の確保に向けて運用にあたっての基準等を策定し、これを適用することが望ましい」と結んでいる。
そのような結論に従う場合、DPI広告を提供する事業者は、おそらく、そのサービスがいかに利用者のプライバシーに配慮したものであるかを説明し、たとえば「Webメールの内容については傍受しない」といった説明をして、利用者の同意を得ようとするであろう。また、利用者も、そのような配慮がなされているからこそ、同意してオプトインできるものと考えられる。
しかし、DPI広告の場合、そのような配慮が本当に実施されているかは、外部からは誰にも検証できない。これは、従来の行動ターゲティング広告にはなかった新しい事態である。従来の行動ターゲティング広告では、専門家がWebブラウザの挙動等を調べることによって大方その影響範囲を推定できるものであった。それに対し、DPI広告のシステムは、実際に何をやっているかは事業者のシステムに侵入して調べるなどしない限り第三者には検証できないものである。
そのような検証不能なシステムについては、事業者の説明があるからといって透明性が確保されたとは言えず、通信の秘密という重大な事項についての同意にあたっては、その程度の透明性で有効な同意があったと見なすべきではない。
したがって、DPI広告実施事業者の説明が真実であることを検証する第三者による監査を義務付けない限り、このようなサービスを合法と認めるべきではない。
つまり、10年前に登場したDoubleClick等の方式や、一昨年の「楽天ad4U」のケースなどでは、Web技術者が解析すればそこで何が行われているか、そして、何は行うことができないものなのかを調べることができたのに対し、電気通信事業者によるDPIでは、基本的に何でも可能なのだから、たとえば「Webメールの内容は見ていない」と言われても、本当にそうなのかは、私たち一般市民からでは調査することが不可能である。だから、法的権限を持った機関による監査が不可欠であるとした。
実際にそんなことが必要なのかといえば、日本のIT事業者は、これまでにも、プライバシーポリシーの記述においてcookieの説明が出鱈目だった前歴があるわけで、cookieが何かもわからないような技術に暗い法務の人々がそれを書いているために、嘘をつくつもりがなくても、利用者を怖がらせたくないという一心で、事実と異なる説明を書いてしまうという展開が、容易に予見されるところである。
欧州なら、もし今後オプトイン方式で実施する事業者が現れたなら、プライバシーコミッショナーが法的権限の下、第三者監査を義務付けるのではないだろうか。
この提出意見に対し、5月26日に公表された「提出された意見及びそれらに対する考え方」は、以下のように答えている。
ご指摘のとおり、DPI技術を活用した行動ターゲティング広告の実施に当たり、例えば有効な同意を得ずにパケットの解析を行う等、事業者が通信の秘密を侵害していたとしても、外部からの観察が容易でない場合があり得ます。しかしながら、通信の秘密の侵害行為には刑事罰が規定(電気通信事業法第179条)されており、一般予防の効果が期待されると考えます。
この意見に対してこの回答ということは、当該電気通信事業者の利用者への説明に1つでも事実でないことが書かれていたなら、刑事告発できるということだろうか。(そうでないとすれば回答の意味がわからない。)
それはそれで新しい展開が訪れるのかもしれない。
個人情報をインターネットから保護する総合的ファイアーウォールとしてアバターという“ネット上の分身”を置くというのはどうでしょうか。リアル個人の社会的属性(氏名,住所,年齢,職業,年収…)とアバターを1対1で結びつける対応表はネットから切り離してISPが厳..
DPI 広告(行動ターゲッティング広告)の是非が話題となっている。これについての私の見解は、こうだ。── 同意を得た場合のみ許される。利用者が拒否しなければ同意したと見なす、というのは許されない。それは一種の詐欺だからだ。 ( 現状では、DPI 広告というのは、..
DPI広告を将来に渡って禁止し続けることは困難だと思います。そこで個人的な対抗策として「アバター方式」というものを考えました。 ネット上を動く情報は全て匿名とし,アバターという架空の分身にして,アバターの活動履歴に関しては企業が自由に情報収集や宣伝広告を..