3月のこと。出版されたこの本を技術評論社より献本いただいた。
第1章「3大ドキュメント超入門」として、利用規約と、プライバシーポリシーと、特定商取引法に基づく表示について書かれており、第3章には「すぐに使える・応用できるひな形」なるものが掲載されている。
プライバシーポリシーについて、第1章の超入門で、個人情報保護法における「個人情報」に該当しない「個人に関する情報」もプライバシーポリシーの対象とするべきだと書かれている*1点は良い。2012年8月の総務省「スマートフォン・プライバシー・イニシアティブ」を参照し、「今後の流れに大きく影響する可能性があります。」とあり、スマホアプリ対応の解説となっている。
しかし、3章の「すぐに使える」とされているプライバシーポリシーのひな形は、あまりに雑すぎて「すぐに使える」ものではない。
そのひな形には、「1. 収集する利用者情報及び収集方法」として、
とあり、これらを分けて書いている点は良い。
しかし、(3)の「ユーザが利用するにあたって当社が収集する」では、どういうときに収集されるものなのかが不明だ。「1.収集する利用者情報及び収集方法」と言っているのに「収集方法」が説明されていない。
ここは本来は、「ユーザがアプリを使用したときに、プログラムが自動的に送信することにより、当社が収集することとなる情報」といった意味のつもりであるはずだ。英語圏のプライバシーポリシー(アプリに関する)を見ていると、「Automatically Collected Information」といった見出しを付けているものをよく目にする。
適当にググって拾ってみると、典型的には以下のようなフレーズである。
User Provided Information – The Application obtains the information you provide when you download and register the Application. When you register with us and use the Application, you generally provide (a) your name, email address, and other information; We may also use the information you provided us to contact your from time to time to provide you with important information, required notices and marketing promotions.
Automatically Collected Information - In addition, the Application may collect certain information automatically, such as the type of mobile device you use, your mobile devices unique device ID, the IP address of your mobile device, your mobile operating system, the type of mobile Internet browsers you use, and information about the way you use the Application.
ellisapps Inc. Privacy Policy, 2013年1月
このように、利用者が入力する情報とプログラムが自動的に送信する情報とを分けて書くことの意義は、前者は利用者が自覚的に行うものであり、言わば説明するまでもないことであるのに対し、後者は利用者が自覚できないもの(送信前に必ず同意確認のUIを設けている場合はともかく)であるからこそ、プライバシーポリシーでの明示が重要となるところにある。
「(3) ユーザーが本サービスを利用するにあたって、当社が収集する情報」では、そういう意味で重要なことが書かれているという趣旨が、読者に伝わらない。
おそらく、著者らは、依然として、Webサイト用のプライバシーポリシーを想定したままなのだろう。Webサイトにおいては、自動的に収集できる情報は限られているので、cookieのこと(とIPアドレスのこと)くらいしか書くことがなかった*2。しかし、アプリではそうではない。
総務省「スマートフォン・プライバシー・イニシアティブ」を受けて、モバイル・コンンツ・フォーラムが策定した「スマートフォンのアプリケーション・プライバシーポリシーに関するガイドライン」(2012年11月)においても、「アプリケーション・プライバシーポリシーのモデル案」が示されているが、その中で、以下のように、ちゃんと*3「アプリにより自動的に」ということが書かれている。
本アプリケーションおよび本サービスのご利用に際して、以下の利用者情報を以下の利用目的のためにアプリケーション経由で自動的に取得いたします。
スマートフォンのアプリケーション・プライバシーポリシーに関するガイドライン, モバイル・コンンツ・フォーラム, 2012年11月
今回の本は3月に出版されたのに、このモデル・ポリシーを参考にしていない疑いがある。
さらにイタダケないのは、前記(3)の中身である。以下のものが「すぐに使えるひな形」とされているのである。
(3) ユーザーが本サービスを利用するにあたって、当社が収集する情報
当社は、本サービスへのアクセス状況やそのご利用方法に関する情報を収集することがあります。これには以下の情報が含まれます。
- 端末情報
- ログ情報
- Cookie及び匿名ID
- 位置情報
これだけである。
まず、「端末情報」では何のことか全くわからない。これは前記で言う「your mobile devices unique device ID」のことを指しているつもりと思われる*4ところ、まるで端末の機種名か何か(前記で言う「the type of mobile device you use」)のことを言っているかのようだ。
この本の第3章は、見開き左のページにひな形を掲載し、右のページに解説が書かれているのだが、この部分の解説には、総務省「スマートフォン・プライバシー・イニシアティブ」の図表4-2が転載されているだけで、何の解説も加えられていない。
これは致命的に駄目であり、この本の宣伝文句を真に受けてこのまま使うような会社が続出すれば、社会にとって有害と言わざるを得ない。
同様に、「ログ情報」も何のログか全く不明であるし、「匿名ID」なるものも怪しい臭いを醸している。こんなフレーズが広まっては困るので、やめてほしい。
「Cookie」に至っては、何ら書いていないも同然である。cookieは入れ物の名前であって、入れ物の中身を説明しなくては意味がない。cookieで何をやっているのかを書くのがプライバシーポリシーの役割だ。そんなことすら2013年になっても理解されていないことに絶望する。
筆者らは、3名とも法務系の方のようなので、技術的なことがわからないままこの本を出してしまったのだろう。「すぐに使える」というより、すぐに出版したかっただけではないか。奇しくも、プライバシーポリシーの策定にこそ、プライバシー・エンジニアとの協調作業が絶対的に欠かせないことが実証された本と言えよう。
*1 「実際に、国外のウェブサービスはもちろん、国内のウェブサービスの中にも、プライバシーポリシーの対象を個人情報保護法の個人情報にとどめることなく、その他の利用者に関する情報も対象とする動きは徐々に広まっています。」と書かれている。
*2 「ブラウザの種類」「OSのバージョン」といったことはプライバシーポリシーに書く必要はなく、書けば他の重要な情報を目立たなくするばかりなのでで、書かない方がよい。書くなら、分けて、最後に書くべきものだろう。
*3 このモデルも、もうちょっと見やすくできないかなと思うので、理想的な例だと言っているわけではない。
*4 続くページで、この「端末情報」について、「以下の利用者情報については、その収集が行われる前にユーザーの同意を得るものとします。」の対象として例が載せられているので、端末の機種名とかではなく、端末識別番号のことを言っていると思われる。
JUGEMテーマ:読書感想文   利用規約のサップルと利用規約を作るに当てっての注意点が   載っており、これからウェブサービスを始めようとする   企業にとっては、駄目な点も出ており、   参考になる書籍でしょう。   &..