<前の日記(2016年10月25日) 次の日記(2016年11月23日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 287   昨日: 3006

2016年11月05日

「匿名」の語が次々と削られていったCriteoのプライバシーポリシーから世界の潮流を読もう

9月のSecurity Online Dayでの演し物だった「ニッポンの個人情報のいま」が先週、以下の記事となった。

その中で、2ページ目のところで、こんな話をしている。

高木 そこは注意して書かれているんじゃないかなと。他にも、興味深い他社の例がありまして、フランスのある広告事業の会社のプライバシーポリシーが、かつては「匿名化して扱います」って書いてあったのが、今は「匿名化」という言葉を一切使っていないっていうですね。Wayback Machineで過去をさかのぼって比べていくとですね、「anonymous」とか「anonymized」という言葉が次々に削られていった変遷が確認できるのですよ。どうもこの会社、フランスのデータ保護機関「CNIL」に相談して今の形になったようでして。

山本 なるほど。それは、何をもってanonymousとするか? みたいなそういうことでしょうかね。

高木 そうです。「匿名」っていう言葉は違う概念だと、実際は仮名化なのに匿名化って言うなっていう指導を受けている様子が見られるわけです。

ニッポンの個人情報のいま, 2頁, 2016年10月26日

ここで紹介した例は、リターゲティング広告で知られるCriteo社のことである。この事案に気づいたのは6月だったが、まだここに書いてなかったので、以下に記録しておこうと思う。

まず最初に、Criteo日本法人のプライバシーポリシーを見ると、本日現在、「匿名」だという断り書きが繰り返し書かれている。

取り扱うのはあくまでも「匿名の識別子」で、転送するのはあくまでも「匿名データ」であり、デバイスから抜き出すのは「匿名およびランダムな文字列」で、「匿名データのみ収集します。」と。そして「個人情報を収集することはありません。」とある。あたかも、「匿名」だから正当性があると言いたげのように見える。

ところが、本社の英語版プライバシーポリシーを見ると、「anonymous」という語は全く出てこない。これはどういうことか。もしかして日本語のものは古い版のままなのかなと思い、Internet ArchiveのWayback Machineを使って遡ってみたところ、やはりそうだった。

初版と思しき2014年8月11日時点の版では、以下のようになっていて、概ね現時点の日本語版と同じ構成になっている。

これが、2014年10月27日から12月29日までの間に改版されたようで、「anonymous」は2回しか言わない版ができた。

そして、さらに2015年6月14日から9月5日までの間に改版されたようで、「anonymous」を1回しか言わなくなった。

そして、とうとう、その1か月後の10月18日までの間に、1回も「anonymous」と言わないように直されていたのである。

どのように直されていったのか、それぞれの部分を比べて見てみよう。

まず最初のブロックについて。現在の日本語版と初版の英語版、そして、1回も「anonymous」と言わないように直された時点の英語版は、それぞれ以下のようになっている。

2 – Criteoの技術

オンライン・ウェブ環境:(デスクトップ、タブレット、スマートフォンのブラウザ)

Criteoはパートナーサイトで匿名のブラウザクッキーを用いて訪問者に「タグ付け」を行います。Criteoによってタグ付けされたユーザーには、匿名の識別子が与えられます。Criteoがユーザーのお名前や住所などの個人情報を収集することは一切ありません。

ブラウザのクッキーは、Criteoが配信した広告を通じて訪問者が閲覧した製品および訪問したパートナーのページを記録します。パートナーのサイトからCriteoのサーバーに匿名データを転送するために、Criteoはピクセルタグを使用します。

2 – Our technology

Online web environment: (desktop, tablet, and smartphone browsers)

Criteo “tags” visitors to its partners’ websites with anonymous browser cookies. Users tagged by Criteo are given an anonymous identifier. At no point does Criteo collect personal data, such as your name or address.

The browser cookies track the products viewed by the visitor and pages visited of the partner for whom Criteo is delivering ads. Pixel tags are used by Criteo to transfer anonymous data from our partner's websites to Criteo's servers.

2 – Our technology

Online web environment: (desktop, tablet, and smartphone browsers)

Criteo “tags” visitors to its partners’ websites with browser cookies. Users tagged by Criteo are given a technical identifier. At no point does Criteo collect identifying personal data such as your name or address.

The browser cookies track the products viewed by the visitor and pages visited of the partner for whom Criteo is delivering ads. Pixel tags are used by Criteo to transfer browsing data from visitors of our partner's websites to Criteo's servers.

なるほど、「anonymous browser cookies」が単に「browser cookies」に変更されているのは、わざわざ「匿名の」と言う必要がないからだろう。後段の、「匿名データを転送する」は、「閲覧データを転送」に言い換えられていて、より適切に事実を伝えるものになっている。「an anonymous identifier」が「a technical identifier」に置き換えられているのは、置き換える語が見つからなかったのか、苦しさが滲み出ている。

こういう改定は、自発的に行われるとは考え難いもので、いかにも外部から指摘があってのことのように思える。フランスのデータ保護機関CNILからの指摘を受けて修正を迫られたものではないだろうか*1

次に、2番目のブロックを同様に比べてみると、以下のようになっている。

その他の環境(モバイルアプリケーション)

モバイルアプリケーションなどのCookieをサポートしない環境では、CriteoはCookieと同じ目的で、他の匿名技術を使用する場合があります。モバイルアプリケーションで当社の広告を配信するために、当社はユーザーのモバイル機器のオペレーティングシステムに応じて、Google Advertising IDやIDFAなどの識別子を収集します。これらの識別子は、Criteoがハッシュで保存するユーザーのデバイスから抜き出された匿名およびランダムな文字列で構成されています(非可逆暗号化方法)。

3 – データの収集と使用について

匿名データのみ収集します

Criteo が収集するのは、匿名のCookieや以下を記録する同等の識別子を通じた匿名のデータに限られます

(中略)

個人情報を収集することはありません

Criteoは、ユーザーを特定することはできません。ユーザーのご住所や勤務地、生年月日、Eメールアドレス、電話番号、その他いかなる個人情報も収集することはありません。Criteo はターゲティングの目的*で、ユーザーの IP アドレスを利用あるいは保存することはありません。

Other environments (Mobile applications)

In environments that do not support cookies, like mobile applications, we may use other anonymous technologies for the same purpose of cookies. To serve our ads in mobile applications we collect identifiers, such as Google Advertising ID or IDFA depending on the operating system of your mobile device. These identifiers consist in a string of anonymous and random characters singling out your device that Criteo stored by Criteo with a hash (non reversible encrypting method).

3 - Data collection and use

We collect anonymous information

We collect only anonymous data through anonymous cookies or equivalent identifiers that record:

(中略)

We do not collect any personal information

We do not know who you are. We do not know your address, your place of work, your date of birth, your email address, your phone number or any other personally identifiable information about you. We do not use or store your IP address for targeting purposes*.

Other environments (Mobile applications)

In environments that do not support cookies, like mobile applications, we may use other similar technologies for the same purpose of cookies. To serve our ads in mobile applications we collect identifiers, such as Google Advertising ID or Apple IDFA depending on the operating system of your mobile device. These identifiers consist in a string of technical and random characters singling out your device that Criteo stored by Criteo with a hash (non reversible encrypting method).

3 - Data collection and use

We do not know who you are. We collect and use technical data relating to your browsing navigation to display personalized advertisements.

We collect browsing information

In order to serve you advertisements that are the more relevant to your interests, we collect data related to your browsing activity through cookies or equivalent identifiers that record:

(中略)

We do not collect any identifying information

We do not know who you are. We do not know your address, your place of work, your date of birth, your email address, your phone number. We do not use or store your IP address for targeting purposes*.

「other anonymous technologies」としていたのを、「other similar technologies」に改めたのはいいとして、「a string of anonymous and random characters」を「a string of technical and random characters」に直しているのは、かなり苦しい。強制的に修正させられた感じがプンプンする。

続いて、「匿名データのみ収集します」「We collect anonymous information」、「収集するのは、匿名のCookieや……識別子を通じた匿名のデータに限られます」「We collect only anonymous data through anonymous cookies or equivalent identifiers」としていた部分が、「We collect and use technical data relating to your browsing navigation」に差し替えられている。加えて、「We collect browsing information」という節が加えられて、中身の説明をするように改められた。

そして、「個人情報を収集することはありません」「We do not collect any personal information」としていたところが、「We do not collect any identifying information」に改められている。つまり、こうした収集データを指して「personal informationでない」などと言うのは間違いだとCNILにダメ出しされたのであろう。「identifying information」に置き換えられたことで、日本語で言えば「個人を特定する情報を収集することはありません」という意味になった。

続く部分の、「その他いかなる個人情報も収集することはありません」「We do not know …… any other personally identifiable information about you」のところに至っては、まるっと削除されてしまった*2。cookieを通じて集められる履歴データが「personally identifiable information」でないわけあるかとCNILから叱られたのであろう。

こうした修正により、結果的に、実際にやっていることは何なのかの実態に近い説明方法に改められたわけで、それ自体が良いことだろう。抽象的に「匿名の」云々と余計なことを言う必要はそもそもなかったわけだ。

最後の3ブロック目も、以下のように変更されている。

当社は、当社が収集した匿名データを収集した日から最長13ヵ月保存します。当社のCookieは最後に更新されてから13ヵ月後に 失効します。

We retain the anonymous data that we collect for up to 13 months from the date of collection. Our cookies expire 13 months after they are last updated.

We retain the technical data that we collect for up to 13 months from the date of collection. Our cookies expire 13 months after they are last updated.

その後、このプライバシーポリシーは、さらに改定されたようで、現在の版では、前半部分がより適切に直されているようだ。

このように、(少なくとも)EU諸国では(そして米国も次第に)、こうしたターゲティングを目的とした、一人ひとりを区別して扱うという意味で識別するデータは、「匿名データ」(anonymous data)と称することは許されず、また、「個人情報」(personal innformation)でないとか、「personally identifiable information」でない*3と謳うことも許されなくなってきているわけである。

最初の改定から2年以上が経過しているにも関わらず、日本語版のプライバシーポリシーは元のままだというのは、残念でならない。日本の個人情報保護委員会は、フランスCNILのように、こうした記述を改めさせることができるのだろうか。

日本も、個人情報保護法の改正で国際関係の規定が入り、外国の事業者の事案について、外国のデータ保護機関に執行協力を求めていくとされているが、国内のこうしたプライバシーポリシーを修正させる法的根拠がないのでは、外国との相互の協力関係など築けるはずもないだろう。

ところで、このプライバシーポリシーの英語版と日本語版に、興味深い差異が見つかった。

英語版では初版から、「These identifiers consist in a string of anonymous and random characters singling out your device」というフレーズが出てくる。この「singling out」が、日本語版では「ユーザーのデバイスから抜き出された匿名およびランダムな文字列で構成されています」となっていて、「抜き出された」と訳されているのは、誤訳であろう。

「singling out your device」は、ユーザのデバイスを一つひとつを区別して扱うという意味で識別するという意味である。日本語訳を書いた人は、原文が何を言わんとしているかを理解しなかったのであろう。原文は「デバイスを抜き出す」という文なのに、「デバイスから抜き出した」という文に変えて訳してしまっている。

また、「We do not know who you are.」の文が、「Criteoは、ユーザーを特定することはできません。」と訳されているのも面白い。日本では、「個人を特定する」(=特定の個人を識別する)という文が、「あなたが誰だと知ることはない」と同じ意味で使われているわけである。

「識別」(identify)という語は多義的で、混乱を招く。あるときは、「個人を特定する」「we know who you are」の意味で使われるが、そうではなく、一人ひとり(一つひとつ)を区別して扱うにすぎないという意味で使われることもある。パーソナルデータ検討会の技術検討WGが整理した「識別特定情報」と「識別非特定情報」の語は、この前者と後者を区別して議論するためのもの*4であった。

その点、Criteoのプライバシーポリシーは、後者に当たるものを「singling out」の語を用いて初版から書いていた。それを日本語版が訳せなかったのは、概念自体が未だ日本では理解されていないということの表れであろう。

「singling out」の語については、7月23日の日記「ノルウェー法の「de-identified personal data」と「anonymous data」そして「pseudonymous data」並びに「indirectly identifiable data」を調べた(パーソナルデータ保護法制の行方 その25)」にも書いたように、ISO/IEC 20889「Privacy enhancing data de-identification techniques」の用語定義でも使われるもので、「singling out information」がまさに識別非特定情報(と識別特定情報も含む)の概念と一致するものであるし、EUの一般データ保護規則(GDPR)においても、その前文(26)で、personal dataに該当しない「anonymous information」となる要件の一つとして「singling out」されないものであることを挙げている。

GDPRでは、singling outされた個人の情報はpersonal dataであるとしつつ、それとは別に、identifyされているか否かで義務の強弱を付けている。具体的には、Article 11「Processing which does not require identification」として、「If the purposes for which a controller processes personal data do not or do no longer require the identification of a data subject by the controller, ……」(コントローラが個人データを処理する目的が、当該コントローラがデータの本人の特定(identification)を要求していない又はもはや要求しない場合には、……)として、その他条件付きながらも、Article 15 から 20までは適用しないとしている。

このように、EU法では、「singe out」と「identify」の語でこれらの概念を区別した上で、「anonymous information」は、そのどちらでもない場合に用いる語となった。Criteoのプライバシーポリシーの改定も、この概念整理に沿うようにさせられたものとして理解できる。日本も、この潮流に逆らうことなく、こういう場合に「匿名」の語を使わないようにしていくべき*5であろう。

*1 これが実際にCNILからの指摘によるものだとの証拠はまだ探していない。ただ、CriteoはCNILに相談して、EUデータ保護指令とフランス法に照らして適法だとのお墨付きを得たという話を去年聞いたので、これもその一環だったのではないかと推測するところ。

*2 この削除は、2014年12月までにあった初回の改定で削られたようだ。

*3 「personally identifiable information」か否かと、「identify」を要求していない又はもはや要求しないもの(GDPR Article 11)か否かとは区別されていて、「identify」を要求しないが「personally identifiable information」に当たるものがあって、「pseudonymisation」(GDPR Article 4 (5))が施されたデータや、初めからsingling outしただけのデータが、これに当たるという整理なのだろう。

*4 それにも関わらず、岡村久道「パーソナルデータの利活用に関する制度見直しと検討課題(中)」(NBL No.1020、2014年3月)は、この整理について、「こうした区分は論理的な整理として優れたものと評価し得るが、「特定の個人」を“識別の対象”とする現行の保護3法の立場と異なっているので、概念の混乱を招く可能性があることも事実である。したがって、これは現行法の解釈を明らかにしたものではなく、あくまでも技術的見地から、今後における議論のために別概念の定立を新たに試みたものとみるべきであろう(23)。本稿においては、従来の法的議論を踏まえるために、以下、技術WG報告書の前記概念整理ではなく、現行法が採用する伝統的な概念整理に従って検討を続ける。」(p.70)などと、技術者風情がと一笑に付したのだったが、べつにこれは「技術的見地」でもなんでもなく、まさにEU法でこの区別こそが本質的に重要となっていたということであり、今となってはこのようにして確認できる。

*5 先月の、「ヒトゲノム・遺伝子解析研究に関する倫理指針」と「人を対象とする医学系研究に関する倫理指針」の改正案に対するパブリックコメントで、日本ユーザビリティ医療情報化推進協議会(JUMP)「ゲノムが作る新たな医療推進委員会」から提出した意見は、従前の「連結可能匿名化」「連結不可能匿名化」に当たる「匿名化」の語は、「仮名化」に名称を変更するべきと指摘しているが、これも、こうした国際動向を踏まえたものである。

検索

<前の日記(2016年10月25日) 次の日記(2016年11月23日)> 最新 編集

最近のタイトル

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|
<前の日記(2016年10月25日) 次の日記(2016年11月23日)> 最新 編集