JNSA「セキュリティしんだん」

 

«(32)PPAP問題から、インターネット・コミュニケーション再考する (34)サプライチェーンの情報セキュリティマネジメントの関連規格と現状»


(33)インターネット利用者の7割が知らない、自分の身に起こること
      〜〜電気通信事業法改正方針後退を巡って(2022年6月1日)

読売新聞 東京本社 編集委員 若江 雅子氏

電気通信事業法改正案が第208回国会に提出され、審議が始まった。改正の柱の一つはインターネット利用者の情報保護である。だが、既に複数の報道[1]で指摘されているように、新経済連盟やACCJ(在日米国商工会議所)などの国内外の事業者団体や有力政治家の反対により、その内容は大きな後退を余儀なくされた。本稿では、このうちの一つ、利用者情報の「外部送信」に関する規制について、後退の経緯等を検証し、そこから浮き彫りになった課題とは何か、考えてみたい。

1. 外部送信とは

私たちはウェブサイトを閲覧したり、スマホのアプリを使ったりするたびに、外部の広告事業者やデータブローカーなどに対して、自分に関する様々な情報を渡している。どんなサイトを見たのか、何をいついくらで買ったのか。時には位置情報やスマホに入っている連絡先情報、自分で撮影した写真や動画まで、直接やりとりをしたつもりもなく、どこの誰かもよく分からない相手に送っているのである。

仕組みの詳細は省くが、これは、ウェブサイトやアプリが埋め込んでいる、外部事業者の用意したプログラムのせいで起きている。このプログラムは、アクセスしてきた利用者のブラウザ等に対し、外部事業者のサーバーにも接続するよう指示をする(自動的に接続するので、ほとんどの利用者は気づかない)。外部事業者はアクセスしてきた利用者のブラウザに振り出したCookieや、端末固有の広告IDに閲覧履歴などの各種情報を紐づけて収集している。

こうした情報がCookieや広告IDをキーとして大量に収集されれば、私たちの興味関心や生活水準、職業や家族構成などのほか、性格や心の状態なども推測でき、精緻な人格モデルを作成できるようになる。広告会社はこうした情報に基づいて、その人物にぴったりの広告を配信している。

使われるのは広告配信のためばかりではない。2018年3月に発覚したケンブリッジアナリティカ問題では、こうして集められた大量のデータが米国大統領選などで世論誘導に悪用されていたことが判明している。2019年8月に明らかになったリクナビ問題でも、就職という人生を決定づける場面で、就活生に不利な形で閲覧履歴が使われていた。つまり、影響は個人のプライバシーの問題ばかりでなく、社会や国家の有り様にまで及んでいるのである。

2. 日本における規制の現状

ところが、日本では、こうした実態を理解している利用者は驚くほど少ない。野村総合研究所が20代以上の男女2000人に実施した調査[2]によると、外部送信の事実や、外部送信の結果、情報が取得されていることを知っていると回答したのは、「なんとなく知っている」を含めても、わずか3割にとどまる。

これは、こうした情報がやりとりされる際に、本人がそれを知らされたり、同意を求められたりすることがほとんどなかったことと無縁ではないだろう。日本の個人情報保護法は、端末やブラウザを識別する情報(以下、端末等識別情報)を単体では個人情報として保護していない。このため、本人に知らせずこっそりやりとりしても同法では違法にならないのだ。

世界的には、端末等識別情報を保護対象とすることが主流になっている。プライバシー保護に手厚いことで知られるEUのGDPR(一般データ保護規則)はいうまでもなく、米国カリフォルニア州で施行されたCCPA(カリフォルニア州消費者保護法)でも保護対象だ。シンガポールやブラジルなどでも、GDPRと同様の保護制度が採用されている。

日本でも過去、個人情報の定義を拡大し、端末等識別情報を保護することが再三検討されてきたが、今回同様、事業者団体の反対で頓挫してきた。この結果、日本は世界の流れから取り残され、少数派となってしまったのだ。

だが、たとえ個人情報保護法では保護できないにしても、通信サービス利用者の保護と、通信の信頼性確保という観点から電気通信事業法で対応することは可能である。通信サービスを利用するたびに自分の情報が外部に筒抜けになってしまっては、通信への信頼も失われてしまうからだ。

実は総務省では2010年代の初頭からこの外部送信問題に取り組んできた歴史がある。2012年にはスマホのアプリ利用者の情報についてガイドライン[3]も作成している。だが、法律の根拠を持たないガイドラインでは、事業者はなかなか言うことを聞いてくれない。そこで、総務省では2018年から有識者会議「プラットフォームサービスに関する研究会(以下、プラットフォーム研)」を通じて議論を続け、今回、電気通信事業法の改正によって対処するという方針を打ち出したのだった[4]。この方針は2021年5月発足の有識者会議「電気通信事業ガバナンス検討会(ガバナンス研)」に引き継がれ、他の課題とともに、法改正に向けた具体策が検討された。

これに対して事業者団体などが反対のロビー活動を展開したことは前述の通りだ。紙幅の関係で、ここでは、新経済連盟の「電気通信事業法の改正の方向性に対する懸念について」[5]、そして、それに対する反論としてマイデータジャパンの「新経済連盟の『懸念』への懸念」[6]が、それぞれ公表されていることを紹介するにとどめる。ただ、このうち、事業者団体を中心に「個人情報保護法との二重規制になる」として反対する意見が出ていたことについては、その批判が当たらないことを強調しておきたい。プラットフォーム研座長の宍戸常寿東大教授も「電気通信事業法にはもともと『通信への信頼確保』と『利用者の保護』という法目的がある。個人情報保護法とは異なる目的で、同法と重複する情報を保護することにはなんの問題もない」と説明している。そもそも、個人情報保護法制定時の国会の附帯決議[7]でも、情報通信や医療、金融など「国民から高いレベルでの個人情報の保護が求められている分野」については、個人情報保護法に加えて、個別分野の法律で対応することが求められていた。「個人情報保護法は個人情報を取り扱うすべての事業者が対象になるので『必要最小限度』の規律にとどめざるをえない。デジタル社会を構築する根幹分野を規制する電気通信事業法こそ、しっかりとした規制を行うのに適している」と、宍戸教授は解説する。

3. 規律内容の変遷

昨年9月、プラットフォーム研が示した規律の方向性は、プログラムを使って利用者情報を外部送信させるすべてのウェブサイトやアプリ事業者を対象に、原則として利用者の同意を義務付けるというものだった。

ところが、今年1月にガバナンス研に総務省の事務局が示した報告書案[8]では、義務の対象事業者は「電気通信事業を営む者」に限定されていた。「電気通信事業を営む者」の定義は総務省の「電気通信事業参入マニュアル(追補版)」[9]を参照してほしいが、その範囲は狭い。例えば、企業のウェブサイトや、銀行や証券会社によるネットバンキング、一部のネット通販も、義務の対象から漏れてしまう。

規律の内容も「通知または公表、あるいは同意かオプトアウト」[10]に後退した。「通知または公表」とは、ウェブサイトのプライバシーポリシーなどで外部送信する旨を説明していれば済むことを意味する。だが、ウェブサイトにアクセスする際に、プライバシーポリシーから先に見る人がいるだろうか。ウェブサイトにアクセスした瞬間に自分の情報は外部に送信されてしまう。後でプライバシーポリシーに気づいても、あとの祭りというところだろう。

この規律は、この後の条文化の段階で、さらに後退した。対象は、「電気通信事業を営む者」に加えて「利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者」という条件が加わった。つまり、今後、定めることになる総務省令によっては、さらに範囲が狭められる可能性もあるということだ。

4. 後退が意味するもの

結局、日本は、またしても世界から取り残されることになった。ただ、後退の痛手は、利用者のみが被るものではなく、むしろ日本の経済界にとって、より深いものになりはしないか。

事業者が外部送信の問題になぜここまで固執するのか、筆者はずっと疑問に感じていた。なぜなら、外部送信によるトラッキングの手法は早晩、使えなくなる可能性が高いからである。海外の厳しい規制に揉まれてきたグーグルやアップルなどのグローバル企業は、自主的にブラウザやアプリマーケットの仕様を改善し、オンライン上でトラッキングができない仕組みを作ろうとしている。そうなれば、日本の事業者も今の手法は使えなくなるだろう。それでも、今回、規律の導入に反対した事業者たちは、グローバル企業が完全に道を閉ざすまでの残された何年か、ぎりぎりまで今の手法にしがみつくことを選択した、ということなのだろう。

改正法案が閣議決定された後の今年3月、総務省の検討会で委員の一人、佐藤一郎・国立情報学研究所教授は、1970年代の米国の自動車排ガス規制への対応を例に挙げながら、今回の事業者団体の姿勢を批判していた。米国で大気汚染防止のための法律(通称、マスキー法)が改正された当時、ホンダなど日本車メーカーがこれを機にクリーンで低燃費な技術の開発に成功し、日本車の黄金時代を築いたことはあまりに有名だ。一方で、当の米国では、GM、フォード、クライスラーのビッグ3は激しいロビー活動を展開し、規制を骨抜きにしたが、その後、彼らは日本の自動車メーカーに世界のトップの座を明け渡すことになった。

佐藤氏の目には、欧米の厳しいプライバシー規制に対応して工夫を重ねてきたグローバルプラットフォーム事業者が当時の日本車メーカーに、そして今回、外部送信規律に反対してロビー活動に走った日本の事業者団体がかつての米国のビッグ3に、重なって見えたのだろう。

今回もそうだが、事業者団体は規制強化に反対する場面でしばしば「イノベーションを阻害する」との主張を展開する。だが、中には「イノベーション」を「事業者のコスト負担を減らすこと」の意味で使っているとしか思えないケースもある。世界から何周も遅れたビジネス手法にしがみつこうとする中から、はたして本当のイノベーションは生まれるのだろうか。

5. 政策形成プロセスの課題

一連の経緯は、デジタル時代の政策形成プロセスにおける問題点も浮き上がらせることになった。

今回のケースが教えてくれたのは、経済的権力は政治的権力を容易に動かし、その結果、官僚の専門性や中立性は簡単にねじ伏せられる可能性がある、ということだった。総務省は有識者を交えた長年にわたる熟議の末に打ち出した政策を、経済界と政治からの働きかけによって、あっけなく諦めた。その後、ほぼ同数の事業者団体と市民団体からヒアリングするという体裁は整えたが、反映されたのは事業者団体の意見だけで、海外並みの規制を要望する市民団体の声はスルーされてしまった。

経済的権力と政治的権力が結合し、官僚団を無力化しているという批判は、2014年の内閣人事局設置に代表される公務員制度改革以降、しばしば聞かれるようになったが、デジタル時代にはさらにその傾向は進む恐れがある。今回の改正方針を議論した総務省の電気通信事業ガバナンス検討会で、委員の山本龍彦慶応大教授は以下のように指摘していた[11]

「デジタル社会では必然的に政府と民間IT企業の距離が近くなるので、『企業の声を聞きすぎる事』に特に注意を払う必要がある。企業は、消費者や利用者と異なって資金力が豊富で、自らの利益をより強く組織化することができ、有効なロビイングも展開できる」

デジタル領域は技術の進展が非常に早く、その政策の実現には、技術を熟知した民間IT企業との協力関係が必要になる。だが、今の状態のままでは、企業側に偏らない公平な政策形成が難しくなるのではないかーーとの懸念を指摘したのだろう。

その懸念は、今後、政府の「デジタル原則」にも採用された「アジャイル・ガバナンス」の考え方が本格導入されることになれば、さらに鮮明になる可能性がある。

経済産業省の有識者会議「Society5.0における新たなガバナンスモデル検討会」が報告書[12]で掲げるアジャイル・ガバナンス・モデルでは、「企業の声を聞きすぎる」どころか、企業に「ルール設計を委ねる」という考え方が提唱されている。報告書によると、政府の役割は「ルールの設計者からファシリテーターへ」、企業の役割は「ルールの遵守者から設計者へ」とそれぞれ変化が求められるとしている。この報告書には今後さまざまな論評が加えられていくと思われるが、今回の文脈で強調しておきたいのは、このモデルは人材と資金力が豊富な巨大な組織にこそ、有利に働く可能性がある、という点である。

報告書では、「不確実性の増大する社会においては、事前に正しいルールや責任の所在を定めておくことが困難であるため、失敗を許容しつつ、社会全体で継続的に学習し、ガバナンスの仕組みを迅速にアップデートし続ける」ことが求められるとし、さらに「常に外部環境やリスクの変化を分析し、必要に応じてゴールも見直すというサイクル」になるとも書かれている。このような複雑で予測可能性の低いサイクルに継続的に対応していくことは、資金力と人的リソースの豊富な組織でなければ難しいだろう。同モデルは、マルチステークホルダーとして政府、企業に加えて「コミュニティ・個人」の存在も挙げているが、現在の市民社会のリソースを考えれば、名前を連ねただけで終わりということになりかねない。

市民・利用者と事業者を比べて後者が有利だというだけではない。国内企業とGAFAに代表されるグローバルプラットフォーム事業者と比較しても、やはり後者が圧倒的に有利に働くのではないか。

デジタル改革の推進には、それと並行して政策形成プロセスの透明化と公平性の確保が不可欠だろう。詳細は拙稿「デジタル日本 その政策形成における課題」(「世界」6月号)を参照していただきたいが、ここではロビー活動の透明化の必要性について触れたい。

欧米では巨大プラットフォーム事業者への規制強化の流れを背景に、彼らによるロビー活動が激しさを増しているとされる[13]。米国では2021年にGAFAM(GAFA+Microsoft)がロビー活動に投じた費用は計約6560万ドル(約75億円)とされ、欧州でも市民団体がまとめた報告書によれば、2020年には5社合計で約2280万ユーロ(約30億円)にのぼるという。

もっとも、欧米でこうした実態が明らかになるのは、米国にはロビー開示法、欧州にはEU透明性登録簿のようにロビー活動が一定程度、外部からチェックできる仕組みが導入されているからだ。ロビー活動の透明性と公平性を確保するための制度が全くない日本では、たとえどのような活動が展開されていても知る手立てがない。

OECDが昨年公表した資料によると、加盟国と加盟を検討中の41か国のうち23か国が、ロビー活動に関するなんらかの規制を導入しているという。OECDでは2010年に「ロビー活動における透明性と信頼性原則に関する勧告」を出しており、その後、多くの加盟国がルール整備を進めてきたという。各国が整備を急ぐ背景には、急速に進むデジタル化がある。デジタル時代を迎え、社会のルールが大きく作り直されようとしている中で、「経済力をもつものに有利に働く」というロビー活動の負の側面が拡大していると考えられているのである。

日本だけ、ロビー活動透明化に向けた対策が講じられないままでいいのだろうか。またしても日本のみ、世界の流れから取り残されるーーという事態は、今度こそ避けなければならない。


[1]
読売新聞「ネットの利用情報、総務省の法改正にIT企業が「懸念」表明…突然「延期」の舞台裏」
https://www.yomiuri.co.jp/science/20220107-OYT1T50065/
朝日新聞「ネット利用者の情報保護案、当初より対象絞り込み 経済界反発で
https://www.asahi.com/articles/ASQ2L659HQ2LULFA00Y.html
日経新聞「SNSデータ保護規制、骨抜き懸念 総務省案に経済界反発
https://www.nikkei.com/article/DGXZQOUA1426X0U2A110C2000000/
Mlex「Setback in Japan's cookie regulations reveals defeat of the silent majority
https://mlexmarketinsight.com/news/comment/comment-setback-in-japan-s-cookie-regulations-reveals-defeat-of-the-silent-majority
[2]
プライバシーポリシー等のベストプラクティス及び通知同意取得方法に関するユーザー調査結果
https://www.soumu.go.jp/main_content/000811620.pdf 「よく知っている」「なんとなく知っている」の回答割合は、「Webサイトを閲覧する際、閲覧サイト以外にもアクセスを行っていることを知っているか」の質問では31.1%、「閲覧先以外へのアクセスによって、情報が取得されていることを知っているか」の質問には29.1%。
[3]
スマートフォン・プライバシー・イニシアティブ
https://www.soumu.go.jp/main_content/000358525.pdf
[4]
プラットフォームサービスに関する研究会中間とりまとめ(2021年9月)
https://www.soumu.go.jp/main_content/000769270.pdf
[5]
https://jane.or.jp/proposal/pressrelease/15987.html
[6]
https://mydatajapan.org/documents/concerns_about_concerns.html
[7]
第156回国会(常会)議案情報
https://www.sangiin.go.jp/japanese/joho1/kousei/gian/156/pdf/k031560711560.pdf
[8]
https://www.soumu.go.jp/main_content/000799171.pdf
[9]
https://www.soumu.go.jp/main_content/000477428.pdf
[10]
国会に提出された法案では「通知または当該利用者が容易に知りうる状態」に置かなければならない、となった。
[11]
電気通信事業ガバナンス検討会(第16回)
https://www.soumu.go.jp/main_content/000794387.pdf
[12]
「アジャイル・ガバナンスの概要と現状」
https://www.meti.go.jp/press/2021/03/20220303003/20220303003-1.pdf
[13]
内田聖子「ロビイストから民主主義を取り戻す」(世界2022年4月号)

 
«(32)PPAP問題から、インターネット・コミュニケーション再考する (34)サプライチェーンの情報セキュリティマネジメントの関連規格と現状»