「クッキー」から始めるプライバシーの旅：ITりてらしぃのすゝめ（2/2 ページ）

[宮田健，ITmedia]

クッキーは個人情報？

　そもそもこのクッキーの情報が明らかにするのは、「利用されているWebブラウザ」を特定するということです。利用者そのものではなくWebブラウザ単位なので、同じユーザーであってもPCとスマートフォンでは別ということになりますし、同じPCでも複数のブラウザを利用すれば、それらをひも付けるのはクッキーだけではできません。「氏名も住所もないから個人情報ではない」という認識の方も多いと思います。

　しかし、EUにおける「eプライバシー規則」などでは、クッキーの取り扱いについても個人データとして取り扱い、サービス利用に不可欠なものでなければ、事前に利用者の同意無くして利用ができないとしています。

　そもそも、横断的にサードパーティークッキーが取得されている場合、サービスの一つでそのクッキーが利用しているIDと、個人情報を持つサービスにおけるIDがひも付けられてしまった場合、容易に個人特定ができることになります。すると、通常は誰も見られなかった「利用者のWeb閲覧履歴」すら取得が可能となるわけです。

　確かにクッキーそのものには個人情報は含まれないでしょう。サービス単位の“トークン”でしかありません。しかし、それを複数のサービスで名寄せできてしまうと、その情報は個人を特定しうるものになりますし、氏名や住所などの情報とひも付けられることも容易に想像できます。そうなったときには、もう手遅れになっている可能性が高いわけです。

　これは、政府が「マイナンバー」に対して法律まで制定し、厳密に運用しようとしていることからも分かります。プライバシーの考え方は個別の情報の内容に加え、「名寄せ力」が問題になるのです。

「プライバシーポリシー」を熟読せよ

　ITの世界には、「技術的にできること」と「倫理的にやるべきではないこと」があります。時折その倫理観が壊れ、取り返しのつかない事象が発生してしまっていますが、これはどうやったら防げるのでしょうか。

　例えばサービス運営側のリスク回避策として「プライバシーポリシー」や「利用規約」を作り、利用者に一律、同意を求めるという方法が以前から取られています。これらに同意しなければサービス利用はできない、だから問題がないということが建前ですが、実態としてはこれらを熟読している人はごくごく一部でしかないでしょう。過去にも利用規約にこっそりと「1000時間の社会奉仕を行うこと」と盛り込んだ企業が話題になっていました。ちなみにこれに対し、2万2000人が同意していたことが分かりました。

　企業はどのような対策を打つべきでしょうか。コンサルティングや監査を行うPwC Japanはプライバシーへの取り組みに関して、法令、ユーザーの期待、社会の期待がかみ合っていないと述べています。GDPRやeプライバシー法案などが話題になり「●●では広く○○が禁止されたと記事で読んだ。法律の解釈は詳しく知らないが、海外では禁止されるほどの行為なのだから、私の○○も何らかの手当てはしてほしい」といったプライバシーへの期待だけが膨らんでいるのではないかと表現しています。

　グローバル展開を行う比較的大きな企業は、このような利用者とのギャップを埋めるために、米国立標準技術研究所（NIST）が間もなく発行するプライバシーフレームワークを基に、改善が行われていくことを期待したいと思います。

企業が問い直すべきポイントは「ユーザーの期待」「社会の期待」に応えられる枠組みを作ること（PwC Japanの発表会より）

AIの判断ミスで犯罪者扱いされてしまう未来も？

　一般ユーザーがするべきことは、「自分の個人情報が漏れたところで、何の問題もない」と考えないことです。

　現在の技術をもってすれば、何の問題もないと思っているような、ごく小さなパーソナルな情報を集め、別の情報群をひも付け、その上でビッグデータやAIを活用することにより、ユーザーが想像もできない「指針」を作り出すかもしれません。

　その指針はユーザー自身で拒否することがむずかしく、その指針だけが独り歩きする世界かもしれません。何の非もないユーザーが、AIの判断ミスでいつの間にか「万引き犯」や「キャンセル常習者」と扱われたとしてもそれを覆すことすらできず、入店拒否や予約拒否される未来は嫌ですよね。

　だからこそ、プライバシーに関する事件に対して、まずは関心を持つことが重要です。今のところ、法律のグレーゾーンを攻めるような状態が続いています。利用者が無関心の状態のままではなく、積極的に企業へプレッシャーをかけるべく「私たちはプライバシーに関心がある」という姿勢を見せることが重要だと思います。

　もはやプライバシーの扱いは「業界が委縮する」「テクノロジーが進化しない」（だから大目に見て）といっていられる状況ではなくなりました。おそらくそういった考え方の人でも、家族や大事な人の個人情報がないがしろにされたときに、初めて当事者意識を持ってこの課題を捉えることになるのではないでしょうか。

　昨年後半には、「リクナビ」を利用した就活生の内定辞退率を本人の同意なしに予測し、リクルートキャリアが企業へ有償で提供した問題が話題になりました。就職活動に関する情報をもてあそばれたことで、当事者である学生たちやその家族は、今後より厳しい目を持ってITのサービスをみていくでしょう。ITサービス全体の信頼を保つためには、事業者、利用者ともに変わっていかなければいけません。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。