ニュース

アップルとヤフーの取り組みは? 総務省、プライバシー取り扱いに関するワーキンググループ

 総務省は6日、「プラットフォームサービスに係る利用者情報の取り扱いに関するワーキンググループ」の第2回を開催した。

 同会合には、野村総研、インターネットイニシアティブ(IIJ)、アップル、ヤフーらが出席。野村総研からプライバシーに関する同意の取得の工夫の提言、IIJからePrivacyの説明があった後にアップルとヤフーからそれぞれのプライバシー保護への取り組みについて説明がなされた。

情報取得同意には工夫を

 野村総研では、総務省からの委託事業として「インターネット上の海賊版サイトへのアクセス抑止方策に資する利用者情報の取り扱い等に関する通知・同意の在り方及びセキュリティ対策ソフトの有効性等に関する検証事業」を実施。

 同社は、そのサービスのすべての利用規約とともにプライバシーの取り扱いの同意を得ている現状について言及。結果的に利用者の理解や安心が得られない現状を生み出していると指摘した。

 その上で、取得する情報の種類やその利用目的などについて、階層に分けた表示など、サービスの利用規約とは別れた形でユーザーに通知するといった工夫が必要と説明する。

 イギリスの政府機関、ICO(The Information Commissioner's Office)では、そうした階層的なアプローチやデータの使用状況を管理できるダッシュボード、ポップアップ通知といったことが効果的な同意取得の方法として挙げている。

 そうしたデータから、野村総研では、階層的な通知、利用者が認識しやすいタイムリーな通知、ユーザーが第三者提供などに応じて、個別に利用できるフォーマット、同意の確認や撤回が容易なプライバシー設定、後から同意内容をふり返れる同意の証跡を用意することが重要とした。

 このほか、同社が行った実証の中では、ネットリテラシーの多寡によりプライバシーの取り扱いへの意識に温度差があることも明らかになった。調査の中では、ネットリテラシーが高く、プライバシーデータ提供に抵抗感が強い利用者は、新しいサービスの利用に意欲的であるものの、プライバシーの取り扱いに対しては敏感とされる。このことからサービスの拡大にあたっては、事業者によって重視すべき存在であるとされた。

 階層的な通知や個別の同意、プライバシー設定は、実証の中でいずれもユーザーの理解や安心に作用することが確認されたとしており、サービスの健全な成長にはそうしたユーザーから理解・安心を得られる同意取得の工夫が必要と結論づけた。

アップルのプライバシー保護の取り組み

 アップルは、同社が行っているプライバシー保護への取り組みを説明。「今年のアップデートによりプライバシーを管理する方法について新たなスタンダードを確立できた」と語る。

 同社では、ユーザーのプライバシーについて、データの最小化、デバイス上の知能、透明性とコントロール、セキュリティ保護を原則としていると説明。我々も他者もアクセスできる情報を最小限に抑えている。

 また、できるだけ多くのデータをサーバーに送信せずにデバイス上で処理、透明性とコントロールにより、収集されるデータを確認でき、そのデータの使用方法について選択できるようにしているという。また、セキュリティ保護をプライバシーに関する活動すべての基礎と位置づける。

 たとえば、位置情報機能は、アプリの使用中のみアクセスを許可したりバックグラウンドアプリが位置情報を取得している場合、ユーザーにわかりやすく通知するといった工夫がなされている。

 マップアプリについても、デバイスからの識別子によりサーバーが直接指示を出すことで、アップルはユーザーがどこへ訪れたかなどの詳細を取得していないという。また、2021年に導入した新機能では、正確な位置情報ではなくユーザーのいる26平方kmをアプリに対して提供できる。おすすめの店やローカルニュースに最適で、正確な位置情報を提供せずに情報を手に入れられる。

 マイクやカメラにアクセスするアプリについても、許可がなければそれらのハードウェアを利用できず、バックグラウンドで録画や録音をしている場合はインジケーターで知らされる。

 アプリがカメラを使用している場合、画面上に緑色のドットが、マイクにアクセスしている場合はオレンジ色のドットが表示される。この表示はアプリがバックグラウンドであっても有効で、どのアプリによってカメラやマイクが使われているかわからない場合はコントロールセンターで確認できる。

 また、デバイス以外でもApp Storeでもプライバシーに関する取り組みを続けている。6月には開発者が報告したプライバシーの取り扱いについてストア上で公開しており、収集するデータは、ユーザーに関連付けられるデータやそれ以外、またトラッキングのデータと3つのカテゴリーに分けられている。

 加えて、Webブラウザーの「Safari」では、追跡型広告についても「インテリジェント・トラッキング防止」という機能により、サイト間の移動するときにデータ企業がトラッキングすることを防ぐといった取り組みが実施されている。

 さらに、トラッキングの透明性を確保するものとして、企業がユーザーデータをどう利用するかをユーザー自身が選択できるようにするべきとアップルでは考えている。今後のiOSやiPadOS、TVOSでは広告やデータブローカーとの共有目的でWebサイトを横断してデータを活用する場合、開発者はユーザーの許可が必要となるという。

 ユーザーがトラッキングを許可しない場合、iOSはIDFA(ID for Advertising)を開発者へ提供せず、代わりにユーザーがトラッキングを拒否したという情報を送信する。

ヤフー

 ヤフーは、同社が提供しているサービスにおけるユーザーデータの取り扱いについて説明。

 同社では、社内の体制としてCDO(最高データ責任者)と各サービスごとにDD(データ責任者)を設置。ヤフーの信頼性を低下させる可能性のある取り組みが行われそうになった場合の是正役で全社で30人ほどという。

 また、DPO(データ保護責任者)がこれらに対して助言・監視を行う体制となっている。さらに、アドバイザリーボードを設置し、構成員から受けた意見やその対応策などは、プライバシーセンターで公開するという体制を整えている。データ活用に際しては「コンテキストに沿った取得と利用」を第一と掲げ、ユーザーが予期しない利用については、事前の説明が必要としている。

 良かれと思って提供する機能やサービスでも、必ずしもユーザーが求めているとは限らず、ユーザーの選択機会を増やすことを重視しているという。

 今後の取り組みのうちのひとつとして「PIA」が紹介された。サービスの企画や設計段階でプライバシーの影響を評価し、機能改善に活かす狙いで、プライバシー保護への関心が高まる中、データを利用する事業者は、いかにこの期待に答えていくかが重要という。

 ひとつのソフトウェアの不具合が膨大なデータ漏洩につながる危険性があり、プライバシーに対して適切で十分な配慮が必要ということからPIAの実施を予定しているという。また、仕組みを制定して終わりということではなく、具体的な実施内容については、運用を通じて常に継続的に改善していくことを前提とするとしている。

ePrivacy

 インターネットイニシアティブからは、EU加盟国で合意が成立したePrivacy規則についての説明がなされた。

 ePrivacyでは、規制対象となる電子通信サービスの範囲が拡大。Webメールやメッセンジャーサービスなどを新たに電子通信サービスの定義の中に追加。従来はEU域外については明文化されていなかったが、クッキー設定などについて域外適用することが明確になった。

 また、同意を得ずにクッキー設定ができる例外を明確にし、同意を取得する場合の方法や同意証明方法も明文化された。