この問題についてわが国のCNET、ITmedia等代表的海外情報専門サイトを複数読んでみた。
筆者の持つ独自情報を加えて説明すると、2009年4月14日に欧州委員会が英国政府のBT(British Telecommunications plc )等ISPに対する監督・規制のあり方、すなわちのユーザーの行動を追跡し、ウェブサーフィン情報等に基づきその行動習性に合わせた広告を行う技術(Phorm)の試験(trial)をBTほか2社が秘密裡に行い、これを知った顧客からのクレームに英国政府が的確に対応せず、ePrivacyや個人情報保護に関するEU指令(note1)に違反するとして欧州司法裁判所(European Court of Justice)への提訴も辞さないとの通知を行ったという内容である。
この問題は、実は秘密試験の事実を知ったBTの顧客の苦情に基づき2007年から長期間にわたり英国の人権擁護団体“Foundation for Information Policy Research;FIPR”(note2)等が問題視し、同国の独立公益情報保護機関(Information Commissioner’Office;ICO)(note3)への公開質問状の提出、さらに内務省に対しては「2000年捜査権限規制法(Regulation of Investigatory Power Act 2000)」違反という理由で質問状を送っている。
“Phorm”は米国Phorm社が開発した技術名でもある。同社は元々、スパイウェアを開発していたこともあるが、今回英国のISP3社(BT、Virgin Media、Talk Talk)との間で顧客向けオンライン広告プラットフォームの“Opnen Internet Exchange;OIX”と顧客に無料で提供する“Webwise”の提携利用契約を締結したのである。
OIXは、ISPのネットワーク経由で収集したユーザーのサイト閲覧動向データに基づきユーザーの興味に合致する広告を表示する技術であり、“Webwise”はフィッシングサイトにアクセスしようとすると警告を鳴らしたり、Webの閲覧状況に応じて一般向けの広告をユーザーの関心に合致した分野の広告に差し替えるというものである。(note4)
本ブログを執筆していたところに、オーストリアのディスカッショングループからAP通信の情報として4月23日にICOが行った英国の人権擁護団体(Privacy International;PI)の3月23日付けの苦情に対する回答の緊急リリース情報が伝わってきた。筆者自身ICOのニュース・メール登録はすでに行っているが、24日午前中には同リリースは手元に届いていない。
ICOサイトから直接入手したが、同日“Privacy International”は3頁にわたるICOへの反論を発表している。筆者は、ICOの今回の回答内容についてはプライバシーならびに個人情報保護に関するEU指令および英国の個人情報保護法の解釈などからみて大いに異論がある。しかし、本ブログの対象カテゴリーではないので筆者が執筆する別ブログ(URLも異なる)で取り上げる予定である。
〔問題の記事の箇所の紹介〕
第1番目の記事:2008年3月14日―17日のNRI記事。標題は「BT Phormのテスト運用で顧客データ使用を認める」
(1)「英国BTは、同社製Phormの広告・・・」;
ここでいう同社はPhorm社である。BTかPhormか読者の混乱を招く。
(2)「顧客データを使用した」;
BTの顧客からクレームがついたのは、「事前に同意を得ず無断で」使用したからである。欧州委員会がEU指令違反として問題指摘している中心部分であり、重要な問題点が明記されていない。なお、同記事の原稿となった“The Register”を読むとこの点は明記されている。
(3)「同社に対する訴訟発生の可能性・・・」;
誰が誰に対してどこで訴訟を起こすのか。主語等がない。 “The Register” を読むとBTの顧客が英国で裁判に持ち込むことの発言が個人名を挙げて明記されている。
第2番目の記事:2009年2月11日―12日のNRI記事。標題は「欧州委員会 英国政府にPhorm裁判について回答を求める」
(1)「裁判」の原文は“traials”である。これはBTが行ったユーザーに秘密裡で行った「テスト運用試験」のことである。誤訳である。
(2)欧州委員会の「レター」とはどのようなもので、いつ誰に対して出されているのか。同委員会の2009年4月14日のリリースでは英国の関係機関に対し2008年7月以降数回にわたりPhorm事件に対するEU指令との関係について質問状を送っており、また英国の関係機関から回答を得ている。しかし、その回答内容は英国がEU指令がいう通信の機密性を国(監督機関)として十分保証していないことを懸念しているのである。
(3)「EU法違反」ではなく、「EU指令」違反である(note1)。ZDnetの原文にある“European law”に惑わされたのか。
(4)英国の関係機関としては、ICOはもちろんのこと「ビジネス・企業・規制改革省(Department of Business,Enterprise and Regulatory Reform(BERR))が政府を代表して欧州委員会に対応しており、ZDnetの原文に記載されているロンドン警察(City of London police)は無視すべきであろう。
(note1)わが国のメディアがよく間違える点であるが、国家連合であるEUには「法律(law)」そのものはない。EU議会が制定するのはあくまで「EU指令」であり、加盟国は一定の期限までにその内容に即した「国内法(national law)」の制定を義務付けられるのである。今回のEUの公式リリースを読むと“EU rules”、“EU legislation”という用語が用いられている。そのEU指令の条項とは「1995年個人データの処理に係る個人の保護およびその自由な流通に関する欧州議会および欧州理事会指令(Directive95/46/EC第2条(h))」および「2002年個人情報の処理と電子通信部門におけるプライバシーの保護に関する欧州議会および理事会指令(Directive 2002/58/EC第5条(1))」である。
以下、それぞれの要旨を記しておく。
(1)Directive95/46/EC第2条(h)「ユーザーの同意は特定かつ自由な意思に基づくものでなければならない。」
(2)Directive 2002/58/EC第5条 (通信の機密性(confidentiality of the communications)第1項)「加盟国は関係するユーザーの同意がない限り、通信の違法な傍受および監視を禁止することにより通信や搬送データ量の機密性を保証しなければならない。」
(note2) “Foundation for Information Policy Research;FIPR”の適切な訳語はいかなるものであろうか。NRIは「情報ポリシー研究財団」と訳している。問題は「ポリシー」の訳語である。わが国で「プライバシー・ポリシー」を「方針」と表示しているケースが99.9%である。しかし、これは意義において日本でしか通用しないあいまいな用語である。欧米では法的な誓約文言であり、それに違反した場合は法的責任を負うという宣言である(「取扱指針」という訳語がより馴染む)。また、ポリシーにはもう1つ別の「政策立案」という意味がある。FIPRの訳語としては「情報化に関する政策立案研究財団」と言うべきか。
なお、今後本ブログでも紹介するケースが多くなると思うが、欧米の政策立案集団の専門性や立法機関への発言の社会的影響力は「シンクタンク」やわが国の「総研」とは、雲泥の差がある。まさに自国政府だけでなくEUの政冶をも動かすのである。
(note3)4月23日のICOのリリース文を仮訳しておく。なお、英国の情報保護委員事務局( Information Comissioner’s Office;ICO ( 「英国情報長官」や「情報コミッショナー」と言う訳語はその内容から見て明らかに誤りである。同委員事務局は独立公共機関(省庁から予算の支援を受けるが、独立組織として政策決定を補佐、あるいは省庁の方針により策定された一定分野の事業を独立的に遂行する機構)でありウェブサイトでは次のように役割、責任および観点が説明されている。
“The ICO is the UK's independent public body set up to promote access to official information and protect personal information by promoting good practice, ruling on eligible complaints, providing information to individuals and organisations, and taking appropriate action when the law is broken.”
〔情報委員会事務局(ICO)としては“Street View”に関する国民の共通認識を普及すべきである〕
ICOは、“Privacy International”から申し立てられていた苦情に対する回答として新たな助言を公表した。ICO個人情報保護担当上級部長デビッド・エバンス(David Evans)は次の通り述べた。
ICOは個人情報保護の規制監督機関として実利的かつ共通認識を得るよう取組んだ。人々の顔や車のナンバープレイトのイメージ写真はあくまでぼかす(blurred)べきである。ICOは人々のプライバシーを保護しまたプライバシーの侵害を制限するためイメージ写真のぼかすことの重要性を強調してきた。グーグルはその実行中において削除要求やクレームには迅速に応じなければならない。ICOは実際継続的にそのように行われているか厳密に監視するであろう。
しかしながら、“Google Street View”は形式的にみて英国の個人情報保護法に違反し極めて問題であるとするイメージを人々に浮き彫りにすることは重要な点である。今週、毎日放映されるテレビニュースを見てみよう。あなた方はレポーターの後ろを歩いている人々を見るであろう。また、サッカーファンの顔は”Match of the Day”(BBCが夜に放送するスポーツ ハイライト番組)や週末のローカル番組用に保存されるであろう。本人の同意はないが完全に合法的である。同様にカメラを使って道をあるく人々の写真を撮ることはそのことでいじめていない限りにおいてそれを取締る法律はない。“Google Street View”は個人情報保護法に違反しないし、かついかなる場合でもデジタル時計を逆戻しすることは公益に反する。世界中の人々が“facebook”や“blog”でさえずりあう状況下において、 “Street View”に対する共通認識を持つべく取組が重要であり、プライバシー侵害を引き起こすことは限定的である。
ICOは2008年7月にグーグルに会い、英国内でいかなるかたちで導入すべきか議論を行った。ICOは個人が好ましくないと考えたときはその報告を容易に行えることの重要性を強調し、グーグル側の人々のプライバシーに対する不当な侵害を阻止すべく安全対策(safeguards)を導入するという説明で満足した。
ICOは“Google Street View”に関する苦情や質問を受けている。これらの中には自分のイメージ写真が“Street View”に表示されること自体いやであるとする人々が含まれるが、彼らから見ると“Street View”を積極的に支持する人々と同様に、他人のイメージ写真を見たいとすること自体が不幸なのである。ICOは25,000件の情報保護関連を含む年間10万件以上の苦情電話を受付ける。
ICOは、この種のサービスすべてを廃止すべきとする“Privcy Intenational”の主張は比較的プライバシー侵害に対する小さなリスクの問題であり、適切でないことを確認した。ICOは引続き“Street View”の運用を再検討し、またグーグルは問題あるイメージ写真で削除すべきでないとする意見の人々から提起される問題についても取組む予定である。
(note4)この内容を見ただけでスパイウェアと本質的な機能は同一ではないかと考えるのが常識であろう。BTやICO等が疑問に思わなかったとすれば本質的な理解が欠けた調査といえる。
〔参照URL〕
http://europa.eu/rapid/pressReleasesAction.do?reference=IP/09/570
http://en.wikipedia.org/wiki/Phorm
http://www.out-law.com/page-9090
***********************************************************
Copyright (c)2009-2010 平野龍冶.All rights reserved.No reduction or republication without permission