【第19回】情報ネットワーク社会から顧客を賢く守る　第３回

■Webにおける個人情報保護　　TRUSTeプログラム
　Webサイトによる個人情報の収集について、個人情報保護制度はどのように定めているのだろうか？　Webにおける個人情報保護制度には、TRUSTeプログラムとECOMガイドラインの二つがある。内容が共通する事項が多いことから、ここではTRUSTeプログラムをとりあげる。

　TRUSTeプログラムは、1996年に米国の民間非営利組織が制定した第三者認証制度である。まず、TRUSTeプログラムのプライバシー保護方針は4つある。

１．個人情報の収集内容、譲渡された者・組織を公開すること。その内容は、Web上に掲示され、閲覧者が容易にアクセスできなければならない

２．サイト側は、サイトが収集した個人情報を第三者に譲渡してよいか、閲覧者及び消費者が選択できるように配慮しなければならない

３．サイトはWeb閲覧者に、収集した個人情報内容へのアクセスを許可しなければならない

４．サイトは個人情報保護のために安全性を保証しなければならない

また、情報収集組織については、次の4点が明記されている。

１．複数商標を保持するサイトについては、収集者が特定できるように明記すること

２．共同運営者を持つサイトに関しては、経営者を明記すること

３．サイトの一部であると判断できる他サイトについて、サイトごとに収集者を閲覧者が特定できるように明確にすること

４．プライバシーポリシー記載に、必ず社名を明記すること

さらに、個人情報の収集、利用に関してWeb側が説明すべきことを5点にまとめている。

１．情報使用、収集方法、収集する情報内容を明記すること

２．収集、使用に際して閲覧者に許諾の選択権があること

３．情報が収集目的以外の方法で使用される場合にも、閲覧者に許諾の選択権があること。選択権は拒絶権（オプトアウト）であること

４．情報が収集されるセクション、ページを明記すること。会員登録の際に、閲覧者の提供情報内容を明確にすること

５．サイトからの情報提供を受けるかどうかの選択権が閲覧者にあること

最後に、サイト側の個人情報の共有、第三者への提供については、以下のことを定めている。

１．共有者を明確にすること
２．目的外使用は、閲覧者に選択権があること

　しかし、サイト表示名は抽象的表現であることが多く、具体的な企業名、委託業者名がないことがほとんどである。これでは、閲覧者が第三者を特定することは困難である。

■TRUSTeプログラムからみえる課題
　このような細かいTRUSTeプログラムの指針にも、以下のような不十分な点がある。

１．閲覧者が知らぬ間に提供する個人情報（非記入情報：自動送信情報）が、閲覧者が意識して情報提供する個人情報（記入情報）と同時送信される場合、サイト側が非記入情報収集の許諾を閲覧者に通知しない限り、閲覧者は非記入情報が収集されたことを認知できないこと

２．非記入情報の収集拒否ができないこと。サイト側が、その説明をしていないこと

３．情報の共有相手、第三者への情報提供内容の明記基準がないこと

４．個人情報の提供、使用についての選択権に、オプトアウトしか記載されていないこと

　個人情報保護について、非記入情報（自動送信情報）が具体的にどのくらい個人を特定できるものなのかが不鮮明であり、しかもインターネット技術の発展により、非記入情報が個人特定情報化する危惧がある。そのため、閲覧者がcookieを拒絶する程度の知識では対応できない、新たなweb bugなどに対応できるようになるまでは、閲覧者の知らぬ間にサイト側で個人情報を収集されてしまうことが予想される。そのことを踏まえ、Webの個人情報保護制度が非記入情報も個人情報に含めていることから判断すると、個人情報保護法の、

１．利用目的の特定と明記
２．目的利用以外の使用禁止
３．事前承諾の必要
４．開示義務
５．収集情報の利用停止、消去義務

の原則にも抵触する恐れがでてくる。

　しかも、TRUSTeもECOMガイドラインも、保護すべき個人情報の中に、具体的にどのような非記入情報を盛り込むかは不明確なままである。Web管理者及び個人情報収集者は、このような点を踏まえて、TRUSTeプログラム及びECOMガイドラインの方針に基づき、Webサイト上で管理方針を明確にし、Web閲覧者及び消費者への対応をしなければならない。

ページトップへ▲