日本企業は"ウェブ履歴"を同意なく利用中

プレジデントオンライン / 2019年9月4日 13時15分

※写真はイメージです（写真＝iStock.com／tashka2000）

利用者の意図しないところで、個人情報が悪用されるケースが後を絶たない。個人情報を守るには、どうすればいいのか。4人の専門家に5つのテーマごとに話を聞いた。第2回は「企業間のデータ共有」について――。（全5回）

■開示を求めてもクレーマー扱い

個人情報の第三者への提供に、本人の同意が必要だ。だが、パーソナルデータの管理システム構築などを行う会社・DataSignの太田祐一社長は警鐘を鳴らす。

「広告の業界で特に多いのですが、アプリに紐付くIDや、ブラウザのCookieなどの個人に関わるパーソナルデータについては、法的に規制されている個人情報ではないという立て付けのもと、個人の同意なく収集されて企業間で共有、利用されているのです」

Cookieとはインターネットを利用したときに、ウェブサーバーから送られる、ユーザーのデータを保存しておくためのファイルのこと。例えばそこにログインセッションIDやFacebookIDといった「個人情報を特定できる情報」が入っていることは、決して珍しいことではないが、当たり前のようにビジネスに利用されているのだ。

ネットで企業のウェブサイトにアクセスした際には、閲覧履歴や端末情報がCookieを介して本人の知らない間に拡散されている。DataSignが2018年に行った有名企業100社を対象にした調査では、Cookieなどの利用データが2次、3次の流通先にも提供され、サービスの運営元企業でも把握できないというケースがほとんどだった。

「閲覧履歴や端末情報が他社に開示されているのか、具体的にサービスを運営するサイトで表示することが望ましいのですが、すべてを書いていたのはGoogleとFacebookのみ。日本企業は全滅でした」（太田社長）

■日本では、意識しないままリスクばかり高まっている

弁護士の板倉陽一郎氏も憂慮する。

「18年3月に起こったFacebookの漏洩事件も、提携していたアプリから個人情報が漏れた。Facebookはヨーロッパ当局の厳しい目もあり、再発防止を打ち出し、個人情報管理を徹底した企業だというイメージを高めようとしています。日本では、意識しないままリスクばかり高まっています。

個人ができる防衛策としては、Cookieのオプトアウト（機能停止）や、GoogleやAppleではダッシュボード（一時的にメモリで処理を行う）で設定を行うなどの方法はあります」（板倉弁護士）

企業に個人情報の開示や削除を求めることはできないのか。

■ユーザーには削除しているかのように振る舞う

太田社長はこう話す。

「開示請求は、個人情報保護法でも応じる義務があるのですが、『業務に著しい支障を及ぼすおそれがある場合は応じなくてもいい』とされています。情報の削除や訂正についても、対応義務があるのですが、ほとんどの企業が削除しましたと言って、論理削除（※実際にはデータを削除せずに、削除されたと見なす設定をすることでユーザーには削除しているかのように振る舞うこと）で済ましているんです」

「私も仕事のために、いろいろな会社に開示請求をしましたが、大抵はクレーマー扱いされて終わりです（苦笑）。法律によって応じる義務がありますよ、と指摘しても取り合わない。『弁護士または当局の問い合わせであれば対応します』という反応です」（太田社長）

Cookieは個人情報ではないという立て付けのもと、個人の同意なく企業間で共有、利用されている

----------