motorsavederby.co.uk

ISPでの個人情報収集の是非

総務省がISPレベルでの情報収集・広告配信を容認したというニュースが話題になっているが、どうも批判のポイントがずれているような気がする。

“web(画面)上の契約約款なんてみんな読まずに同意する”ことを前提にしちゃったら、「個人情報の収集・利用のオプトイン同意」ってどう取ればいいの?

企業法務マンサバイバルさんのこの記事が非常に分かりやすい整理になっている:

DPI(ディープ・パケット・インスペクション)による個人情報収集・利用の基本的な法的論点について網羅的に検討・言及され、同意がなければ違法であることも断言されています。

まず当然ながら個人情報収集に同意が必要であるということが確認されている。

作業部会に参加した一人は「総務省の事務方は積極的だったが、参加者の間では慎重論がかなり強かった。ただ、『利用者の合意があれば良いのでは』という意見に反対する法的根拠が見つからなかった」と話している。

では合意がある場合はどうか。朝日新聞の記事の最後には、総務省としては合意がある場合でも認めない法的根拠がないという話が紹介されている。総務省は行政府なのだから、例えこの個別案件について認めないことが望ましいとしても、根拠がなければ認めるというのは妥当だろう。法律のバックアップなしに勝手に規制を作り出してしまうのでは困る

web(画面)上の契約約款だとどうせ読まないから同意したとは認めないが、紙の契約書だったらちゃんと読むだろうからOKっていうのはもうやめませんか。

この指摘はもっともだ。当事者が同意した契約を尊重するのは円滑な経済行動に必須の条件だ。ウェブ上ならダメ、紙ならオーケーというような曖昧な規定は必要のない不確実性を与える。

しかし、ISPレベルでの情報収集に大きな問題があるのは事実だ。きちんと法的根拠を準備するという前提ではDPIを規制する理由が多々ある。まず、現実問題としてISPの契約約款を全部読んで理解するというのは社会的費用が大きすぎる。契約に際しての費用を減らすために契約内容をある程度標準化するべきだ。

また、ISPの契約が世帯単位であることを考えれば、利用者と合意がとれたと考えるのも難しい。もし多くの消費者にとってメリットがないのであればDPIはオプトインないし専用プランとするのが妥当だろう。契約の自由を大きく妨げるものではないし、DPIのメリットを享受できない消費者は標準的プランを利用すればいいだけだ。

DPIのないプランの提供を義務付けることも検討すべきだ。自由契約は当事者が得をするという意味で望ましいが、それが最適であるとは限らない。地方などでISPの競争がほとんど存在しない場合、ISPがDPIを実質的に押し付けることができる。独占・寡占状態に関しては競争政策で対応するのが筋だろうが、インフラ産業≒自然独占であるため競争を促すよりも規制で対応すべき状況も多い。

DPIの導入を検討している大手プロバイダー、NECビッグローブの飯塚久夫社長は「個人の特定につながらないよう、集めた情報はいつまでも保存せず、一定期間が過ぎたら捨てる。(プライバシーの侵害目的だと)誤解されたら全部アウト。業界で自主規制が必要だ」と話す。

消費者がプライバシーを重視すればISPが自主規制するインセンティブを持つが、自主規制ではそれが実際にエンフォースされているかの確認をするのが難しいので行政が関与する余地はある

その延長線上には、DPI自体を規制することも含まれる。DPIを歓迎するユーザーが少なければそれを利用するISPもなくなるわけで包括的に規制することも正当化できる。規制の是非についてはアンケートなどを通じて調べることもできるし、とりあえず諸外国の反応を見てから考えてもいい。

一方、新潟大の鈴木正朝教授(情報法)は「DPIは平たく言えば盗聴器。大手の業者には総務省の目が届いても、無数にある小規模業者の監視は難しい。利用者が他人に知られたくない情報が勝手に読み取られ、転売されるかもしれない。業者がうそをつくことを前提にした制度設計が必要だ」と話す。

小規模事業者の監視が難しいというのはその通りだ。流出した情報は取り戻せないし、補償を行う原資もないだろう。

また、逆に大手業者については総務省の目が届くというのは恐ろしいことだ。アメリカでAT&Tが盗聴に協力したのはそれほど昔のことではない。個人の詳細なアクセス情報が大企業に集まるということは政府による干渉を容易にする。個人的にはこちらの方が商用利用よりも大きな脅威のように思われる。

総務省の対応は仕方ないだろうが、早急な対応が望まれる。

著作権侵害の取り締まり

著作権侵害を決まった順番にしたがって取り締まることでより効果的にしようという試み:

Targeted Copyright Enforcement: Deterring Many Users with a Few Lawsuits | Freedom to Tinker

元ネタはこちら

Consider the following hypothetical. There are 26 players, whom we’ll name A through Z. Each player can choose whether or not to “cheat”. Every player who cheats gets a dollar. There’s also an enforcer. The enforcer knows exactly who cheated, and can punish one (and only one) cheater by taking $10 from him. We’ll assume that players have no moral qualms about cheating — they’ll do whatever maximizes their expected profit.

26人がチートするかしないかを選べるとする。チートすれば$1手に入るが、捕まった場合には$10失う。

This situation has two stable outcomes, one in which nobody cheats, and the other in which everybody cheats. The everybody-cheats outcome is stable because each player figures that he has only a 1/26 chance of facing enforcement, and a 1/26 chance of losing $10 is not enough to scare him away from the $1 he can get by cheating.

この状況では全員がチートするという解が安定だ。捕まる確率は1/26しかないからだ。

The enforcer gets everyone together and says, “Listen up, A through Z. From now on, I’m going to punish the cheater who comes first in the alphabet.” Now A will stop cheating, because he knows he’ll face certain punishment if he cheats. B, knowing that A won’t cheat, will then realize that if he cheats, he’ll face certain punishment, so B will stop cheating. Now C, knowing that A and B won’t cheat, will reason that he had better stop cheating too. And so on … with the result that nobody will cheat.

しかし取り締まり側がアルファベット順に捕まえていくことにコミットできればこの問題は解決する。Aさんは捕まる確率が1なのでチートしない。Bはこれを見越してチートしない。これが続けばチートする人間はいなくなる。

Notice also that this trick might work even if some of the players don’t think things through. Suppose A through J are all smart enough not to cheat, but K is clueless and cheats anyway. K will get punished. If he cheats again, he’ll get punished again. K will learn quickly, by experience, that cheating doesn’t pay. And once K learns not to cheat, the next clueless player will be exposed and will start learning not to cheat. Eventually, all of the clueless players will learn not to cheat.

プレーヤーがこの解を発見できるかという問題もない。理解していないユーザーは繰り返し捕まるため学習するからだ。

これを現実に移すなら現在ほぼランダムで100人を訴えるているとして、何らかの指標(IPアドレスなどで)を使って順番に訴えると宣言することになる。

この仕組み自体は経済をやっている人には自然なものだが、むしろ面白いのはどう考えてもこれが現実に有効な気がしないことだ。いくつかの理由が考えられる:

  • もしプレーヤーがチートしないなら事後的には取り締まるインセンティブがないため、コミットメントが難しい
  • 適切な指標が存在しない(自分のIPアドレスを認識している人自体が少ない)
  • 利用できる指標があるとして法律上の問題になる(毎回同じ順番でやるとした場合不平等ではないか)
  • プレーヤー同士が協力できれば全く効果がない(一人目がチートしたうえで残りの人が補償すればよい)

とはいえこの仕組みは実際に実験でどうなるかを試すことができるのでどういう結果が出るかは興味深い。