総務省がISPレベルでの情報収集・広告配信を容認したというニュースが話題になっているが、どうも批判のポイントがずれているような気がする。
“web(画面)上の契約約款なんてみんな読まずに同意する”ことを前提にしちゃったら、「個人情報の収集・利用のオプトイン同意」ってどう取ればいいの?
企業法務マンサバイバルさんのこの記事が非常に分かりやすい整理になっている:
DPI(ディープ・パケット・インスペクション)による個人情報収集・利用の基本的な法的論点について網羅的に検討・言及され、同意がなければ違法であることも断言されています。
まず当然ながら個人情報収集に同意が必要であるということが確認されている。
作業部会に参加した一人は「総務省の事務方は積極的だったが、参加者の間では慎重論がかなり強かった。ただ、『利用者の合意があれば良いのでは』という意見に反対する法的根拠が見つからなかった」と話している。
では合意がある場合はどうか。朝日新聞の記事の最後には、総務省としては合意がある場合でも認めない法的根拠がないという話が紹介されている。総務省は行政府なのだから、例えこの個別案件について認めないことが望ましいとしても、根拠がなければ認めるというのは妥当だろう。法律のバックアップなしに勝手に規制を作り出してしまうのでは困る。
web(画面)上の契約約款だとどうせ読まないから同意したとは認めないが、紙の契約書だったらちゃんと読むだろうからOKっていうのはもうやめませんか。
この指摘はもっともだ。当事者が同意した契約を尊重するのは円滑な経済行動に必須の条件だ。ウェブ上ならダメ、紙ならオーケーというような曖昧な規定は必要のない不確実性を与える。
しかし、ISPレベルでの情報収集に大きな問題があるのは事実だ。きちんと法的根拠を準備するという前提ではDPIを規制する理由が多々ある。まず、現実問題としてISPの契約約款を全部読んで理解するというのは社会的費用が大きすぎる。契約に際しての費用を減らすために契約内容をある程度標準化するべきだ。
また、ISPの契約が世帯単位であることを考えれば、利用者と合意がとれたと考えるのも難しい。もし多くの消費者にとってメリットがないのであればDPIはオプトインないし専用プランとするのが妥当だろう。契約の自由を大きく妨げるものではないし、DPIのメリットを享受できない消費者は標準的プランを利用すればいいだけだ。
DPIのないプランの提供を義務付けることも検討すべきだ。自由契約は当事者が得をするという意味で望ましいが、それが最適であるとは限らない。地方などでISPの競争がほとんど存在しない場合、ISPがDPIを実質的に押し付けることができる。独占・寡占状態に関しては競争政策で対応するのが筋だろうが、インフラ産業≒自然独占であるため競争を促すよりも規制で対応すべき状況も多い。
DPIの導入を検討している大手プロバイダー、NECビッグローブの飯塚久夫社長は「個人の特定につながらないよう、集めた情報はいつまでも保存せず、一定期間が過ぎたら捨てる。(プライバシーの侵害目的だと)誤解されたら全部アウト。業界で自主規制が必要だ」と話す。
消費者がプライバシーを重視すればISPが自主規制するインセンティブを持つが、自主規制ではそれが実際にエンフォースされているかの確認をするのが難しいので行政が関与する余地はある。
その延長線上には、DPI自体を規制することも含まれる。DPIを歓迎するユーザーが少なければそれを利用するISPもなくなるわけで包括的に規制することも正当化できる。規制の是非についてはアンケートなどを通じて調べることもできるし、とりあえず諸外国の反応を見てから考えてもいい。
一方、新潟大の鈴木正朝教授(情報法)は「DPIは平たく言えば盗聴器。大手の業者には総務省の目が届いても、無数にある小規模業者の監視は難しい。利用者が他人に知られたくない情報が勝手に読み取られ、転売されるかもしれない。業者がうそをつくことを前提にした制度設計が必要だ」と話す。
小規模事業者の監視が難しいというのはその通りだ。流出した情報は取り戻せないし、補償を行う原資もないだろう。
また、逆に大手業者については総務省の目が届くというのは恐ろしいことだ。アメリカでAT&Tが盗聴に協力したのはそれほど昔のことではない。個人の詳細なアクセス情報が大企業に集まるということは政府による干渉を容易にする。個人的にはこちらの方が商用利用よりも大きな脅威のように思われる。
総務省の対応は仕方ないだろうが、早急な対応が望まれる。