告知が不十分な状態で取得
カレログの後も、炎上事例は絶えることがない(表1)。その多くが、ユーザーに十分な告知をすることなく、個人に関する情報を取得していた。
例えば、電子新聞・雑誌の配信サービス「ビューン」では、ユーザーに十分な告知をすることなく、閲覧履歴などの情報を取得していた。閲覧履歴に応じて、コンテンツ提供元に売上金を分配するのが目的である注1)。情報の取得をユーザーに十分に告知しなかったのにはワケがある。閲覧履歴などの情報が「個人の特定にはつながらないことから、『個人情報』には当たらない」(ビューン)と判断していたからだ。
「個人情報保護法」で取り扱いを規定しているのは、名前や生年月日、住所などの個人を特定できる情報である。他の情報と容易に照合することができ、それによって個人を特定できるものも該当する(図2)。一方、それだけでは個人を特定するに至らない「個人に関する情報」自体には、その取り扱いに明確な基準がない。ビューンの例では、閲覧履歴などがこれに該当するとして、ユーザーへの十分な告知は必要ないと判断したようだ。