告知が不十分な状態で取得

 カレログの後も、炎上事例は絶えることがない(表1)。その多くが、ユーザーに十分な告知をすることなく、個人に関する情報を取得していた。

表1 個人に関する情報の扱いが原因で批判を受けたサービスの例
[画像のクリックで拡大表示]

 例えば、電子新聞・雑誌の配信サービス「ビューン」では、ユーザーに十分な告知をすることなく、閲覧履歴などの情報を取得していた。閲覧履歴に応じて、コンテンツ提供元に売上金を分配するのが目的である注1)。情報の取得をユーザーに十分に告知しなかったのにはワケがある。閲覧履歴などの情報が「個人の特定にはつながらないことから、『個人情報』には当たらない」(ビューン)と判断していたからだ。

注1)この他、ブックマークを保存するサービス「はてなブックマーク」では、同じく告知が不十分な状態でWebサイトの閲覧履歴などの行動情報を取得して、第三者に販売していた。Webサイトを訪れた際に、最適な広告が表示されるようにして、ユーザーが価値の高い情報を入手できるようにするという名目である。

 「個人情報保護法」で取り扱いを規定しているのは、名前や生年月日、住所などの個人を特定できる情報である。他の情報と容易に照合することができ、それによって個人を特定できるものも該当する(図2)。一方、それだけでは個人を特定するに至らない「個人に関する情報」自体には、その取り扱いに明確な基準がない。ビューンの例では、閲覧履歴などがこれに該当するとして、ユーザーへの十分な告知は必要ないと判断したようだ。

図2 個人情報保護法の適用範囲
個人情報保護法は、名前や住所、電話番号など、個人を特定可能な情報の取り扱いに関するルールを定めている。
[画像のクリックで拡大表示]