去る10月14日、15日の2日間、米国フィラデルフィアにあるペンシルバニア大学に て、CPSR(Computer Professionals for social Responsibility)の定期大会が 開催された。同大会での統一テーマと各セッション毎のテーマ、ならびにパネリスト は以下の通り。
DRAWING THE BLINDS:
RECONSTRUCTING PRIVACY IN THE INFORMATION AGE
(覗かれないようにブラインドを下ろす:情報化時代におけるプライバシーの再構
築)
司会:Susan Evoy
パネリスト
司会:Susan Evoy
パネリスト
司会:Susan Evoy
パネリスト
今回の大会では、このように3つのセッションが開かれたが、それぞれ独立した セッションというよりは、「ネットワーク上のプライバシーを保護するために、技術 がどの程度有効であり得るのか」という問題を共通して扱っているという点で、連続 性、関連性のあるセッションであった。
全体として議論の焦点は、今年6月からテストランに入ったP3Pが、オンライン・ プライバシーを保護するという点でどの程度有効性があるのかということに集中した 感が強かった(P3Pがどのようなプロトコル・テクノロジーなのかについては後で説 明する)。
今回の大会ではProceedingsもなく、パネリストの報告も各10分程度のコメント という形で配布資料もなかったのだが、それぞれのセッションの中で、注目に値する 報告や発言を中心に紹介しつつ、議論の全体像が見えるようにアレンジしながらレ ポートしてみたい。
まず第1セッションでは、カリフォルニアで消費者のプライバシー権を擁護するこ とを目的として1992年に創設されたPRC(Privacy Rights Clearinghouse)の所長であ るBeth Givens女史から、「ネットワーク上のプライバシーを保護するに際して『技 術に依存する』ことに対して懐疑的になる7つの理由」が問題提起された。その7つ とは以下の通り。
Givens女史は合衆国においてこのような状況を生み出した遠因として、1970年以来 の30数年にわたる法的なアプローチの「場当たり的でセクト的patchwork and sectoral」な政策的まずさがあったことを指摘しつつ、以下の4つの解決策の方向性 を提示した。
このGivens女史の提起は傾聴に値するが、特に「VSD-based Technology というも のは果たして可能か、可能であるとすればどの程度有効なのか」という点では具体性 を欠き、その点では不満の残るものではあったが、この後の議論は、彼女の問題提起 をベースに、それを敷延する形で展開していった。
次に注目したいのは、先述したP3Pの開発に長年関わってきた PrivaseekのCIO(情報統括役員)のSteven Lucas氏によるもの。
彼によるとPlatform for Privacy Preferences(P3P)とは、いくつかの一般企業 (その中にはMicrosoft社も含まれている)とインターネット技術の標準化推進団体 World Wide Web Consoritium(W3C)との協力で開発されたプロトコル・テクノロ ジーで、ユーザが提供してもかまわないと考えている以上の個人情報をサイト側が収 集しようとしている場合、利用者に対し「危険赤信号」を発するというもの。
このような技術が求められてくるようになった背景として、Lucas氏はほとんどの WebサイトがFTCが定めているFairInformation Practice Principle(公正な情報取り 扱い原則)の4項目をいずれも満たしていないと指摘。FTCの調査によれば,下記のガ イドラインを守っていたのは全インターネット企業の20%にすぎないという。
また最近の出来事として、メディアソフトウェアメーカーのRealNetwoks社が、同 社音楽ソフトReal Jukeboxを通じてユーザに無断でどんな音楽を聴いているのかとい う嗜好性に関する個人情報を収集していたことを認めた事件や、インターネット最大 の広告サービス会社であるDoubleClick社が、データ蓄積会社Abacus Direct社を買収 した際に、Abacus allianceというWebサイトの会員加入受付けを開始し、この会員登 録に登録された名前と、買収したAbacus社の購買情報データとをマッチングさせて、 それぞれの購買者に対し特定のダイレクトメール型のバナー広告を表示するという事 件があったことを紹介。
こうした状況下でP3P推進派の中には、ネット・コンシューマのプライバシーを保 護するうえでP3Pは極めて有効なツールとなると期待を寄せ、P3P用の専用ツールが登 場すれば、消費者はWebサイトのプライバシーに関するあらゆる混乱と困難を切り抜 けられるようになるだろう」という楽観論を展開する者まで出てきているという。
さらにこうした流れに乗じて、Microsoft社はWindowsの次期バージョンにプライバ シー仕様のP3Pテクノロジーを組み入れたオンライン・プライバシー保護ツール 「Privacy Wizard」を開発・導入していくことを発表したことについても触れたが、 こうしたツールが標準化されていくかどうかは疑わしいとLucas氏は述べた。
このP3Pに対する疑念と異論の声は、フロアからの発言も含めて相次いだ。 例えば、以下のような発言がそれらを代表している。
「P3Pは、インターネット上の『赤信号地帯』に指定されてしまったら自社にとってマイナスイメージだと考えるサイトになら、まだ何らかの意味もあるかもしれないが、むしろ他方で、P3Pアプリケーションが青信号を出したサイトであれば安心、といった誤ったイメージをユーザに植え付けてしまうのではないか。」
「P3Pはプライバシーを技術的に保護できる仕様であるかのようにもてはやされているが、P3Pがあるのだから法律によるプライバシー保護は不要、といったような戦略に使われてしまっては危険。」
「もしオンライン電子メールを読もうとした時に警告が表示されたとしたらいったいユーザはどうするだろうか。消費者はプライバシー保護がされていないゾーンだからといって、Hotmailに届いているメールをあきらめるだろうか?」
「P3Pのような製品は、プライバシー保護を向上させるものではなく、むしろ名前やアドレスなどの情報と交換に、ネットを使う条件として取り引きしなくてはならない感じるような環境をつくりだしてしまうだけではないか。」
またCPSRの広報担当で図書館司書のKaren Coyle女史は、「P3Pの売りのひとつに、 アクセスしたサイトが自分が与えてもよいと考えている以上の個人情報を引き出そう としている場合に、赤信号を出すことで、ユーザにそれから先へ進むかどうかの選択 権を与えている、というものがあるが、これは幻想。むしろP3P技術は、規制の網目 をぬって企業が個人情報を収集し続けるための単なるカモフラージュになってしまう のではないか」という危惧を示していた。
企業の立場からの発言としては、カナダのモントリオールに本社を置く Zero-knowledg社の社長、Austin Hill氏のものが興味をひいた。
Zero-Knowledge社では、インターネットブラウザを保護してオンライン中の利用者 の行動の匿名性を保つことができるインターネットサービス「Freedom.net」を発 表。料金は1アカウントにつき10ドルで、利用者はあらかじめ5つのアカウント分を支 払う必要がある。このアカウントは1年間で使い切ることも、5年間にわたって利用す ることも可能。これにより匿名アカウントにアクセスでき、個人の特定につながる情 報を秘匿できるというシステム。
周知のようにAmerica Online(AOL)やYahoo!などの各社は、令状があればユー ザーデータを開示してきた経緯があり、また先にも触れたRealNetwork社のように ユーザの音楽の好みや電子メール送受信状況といった個人情報を集めている企業は米 国内では極めてその数は多い。
こうした状況は政治問題にも発展しており、EUでは米国のプライバシー保護姿勢に 不満を表明し、加盟国内で事業を展開する企業が個人情報を米国に流すことを禁じて いく方針があることが紹介された。
Austin Hill氏によれば、「21世紀のプライバシーは,今世紀の公民権のようなも のになるだろう。いかに自分の生活の全てをさらけ出さないようにするかということ が,インターネットを利用するうえでの鍵となる」と延べ、Zero-Knowledgeのシステ ムは,個人情報を開示しないということを最優先の課題としており、「当社ではユー ザ情報を求められたら,堂々と『知識はゼロです(zero knowledge)』と言うことが できる」と発言した。
すべてのセッションを通じて、司会のSusan Evoy女史はある一定のコンセンサスが 形成できたとし、「解決策はおそらく、テクノロジーと政策・法規制とのコンビネー ションにあるでしょう。しかし、プライバシー保護政策を考えるにあたっては、過度 に技術に偏重した方向では問題は決して解決しないのだ、ということを私たちは忘れ てはならないでしょう。」とまとめた。このEvoy氏のまとめにも表れているように、 今回の定期大会では、テクノロジー優先のプライバシー保護政策に対する強い懸念と 警戒が示されていたことがとても印象的であった。
CPSRのURLは以下の通り。