みなさん、フェースブックやらグーグルやらのサービスを使ったりするときに、サービスの利用規約やプライバシーポリシーをちゃんと読んでますか?
私は読んでません。いや、フェースブックとグーグルは読みました。が、他の殆どは読んでいません。だいたい、そのサービスが使いたくてそこに行ったのに、何十ページもある規約なんか、読めるわけ無いですよね。
顧客がそれらを読まないことは、サービス提供者側も十分承知なはずで、この場合の同意に意味があるかどうかは大いに疑問なのであります。
こうした状況は、サービス提供者にとってもユーザにとっても不幸なことです。
この課題に対する一つの回答として Kantara Initiative の Information Sharing Work Group で検討されている仕様に、Standard Information Sharing Label (情報共有標準ラベル)というものがあります。これは、食品の成分表示のように「標準化」された形で、何がどのように、難のために共有されるのかを表そうという試みです。
アメリカの食品の成分表示(Nutrition Facts Label) はこんな感じになっています。
(出所) http://en.wikipedia.org/wiki/Nutrition_facts_label
これなら、「あー、脂肪分が12gもあるわ」とか、ひと目で分かるわけです。
情報共有標準ラベルも同じ感じで表示します。
情報共有標準ラベル
取得者 | Facebook (http://www.facebook.com/) |
---|---|
取得情報 | ステータス更新 [実際に見てみる] |
取得元 | このWebページからのステータス更新 |
取得時 | 「投稿」ボタンを押した時 |
利用目的 | 1. 友人と状況を共有するため。 2. あなた向けにカスタマイズされた広告を表示するため。 |
利用期限 | 元データおよび共有がすべて削除されるまで |
開示先 | 自分と友達のタイムライン及び、Facebook の OpenGraph API を利用する、read_stream の許可をうけたアプリケーション。 |
追加条件 | |
基本契約 | 2011年4月26日付 https://www.facebook.com/legal/terms |
第三者評価点 | Exampleレーティング社 4.3/5 (2011/11/4) |
規約の変更 | 一部例外を除き、7日間の掲示をもって変更 |
(出所)Joe Andrew “Standard Information Sharing Label” をもとに本サイトで翻訳・翻案
これでもまだ難しいと思いますが、少なくとも長ったらしい契約書を読むよりははるかにマシです。
デザインはもっとクールなものにしたいそうです。(この間、デザイナーに委嘱するための募金をKickstarter でやってましたが、50万円位しか集まらなくって中止になってた…。日本語版をロハでやるっていうデザイナーさん、いらっしゃいますか?)
なお、実際の作業を行なっている Kantara Initiative Information Sharing WG は誰でも参加可能です。興味がおありの方は、参加されてみてはいかがでしょうか?
実際に適用してみる
では、某社の例をとって実際に適用してみましょう。
情報共有標準ラベル
取得者 | ◯◯◯株式会社 |
---|---|
取得情報 |
[実際に見てみる] |
取得元 |
|
取得時 |
|
利用目的 |
|
利用期限 | 退会時まで。ただし、個人情報の利用にあたっては会員が退会後も上記利用目的5記載の目的のためには利用できるものとします。 |
開示先 |
上記の利用目的のための共同利用に関し、個人データの管理について責任を有する事業者は当社とします。 |
追加条件 | |
基本契約 | 2011年10月1日付 http://www.example.com/member/agreement/ |
第三者評価点 | Exampleレーティング社 4.3/5 (2011/11/4) |
規約の変更 | 1日以上の予告期間をおいて当社ホームページにおいて変更後の本規約の内容を周知。予告期間経過後は、変更後の本規約の内容が適用。 |
まぁ、契約書を読むよりはわかりやすいですね。また、こうして見ると、問題点も見えやすくなるかと思います。人によって違うと思いますが、私は概ね以下のような点から、上記には同意をためらうでしょう。
- 開示先が多すぎる:共同利用者が「ポイントプログラム参加企業」となっています。この会社は、実際には k-匿名化を行う前の情報は共有していないと聞いてはいますが、規約的には生データでも共有できます。だとすると、この開示先は多すぎます。また、標準ラベルとして考えた場合には、実際に主だった企業名と、総計社数を記載すべきと思います。なお、2012/6/20 現在、134ブランド、46,548店舗で利用可能なようです。
- 開示先がどんどん増えてゆく:共同利用者が「ポイントプログラム参加企業」となっています。これは将来的に増えて行くことが予想されます。その中に、私が開示されたくない企業が入っていても、いつの間にか開示されてしまう可能性があります。
- 開示される情報が多すぎる:共同利用者になっていますから、すべての情報が開示される可能性があります。また、複数の企業に於ける私の行動がトラッキングされ、ライフスタイル分析によって私の望まないかもしれない人物像が形成され、これが共同利用者の間で共有される可能性があります。複数の▽カードを作ることで制御できるのかもしれませんが、よくわかりません。何が提供されるのか、明示的に書くとちょっとは安心できるのでしょうが…。
- 規約の変更:規約の変更の予告期間が1日で、しかも同社ホームページでの掲示(←多分行かないので知ることは無い)、かつ、変更後の規約の内容が適用されてしまう。後述のGoogleだと、変更は随時ですが、不利益変更は明示的同意が必要になっています。
- 利用期限が無い:問合せ対応に限っていますが、永遠に情報は削除されないように見えます。これは期限を切って削除すべきではないかと思います。例えば、クレジットカードの信用情報機関などでは、18ヶ月などと切っています。
Googleの例
次にわかりやすいことで有名なGoogleの例も見てみましょうか。Googleのプライバシーポリシーをもとに、私の理解する内容にしたがってパラフレーズしています。さらにわかりやすくなるでしょうか?
情報共有標準ラベル
取得者 | Google Inc. |
---|---|
取得情報 |
|
取得元 |
|
取得時 |
|
利用目的 |
|
利用期限 | お客様により削除されるまで。削除は無料で行います。過度な技術的作業を要する場合(新しいシステムの開発や、既存の方法の基本的な変更が必要になる場合など)、他人のプライバシーが脅かされる場合、あるいは、きわめて非現実的な場合(バックアップ テープ上の情報に関するリクエストなど)はその限りではありません。 |
開示先 |
|
追加条件 |
|
基本契約 | 2011年10月1日付 http://www.example.com/member/agreement/ |
第三者評価点 | Exampleレーティング社 4.3/5 (2011/11/4) |
規約の変更 | 随時。ただし、お客様の権利を縮小する変更は、お客様の同意を得ない限り行ないません。 |
どうでしょうか?元が非常にわかりやすいので微妙なところではありますが、横比較がしやすくなるのはありがたいところだと思います。
今後の課題
こうやって実例に当てはめてみると色々課題も見えてきます。たとえば、Google の場合、プライバシーポリシーではなく利用規約の方に入っている、いわゆる「As if owner規定」の問題がこれではわかりません。As if owner 規定というのは、ユーザがアップロードしたコンテンツに関しては、Google があたかも所有者のごとく振る舞うことができるというものです。引用します。
本サービスの一部では、ユーザーがコンテンツを提供することができます。ユーザーは、そのコンテンツに対して保有する知的財産権を引き続き保持します。つまり、ユーザーのものは、そのままユーザーが所有します。
本サービスにユーザーがコンテンツをアップロードまたはその他の方法により提供すると、ユーザーは Google(および Google と協働する第三者)に対して、そのコンテンツについて、使用、ホスト、保存、複製、変更、派生物の作成(たとえば、Google が行う翻訳、変換、または、ユーザーのコンテンツが本サービスにおいてよりよく機能するような変更により生じる派生物などの作成)、(公衆)送信、出版、公演、上映、(公開)表示、および配布を行うための全世界的なライセンスを付与することになります。このライセンスでユーザーが付与する権利は、本サービスの運営、プロモーション、改善、および、新しいサービスの開発に目的が限定されます。このライセンスは、ユーザーが本サービス(たとえば、ユーザーが Google マップに追加したビジネス リスティング)の利用を停止した場合でも、有効に存続するものとします。本サービスの一部では、ユーザーがそのサービスに提供したコンテンツにアクセスし、それを削除する方法が提供されることがあります。さらに本サービスの一部には、そのサービスに提供されたコンテンツの Google による利用範囲を狭める規定または設定があります。本サービスに提供するコンテンツについて、このライセンスを Google に付与するのに必要な権利を保有していることを必ずご確認ください。
Google のプライバシー ポリシーまたは特定の本サービスについての追加規定において、どのように Google がコンテンツを利用および保存するかに関し、さらに情報を入手できます。本サービスに関するフィードバックまたは提案をユーザーが送信した場合、Google は、ユーザーに対する義務を負うことなく、そのフィードバックまたは提案を利用することができます。 (出所:http://www.google.com/intl/ja/policies/terms/)
「意味ある同意と情報共有標準ラベル」への1件の返信