批判は概ね、
・通信の秘密を損なうような行為を総務省が容認したことは適切でない
というところに集約できる。
■総務省がDeep Packet Inspection技術による行動ターゲティング広告を容認したと理解するのは誤り
たまたま私はスリーストライク制度を巡って上記提言に目を通していた(注2)ため、この批判のおかしさに気がつくことが出来た。この批判は、総務省がどのようなスタンスでDPIを許容したかという評価を大きく誤っている。
そもそも総務省提言でも利用者の同意が欠かせないとしている。
さらに求めているその同意の程度については、Takuji Hashizumeさんの『企業法務マンサバイバル』の2010年5月30日記事「“web(画面)上の契約約款なんてみんな読まずに同意する”ことを前提にしちゃったら、「個人情報の収集・利用のオプトイン同意」ってどう取ればいいの?」が適切に総務省の提言を評価している。Takuji Hashizumeさんの言を借りると総務省の提言は以下のように評価出来る。
違法性を阻却するために事業者が採用すべき“新しい同意の取り方”が、何とも事業者泣かせな嫌な感じになっていますつまり、総務省提言はハードルの高い同意を要求している。総務省はDPIの広告への利用について後ろ向きであると評価できる(注3)。
■インターネット上で指摘される、「DPIは違法として欧米で扱われている」というのは本当か
記事に騙されたと感じた腹立たし紛れに、インターネット上での批判意見の根拠も疑った。そうすると、どうも誤った批判の根拠がいくつか紛れているらしいことがわかってきた。
いくつかのサイトでDPIが欧米で違法であると扱われていると述べた上で、具体的に以下のような指摘を行うものがあった。
2008年には、〔筆者注:米国Phorm社が〕英国でプロバイダーとDPIを共同実施すると公表したところ、国内外から激しく批判され中断。これだけを見ても、「DPIが欧米で違法である」との帰結には疑問がわく。上記の文章だけでも「米国では違法となっていないが立法が検討されている」ということがわかり、違法ではないということが明示されているように思う。また、英国については欧州委員会との関係で問題になっていることはわかるが、違法といっていることとの関係がわからない。
欧州委員会が英国政府に訴訟手続きをとる事態に発展した。
米国でも商用化が試みられたが、下院で違法との疑問が呈され撤退。
では実際のところどうなのだろうか?筆者の力だけでは及ばなかったため、この分野に詳しい友人の力を借りて調べてみたところ、いずれも誤った理解と考えられることがわかった。
■英国の動き:英国で送受信者双方において同意が得られている場合にDPIなど通信の傍受を許容していることは、欧州委員会との間で問題になっていない
英国が欧州委員会から訴えられた点を見てみると、
Regulation of Investigatory Powers Act 2000 (RIPA)3条1項が、送受信者双方において傍受の同意が得られている場合に加えて、傍受者がそのような同意が得られていると信じるに足る合理的理由があるときにも傍受を許容していることがEU指令との間で問題であると述べられている(注4)。これは、英国法の中で欧州共同体の指令との関係で問題がある点を指摘したものである。
DPI技術利用の場面に落とし込むとこうなる。
・利用者、Webサイト提供者においてDPIを行うことへの同意が得られている場合に、その両者の間の通信を行動ターゲティング広告提供者が傍受することを法で許容することは、欧州共同体との関係で問題が無い。
・利用者、Webサイト提供者においてDPIを行うことへの同意が得られていると行動ターゲティング広告提供者が信じるに足る合理的理由があるときに、DPIを実施することを法で許容することは、欧州共同体との関係で問題である。
英国では、利用者の同意がある場合は欧州共同体との関係で問題にはならないと考えられる。
また、少なくとも現在の英国では、「利用者、Webサイト提供者においてDPIを行うことへの同意が得られていると行動ターゲティング広告提供者が信じるに足る合理的理由がある」場合にはDPI技術を用いた行動ターゲティング広告が適法なものとして扱われていることがうかがわれる。
英国は現在のところDPI技術に対して寛容と評価しても良いかもしれない(注5)。
■米国の動き:違法になったというわけではない
2010年5月に米国の下院議員がDPIを巡る法案をまとめている旨が報道されている。
しかし、法案のドラフトの説明(注6)によると
・インターネット上で個人に関する情報収集を行うことや、第三者から情報を受け取り利用するにはオプト・アウトによる同意が必要であるとなっている。
裏返せば、利用者のオプト・アウトによる同意があれば適法、というように読むことが出来る。
もしかすると他の立法化の動きがあり、そちらでは厳格に規制することが検討されているのかもしれないが、管見の限り見当たらない。
なお、米国で議員立法は盛んであるため、これがどの程度の意味を持っているのかは評価が難しい。
■まとめ
これまで調べたところをまとめると以下のようになる(2010年6月6日、図を追加)。
・総務省提言→利用者の同意がある場合にのみDPI技術を用いた広告提供を容認。しかし、「同意」の程度のハードルが高く、消極的な姿勢を取っていると評価することが出来る。
・英国→利用者の同意がある場合にDPI技術を用いた広告提供をすることは法的に問題なく、また、これを法的に許容していることは欧州共同体との関係でも問題が無い。問題になっているのは、「利用者、Webサイト提供者においてDPIを行うことへの同意が得られていると行動ターゲティング広告提供者が信じるに足る合理的理由があるときに、DPIを実施することを法で許容すること」。
・米国→現在は違法ではないし、議員立法の法案でも利用者の同意がある場合にDPI技術を用いた広告提供をすることは法的に問題がないと評価していると読める。
総務省提言に対する一部の方の評価や、英米での法的評価に対する一部の方の指摘は誤っていると考えられる。もちろん、英米については筆者の調査が不足している可能性があるので、正しい情報をお持ちの方がいらっしゃったら是非ご教示いただきたい。
なお、上記のように結論づけたからと言って筆者はDPI技術を許容することに前向きであるという訳ではない。DPI技術は望ましくないものであるとしてこれに厳格な立場を採ることは、制度を巡る議論としては十分にあり得ると考えている(注7)。ただ、現在のところ、同意を条件として許容することに対して特段問題点が浮かばないため、許容することはいいのでないか、と考えている。
(注1)朝日新聞2010年5月30日記事「「ネット全履歴もとに広告」総務省容認 課題は流出対策」
(注2)本ブログ2010年5月21日記事「[著作権]違法ダウンロード行為を抑止するために日本版三振(スリーストライク)アウト制を導入するとしてもISPによる自主的な取り組みを促すためには解決しなければならない課題」
(注3)記事にするならしっかりソースを読んでよ…といいたい(2010円6月6日修正)。
(注4)European Commission, "Telecoms: Commission steps up UK legal action over privacy and personal data protection (IP/09/1626)" (2009).
(注5)その後、英国で法改正があれば結論は違ってくるが、私の拙い調査の限りではそのような動きは見当たらない。
(注6)Rick Boucher, "PRIVACY DISCUSSION DRAFT EXECUTIVE SUMMARY"(2010)
(注7)たとえば高木浩光さんが提言するように第三者からの監査を要求する制度などもありうる。高木浩光さんのブログ記事「DPI行動ターゲティング広告の実施に対するパブリックコメント提出意見」『高木浩光@自宅の日記』(2010年5月30日記事)。
