あなたの知らないうちにパーソナルデータが外部送信されていないかチェックする方法

2018.05.16更新

リーガルテック

ウェブサービスに組み込んだ広告・アクセス解析ツールを通じ外部へ送信されているパーソナルデータを解析し、プライバシーポリシーを自動作成するサービスを開発した、株式会社DataSignの太田祐一社長にお話を伺いました。

正確なプライバシーポリシー作成を困難にしているデータ外部送信
サービスに埋め込んだツールによる外部送信を解析するツールを開発
ケンブリッジアナリティカ事件とGDPR施行で変わるパーソナルデータ取扱いの潮目

正確なプライバシーポリシー作成を困難にしているデータ外部送信

ウェブサービスを運営する上で、広告ツールやアクセス解析ツールは欠かせない存在となっています。そして、そうしたツールは、ツール提供企業サービスにアクセスしたユーザーの行動履歴をはじめとするパーソナルデータを取得します、

問題は、そうした広告・アクセス解析ツール提供企業の中に、Piggyback・IDSync等の手法により、ユーザーのパーソナルデータをさらに外部の第三者に提供している企業もあるということ。ウェブサービス提供事業者が、プライバシーポリシーなどを通じてユーザーにも認識できるようにするべきなのですが（総務省スマートフォン・プライバシー・イニシアティブを参照）、それを漏れなく把握できている企業は少ないのが実態です。

なぜ把握できないのか？その理由として、以下のような、外部送信ツールの組み込みとプライバシーポリシー作成に関わる関係者（ツール提供者／開発者／法務担当者）間におけるコミュニケーションの不足、そしてテクノロジーに対する理解度の差異があります。

ツール提供者自身が、パーソナルデータを取得し第三者提供している実態について、ウェブサービス提供事業者に情報開示していない
ツールをウェブサイトに組み込んだ開発者は認識しているが、そのことを法務を含む社内関係者に報告していない
開発者は社内関係者に報告はしているが、報告を聞いた法務担当者等が、ウェブテクノロジーにキャッチアップできていない

今回、このプライバシーポリシーと実態の齟齬という問題を専門に扱う株式会社DataSignの太田祐一社長に、日本企業の対応の現状についてお伺いしました。

サービスに埋め込んだツールによる外部送信を解析するツールを開発

太田社長は筑波大学を卒業後、マネックス証券にエンジニアとして入社。2011年以降はDMPやMAの開発を続ける傍ら、データ活用の透明性確保と公正なデータ流通のための研究にも携わり、株式会社DataSignを設立された方です。

そのDataSign社が提供するサービスの一つが、サイトによる外部データ送信の実態を分析・診断するサービス「DataSign FE」です。無料の会員登録を行って解析したいウェブサイトのURLを入力するだけで、そのサイトがユーザーのパーソナルデータをどのように収集し、どの企業に外部送信しているかを、わかりやすく一覧表示してくれます。

プライバシーポリシーの表記（左）とDataSignFEの解析結果（右）には多くの場合差異がある

もし、この解析結果一覧に、プライバシーポリシーに記載がない外部送信先が表示されたとすると、

外部送信の事実をそもそも認識していないのか
外部送信の事実は認識しているがあえて表記しない判断をしたのか

が問題となります。DataSign社による調査結果では、プライバシーポリシーと実態を漏れなく一致させることができている企業は日本で数％にも満たないとのこと。なかなかショッキングな事実です。

プライバシーポリシーと実態が一致している企業は数%に満たないとのこと（上記はDataSignによる調査結果の一部）

なお、有料のサブスクリプションサービスに加入すると、サイトの実態に合わせた「オンラインプライバシー通知」を自動作成し、プライバシーポリシーを更新してくれる機能が提供されます。さらに、広告ベンダーの仕様変更等により意図しない外部送信リクエストが発生した際に、クライアント側のJava Scriptで遮断するサービスもあります。

ケンブリッジアナリティカ事件とGDPR施行で変わるパーソナルデータ取扱いの潮目

このサービスを開発する太田社長自身、「“プライバシーポリシーと外部送信の実態のズレ”は昔からあったが、それが問題視されるのは、日本はもちろん世界でももう少し先になると思っていた」と言います。

私自身も、『良いウェブサービスを支える「利用規約」の作り方』や『アプリ法務ハンドブック』等の書籍を執筆していた際、ユーザーが認識困難な外部送信先へのデータ送信の責任を負うべき主体につき、①サービス提供事業者なのか、②ツール・モジュール提供者なのか、それとも③ユーザーなのかについて、法的な整理を試みた事があります。つい最近までの世論としては、あくまでツール・モジュール提供者が主体としてその責任を負うべきものであり、ツール・モジュールを組み込んで利用するサービス提供者は責任を負うものではないというコンセンサスがあったように思います。

その世論を一気に変えるかもしれないきっかけが、3月に発生したケンブリッジアナリティカ事件です。ユーザーがパーソナルデータの流出について認識もコントロールもできなかったことが問題視され、世界中で王者フェイスブック社が批判の矢面に立たされているのを見て、今後ユーザーがこの問題への感度を高めていくことは容易に想像されます。

さらにそうした世論を後押しするかのように、2018年5月25日よりGDPRが施行されます。アメリカの結果重視主義的なパーソナルデータの取扱いに対し、従来からEUが唱えていたプロセスガバナンスを重視した取扱いこそが世界の潮流になっていく、そんな可能性もあります。