メールの中身は見られていた! SNSへの投稿はAIの開発に使われている……。私はこれまでIT企業やネットの問題を解説する中で、たびたびプライバシーに言及してきました。そのキーポイントとなっているのが、企業が個人情報をどのように扱っているかを定めたプライバシーポリシーです。サイトにアクセスするとポップアップがよく出てきますし、会員登録する時には同意を求められますよね。
しかし、プライバシーポリシーはどれも長いですし、文体もむずかしくて読みにくいです。「正直読んでないけど『同意する』をポチした……」という人も多いのではないでしょうか?
そこで今回は、長くて読みにくいプライバシーポリシーを読むコツと、どういう点に注意すればいいのか、そもそもどういうことが問題になっているのかを解説しようと思います。
目次
プライバシーポリシーをかんたんにしよう
Amazonをはじめとするネット通販。Yahoo!のようなサービスサイトへの会員登録。SNSのアカウント。店でポイントカードを使うとき。私たちはいま、生活のあちらこちらで自分の名前や住所、電話番号やメールアドレスなど、個人情報を企業に知らせています。
では、相手企業は与えた情報を一体何に使っているのでしょうか? あやしげなことをしていないか? それを知るには、まずはプライバシーポリシーを読んでみないことには始まりません。
必須のチェックポイントは5つ
とはいえ、プライバシーポリシーはどれも、長い、堅い、難しい……。読む気が失せるのも無理ありません。
そんなプライバシーポリシーをあきらめることなく理解するコツは、「ポイントだけにしぼる」ということ。頭からずらずら読んでいけばすぐめんどうになってしまうところを、ポイントを探しながら見る、というスタンスでいくのです。
必須のチェックポイントは、たったの5つ。
- 収集する個人情報は具体的に何なのか(氏名、住所、購入履歴、閲覧した商品の履歴、サイトを訪問した日時、など)
- その利用目的(本人確認のため、商品を送付するため、マーケティング目的、など)
- データの管理方法(どこで管理するのか、自社内なのか、など)
- データの保存期間(一定期間後に削除されるのか、それとも保存期間が定められていない=ずっと保存されるのか。退会したあとデータは削除されるのか、それとも利用され続けるのか。その会社が合併か倒産した場合はどう扱うのか。など)
- 第三者提供の有無(するならどういう条件のときにするのか。提供先は誰なのか。何の目的で、どのように利用されるのか。など)
です。これからプライバシーポリシーを開いたら、これら5点に注意してみてください。これらのポイントを「探す」目で見ていけば、長くて堅くて難しい文章はぐっとかんたんになります。
長すぎる……プライバシーポリシーを読むコツ
「条文」と名のつくものを読むコツは、最初の時点では、重要な言葉と結論部だけを拾うことです。上のチェックポイントを見返してください。長くて堅いプライバシーポリシーの条文も、「何を」「どうするのか」の2点だけに注目すれば、うんとシンプルになります。「機能改善にご協力いただくため……」などという「個人情報を提供するのはどれほど良いことか」を説明した部分は、ただの飾りなので全部そぎ落としましょう。
「何を」「どうするのか」を押さえてから、ひとまず読み飛ばした「何のために(=目的)」や「どういう条件のときにそうするのか」に戻ります。
このうち、「条件」によっては結論ががらりと変わることもあるので要注意です。たとえば「第三者提供は」「いたしません」と書いてあったとしても、文の途中に「お客様の同意がない限り」という条件が付いていれば、「同意があれば第三者提供します」と言っているのと同じになります。
現状では、プライバシーポリシーの内容とクオリティには企業により差があります。自社のビジネスをありのままに公表した透明性が高いものもあれば、うんとわかりにくいところに隠してあるなんていうことも……。この企業は相手にしていいな、と思える場合もあれば、好感度が一気に冷え込むこともあるでしょう。
個人情報の提供は怖いこと?
私はこれまで、GAFAなどIT企業が起こした恐ろしい事件を紹介してきました。
現代社会の裏側で行われていることを知れば、「個人情報を提供する=ものすごく怖い」と感じるのではないでしょうか。「これからは全部拒否したい!」と頭から拒絶したとしても無理はありません。
しかし実際には、個人情報を提供するといっても全然怖くない場面は多々あります。
自然なことと不気味なことを仕分けよう
たとえば、通販のプライバシーポリシーで「収集する個人情報及びその利用目的」に「氏名および住所:商品を送付するため」とあったらどうでしょう? ごく自然ですよね。通販会社に名前と住所を教えなかったら、商品を送ってもらいようがありません。
また、会員サービスの内容がシンプルなら、個人情報の取り扱いもシンプルです。たとえば私は最近、ある海外化粧品メーカーのメンバーズカードをつくりました。プライバシーポリシーは、たったの数行。個人情報の利用目的は本人確認と店頭での商品紹介、データ管理を第三者に委託する可能性があるがそのときは本社と同様の管理をさせる、など。いたって自然な内容でした。きちんとした会社だという印象です。
このように、プライバシーポリシーには怖くもなんともない当たり前のことも書いてあります。そもそも個人情報とは、一切を絶対誰にも教えないような性質ものではありません。
自然なことであれば納得です。なんかよく分からない目的が書いてあると、だんだん不気味になっていく。怖い怖いと過剰反応して極端に走らないためには、自然なことと不気味なことを仕分けるのが大事です。
これは大丈夫? 判断に迷う条文
プライバシーポリシーを読んでいる途中、そのデータ利用方法は怖いかどうか、いまいち判断に迷う場面が出てくるかもしれません。
特に、多くのプライバシーポリシーに出てくる「マーケティング調査のため」という利用目的は漠然としていて分かりにくいですね。要するに宣伝や販売戦略に活用するということですが、具体的にどんな調査を行っているのか、どこまで深く掘り下げているのか、私たちにはあまりよく見えません。
この「マーケティング調査」という目的は、ケースバイケースです。例えば、薬局が粉ミルクの売れた個数を数えて集計し、売れ筋はA社とB社のどちらかを調べるだけなら、おそらく抵抗はないでしょう。
それが、あなたの他の買い物履歴や、登録した年齢、性別、行動時間や場所などと結び付けられたらどうでしょう? たとえ直接教えたわけではなくても、粉ミルクを買ったというだけで「今赤ちゃんがいる」ということになりますし、他に買った物からはだいたいの職業や趣味が、買った店の情報からは勤務先の場所が、時間帯からは毎日の行動パターンが分かります。ネットを見ている時の自分にパーソナライズされた広告に利用されるかもしれません。
これが不気味かどうかは、その方法や程度、人それぞれの感覚にもよります。いいのか悪いのかに、客観的な正解不正解はありません。プライバシーは、あなたが納得するかどうかです。
注意すべき条文
ポイントは先に挙げた5点で、それだけに注目すればプライバシーポリシーの内容は理解することができます。
ただ、中には少しトリッキーなことが書かれていることもあります。5つのポイントに加えて、これらが出てきたら注意すべし、という条文を紹介しておこうと思います。
匿名加工してあるなら安心……とは限らない
プライバシーポリシーを読むようになると、「データは匿名加工して利用します」とか「氏名・住所等あなたを特定できる情報は利用しません」と規定されているのをよく見るでしょう。
「なぁんだ、自分のことだって分からないなら安全だ」……と思えるところですが、実はこれ、絶対とまではいえません。
なぜなら、たとえ氏名など個人を特定できる情報を提供しなかったとしても、その会社には別の経路からもあなたに関する情報が集まっているかもしれないからです。例えば、サイトのアカウントに登録した情報や、アンケートの回答などです。そういった情報の断片がどこかでつながれば、それはもはや匿名ではなくなるのです。
あるいは、あなたはあのサイトでもこのサイトでもお気に入りの同じログインIDを使っていたりはしませんか? 現代社会では、「データ売買」のネットワークにより、各所で愛用しているログインIDや電話番号が一致したことからすべての個人情報がつながってしまうことはあり得るという研究結果が出ています。もし各所に少しずつ提供した個人情報が全部つながれば、たとえデータが匿名化されていても、個人は特定されてしまうのです。
私たちにできる安全策は、「匿名加工されるとしても油断はしない」ことでしょう。最悪のケース、つまり匿名加工されなかった場合や個人が特定されてしまった場合を想定した上で、企業と付き合っていきたいところです。
第三者提供が最も怖い理由
プライバシーポリシーのチェックポイント5点のうち、最もデリケートなのが、第三者提供です。
プライバシーポリシーを読んで「この会社は信用できる」と結論したとしましょう。しかし、自分のデータが全然別の会社の手にわたるなら話は変わってきます。そちらの会社は、果たして信用に足るでしょうか?
一般に、第三者といっても、データの管理を委託されただけの企業や、グループ企業(たとえば子会社なら、一応別の会社の形をとっていても事実上は親会社と一体だったりする)なら、最初の相手企業のプライバシーポリシーに服する限り、あまり問題は起きないでしょう。
しかし、直接の関係がない提携先が出てくれば、話はがらりと変わります。データの提供を受けた企業は、それを何のために、どのように利用するのでしょうか? あるいは、提携先にデータ仲買業者や悪質な業者がまぎれていたら?
最も怖いのは、データを提供された第三者が、さらに第三者提供を行っていた場合です。自分のデータが知らないうちに転々と動いたら最後、私たちの力ではもうどうにも、その行方は制御不能に陥ってしまうのです。
第三者提供に「明示的な同意」をした覚えはないけれど?
プライバシーポリシーを読むようになると、必ずと言っていいほど「明示的な同意がない限り第三者には提供しません」と書いてあるのに気づくでしょう。ここでも「なぁんだ、大丈夫じゃん」と胸をなでおろすかもしれません。
ところが、これはなかなかトリッキー。どういうことかというと、会員登録した時点の初期設定では第三者提供するようになっており、第三者提供を止めたい人にはそのオプションが用意されている、という形式があるんですよ。つまり、初期設定のままでいると、意図せず「明示的な同意」をしてしまっていることになるのです。
「プライバシーに目覚めたのは、見も知らぬ会社から突然ダイレクトメールが届いて背筋が凍ったことがきっかけだった」という話はよく聞きます。こういうケースでは、自分の会員情報を掘り下げてみたら第三者提供の「同意」にチェックマークが入っていたのでガックリ……という結果になる確率が高いです。もしそうだったら、これを機にスパッと第三者提供拒否設定をしてはどうでしょうか。
結びに
近年では法改正によってあまりに悪質な条文はなくなってきています。しかしそれでも、プライバシーポリシーを読めばギョッとすることはめずらしくありません。データの利用が物を言うデジタル社会とはそういうものなのです。
長いし難しいプライバシーポリシーですが、ポイントにしぼって見ていけば、特別な知識などなく誰でもすんなりと理解することができます。「自分が知らないうちに何か悪いことが起こっているのでは」と過剰なまでに不安になったり、「この会社も裏で何をやっているか分からない」などと疑心暗鬼に陥る前に、まずは読んでみる習慣をつけてはいかがでしょうか。
関連記事・リンク
人工知能(AI)の問題点・デメリット5選と、人間の未来 – スマホ用の悩みまで聞いてくれる会話AIアプリや、ネットにつなぐとおしゃべりできる子ども向けのぬいぐるみなど、一見楽しくておもしろいものが「スパイ」となった恐ろしい事例を紹介しました。世間ではあまり知られていない「データ産業」についても解説してありますので、現代社会で実際に起こっていることを知るため、ぜひ併せてお読みください。
インターネットからの個人情報流出事件解説と、自分でできる対策 – Yahoo! JAPANやFacebookといった、現代人の誰もが利用する巨大サイトからの個人情報流出事件と、流出した個人情報が引き起こしたSF映画並みの惨事を解説しました。最後のところには、ネットを使う時の自分でできる対策方法をリストしておきましたので参考にどうぞ。
GAFA独占の問題点と日本の現状・課題 – Googleによるメールの「盗み見」、Appleによる会話音声の「盗み聞き」など、米巨大IT企業が起こした問題を紹介しています。
dポイントカードの使い方から解約まで―リンク付きまるごとガイド – 本稿で紹介した条文読破術を使ってdカードの規約やプライバシーポリシーをガシガシ読んでいき、分かったことをまとめました。
生成AIとは?―どこが問題点で、何が起こっているのか – AIの開発には、無数の一般人がネットにアップした文や顔写真などが勝手に利用されています。
Twitter、LINE等の乗っ取り対策まとめ・解説&SNSの今後 – こちらは自分のアカウントの乗っ取り対策です。SNSアカウントには自分や友達、家族、関係先の個人情報が集まっているので、後悔しないためにも対策は万全に。
(※本稿はもともと、Tポイントカードの個人情報第三者提供からオプトアウトする方法の解説記事の一部として書かれました。TポイントがVポイントと統合されることになり、ページをリニューアルする必要が出た際に、独立したページとして組み直しました。)
【画像クレジット】