改めて考えさせられる個人情報の取り扱い
個人情報保護法が施行され気づけば十数年経ちましたね。施行前後は我が社ハタラクシアをはじめとするコンピュータ業界でも、その取り扱いについては随分騒がれていました。「名刺は個人情報なの?」「社員住所録の取り扱いは?」・・・。新たな法律なので、個人情報の定義や罰則についても何回も教育を受けたことを覚えています。
さて、昨年経験した、あるお話をします。
ある飲食店で食事をしていたところ、「取材で撮影を行いたい」とイギリスのテレビ局が食事中の方々に説明に来ました。店舗のオーナーには事前に撮影することは許諾を得ていたみたいです。ちなみに説明に来たのは英語を話せる日本人でしたので、全く問題なく受け答えできました。
内容は正確には覚えていませんが、イギリス国内で放映予定であること、私を撮影して良いか? 声を録音しても良いか? 撮影したものを公の場に公開して良いか? といった内容で、説明後に同意書を渡されました。
撮られて困ることはないし「イギリスデビューも良いか」と思い、署名欄に名前、日付、住所まで書いた記憶があります。
いままでも日本のテレビ局が行う街頭インタビューを受けたこともあります。偶然街を散策中の姿を放映された経験もあります。しかし、今回のような丁寧な説明を受けたのは初めての経験でした。ヨーロッパの個人情報に対する接し方、GDPRを目の当たりにした瞬間でした。
そして何故今、個人情報保護法ネタを書くのか?
それは、この話が法律化される可能性が大きいからです。
Cookie って聞いたことありますか?
例えばECサイトで商品の閲覧をしていると「あなたにお薦めするもの」とか、以前買い物カゴに入れたままで未決済の商品がカゴに入ったまま、なんて経験したことはありませんか。これを実現するのに使われている仕組みが、Cookie という仕組みであり、そのデータです。便利ですよね。
で、利便性と安全性って、相反することはよくある話ですよね。
例えば、個人を特定しないゲームを提供しているホームページが発行した Cookie は、ニックネームと、ゲームの利用状況が記録されているとします。
そこで、SNSを提供する別会社が発行した Cookie を、ゲームを提供していた会社が入手したとしたら。
突合することで、ずばり本名が分かる場合が考えられます。好みのもの、よく行く場所、年齢や性別も分かるかも知れません。こうなると個人情報が意図しない相手に伝わってしまう可能性があります。ゲーム提供会社からすると、ある属性の人達に向けてマーケティングするのには、これほど質の高いデータはありません。
他人事? いえいえ。
「Cookie 個人情報保護」で検索すると「可能性」ではなく「既におきていること」だと確認できると思います。
法律がどのように制定されるのかにもよりますが、Cookie を使った仕組みを提供する側として、ソフトウェア開発をしているハタラクシアも準備しなくてはならないことが出てくるのかも知れません。
そして、インターネット上のサービスが一般の方々にも当たり前に使われている現在、難しい技術知識はなくとも、二要素認証や二段階認証、当たり前ですが通信の暗号化(URLが「https://~」で始まる)等、利用者側も最低限の注意を払う必要があります。
後日談です。
イギリス国内だけで放映すると説明を受けた撮影ですが、インターネット検索したところ映像が出てきました。しっかりと映る自分を見て嬉しいような恥ずかしいような。英語は得意ではありませんが「Japanese soul food」と書かれたテロップだけは、はっきりと確認できました。
そうです。食べていたのは大衆料理が提供されているお店でした。
では。