政府によるガイドラインがない現在の状態でも携帯電話事業者などは,ライフログを活用したサービスを提供する道はある。牧野総合法律事務所の牧野二郎弁護士は「制度の裏付けがない現時点では訴訟のリスクは確かにある。しかし,現状の法律や世間の常識に応じた対策を施しておくことでリスクを小さくできる」という。
サービスの透明性確保が重要
対策の基本となるのが「収集するデータの内容とその利用目的についてユーザーに事前に分かりやすく説明し,実際の運用でその目的以外に使わないこと」(英知法律事務所の岡村久道弁護士)である(図1)。
透明性を確保するのは,ユーザーが納得した上で,サービスを利用してもらうためである。「文章だけでなく,絵やフローチャートなどを使って難しい文章を読まなくても分かる形で見せる工夫も必要だ」(岡村弁護士)。
「事業者は将来に使うかもしれないからという理由で,提供するサービスとは関係しないデータまで集めようとする傾向があるが,それはしてはいけない」(牧野弁護士)。必要以上の情報を集めれば「なぜそのデータを集めているのか」とユーザーに疑念を抱かれるだけだからだ。将来,収集する情報を増やしたい場合には丁寧に説明し,再度ユーザーから許可をもらうというやり取りが不可欠である。
ユーザー情報を極力排除して保存
悩ましいのは,収集したデータを利用目的以外に使っていなくても,ユーザーから本当は別の使い方をしているのではないかという疑念を抱かれる可能性があること。「口約束でないことを示すためにも,システムの作り方に気を配る必要がある」(牧野弁護士)。
具体的には,データの保存時にはユーザーを識別するデータ(ID)とライフログを分離。ライフログは統計情報として蓄積する。例えば,「ID:001の人が渋谷駅を10時に通過」という情報を記録するのではなく,他のユーザーのデータとまとめて「10時に10人通過」という具合にしてしまう。
サービスの特性上,どうしても特定のIDにひも付けてデータを保存しなければならない場合も,サービス提供に必要な最低限の期間しか保存しない。保存期間が長いとその分,個人の動きが詳細に見えるようになるからだ。
ログ統合には細心の注意が必要
ライフログ活用サービスを発展させていくと,別の事業者が管理する履歴データと合わせて解析する可能性が考えられる。例えば,ポイント・サービス運営会社が取得した商品購買履歴と,携帯電話から収集した位置情報履歴を合体させて解析する場合などだ。
こうした解析について有識者は「もし,個別にユーザーの許諾を得ていたとしても,現時点でやってはいけない」(牧野弁護士)と口をそろえる。「複数のライフログを合わせて解析すると,コンピュータ上にその人の全人格が浮き上がってくる。社会のコンセンサスとしてそこまでは許していない」(花水木法律事務所の小林正啓弁護士)。
ただし,データを合体させる場合に,「本人と分からないように匿名情報にしたうえで共有することは考えられる」(小林弁護士)。ここで注意が必要となるのが,匿名処理をしても複数のデータを合わせると詳細にユーザーの行動履歴を推測できてしまう可能性があること(図2)。個別のデータだけからは見えないだけに,気が付きにくい。
そこで「外部に提供する際は,どんなデータと合体させても分からない状態にしてから提供する」(牧野弁護士)。位置情報であれば,半径1kmにいるすべてのユーザーをある代表点にいたとすることで,ユーザーの居住地などの情報を隠す。時間も9時台,10時台といった具合に幅を持たせる。年齢を含む場合は20代,30代という具合に丸めてしまうことなどが考えられる。
