電子商取引におけるOpt-out / Opt-in
青柳武彦(GLOCOM主幹研究員)
増加するDM
筆者の気のせいかもしれないが、今年に入ってから急に米国からのDMが増えてきたように思える。投資案内や財形アドバイス関連が多い。ジャンク・メール被害は、携帯電話だけではなくインターネット・メールの世界にも広がりつつあるのだ。ほとんどは末尾に「removeを希望する方はこれこれの手続きをとるように」と、一応はOpt-out(後述)の手続きを案内しているから米国では合法なのだろうが、数多いDMにいちいち手続きをとらされるこちらの身にはたまったものではない。
「Remove を希望される方はこちらをクリックしてください」というように手続きを簡単にしてあるのは良心的だが、メールアドレスを入力させたり、中には、remove手続き画面にわざと重いグラフィックを使ってなかなか表示されないようにして、remove手続きが取り難いようにしていたりする悪質なところもあった。いちいち対応するのは面倒なのだが、一律に全部シャットアウトすると研究機関などからの有用なDMを読めなくなってしまうから、しかたなくせっせと remove 手続きを繰り返していた。ところが、そんなことをすると筆者のメールアドレスが生きて実在しているということがわかってしまうと注意をしてくれる人がいて、今ではメーラーにいちいち自動削除登録をしている。繁雑極まりない。本当に腹が立つ!
プライバシー・ポリシーの提示
インターネットでは、電子商取引や電子メールを利用する時に、ユーザーは好むと好まざるとにかかわらず、多くの個人情報をウェブ運営者に開示せざるを得なくなっている。インターネットには次項に述べるクッキーという仕組みがあって、ウェブ運営者側は、これを利用して消費者の個人データを広範囲に集めることができる。消費者向けの電子商取引を運営する企業にとっては、念願の One to One Marketing*1を展開する絶好の機会である。ところが、その個人情報はウェブ運営者または第三者によって勝手に利用されて、瞬時に、かつ世界中に流通してしまうかもしれないのだ。
さすがに最近は、多くのウェブ運営者がユーザーのプライバシー権を尊重する立場を明らかにして、プライバシー・ポリシーを明示している。進んだところは、ユーザーの個人情報の処理原則をユーザーに自己決定せしめる手段を採用している。つまり、ユーザーの個人情報をウェブ運営者がどのように利用して良いか、あるいは良くないかについて予めユーザーに選択せしめて登録をするのである。
クッキー
クッキーという仕組みはインターネットに標準装備されており、ブラウザは通常、初期設定でこの仕組みがオンになっている。インターネットのWWWサーバーとクライアント(ユーザー)端末の間でデータがやり取りされる間に、自動的に個人データが収集されるという仕組みである(クッキーという言葉は、かつてUNIXユーザーが作ったという「クッキーが食べたいよう」というメッセージが突然現れる、Cookie Monster という小プログラムに端を発しているという説が有力である)。
ユーザーがあるHPにアクセスすると、そのHPのサーバーから当該ユーザーのアクセス情報(特定ページへの訪問回数など)が送り返されてきて、ユーザーの端末のハードディスクに記録される。他日、ユーザーが当該HPを再度訪問すると、今度はユーザー端末のハードディスクから記録されているデータが当該HPのサーバーに送り返されて、新しい訪問情報によって更新(例えば特定ページへの訪問回数が1回増える等)されて、再びユーザーの端末に送り返される。
このクッキーの仕組みを有効に活用することにより、HP提供者は当該ユーザーに特化したホームページやサービスを提供することが可能になるので、極めて強力かつ有効なマーケティング・ツールとなるのだ。ユーザーにとっても便利である。例えば、新着情報(特定ユーザーにとって)、個人認証(2回目からはパスワードや個人データ明細をいちいち入力する必要がなくなる。例えば、Yahooメールではクッキーを使ってユーザーを認識しているので、2回目からはログインすることによって直ちにシステムの使用が可能になる)、訪問回数が一定数以上に達したユーザーに褒賞を出す等のプロモーション、推奨情報・商品(ユーザーの過去のアクセス履歴を分析)等の仕組みを作ることが可能になるのだ。
日本における電子商取引サイトの安全対策の実情は極めてお粗末である。産業技術総合研究所が2001年9月に発表*2したところによると、約8割の電子商取引サイトが、クッキーからのデータを第三者が読み出せてしまうという欠陥を抱えているという。同研究所が通信販売、銀行・証券取引所などの取引サイト等73カ所を調査したところ、そのうちのなんと59カ所でこのような欠陥が発見された。中には利用者のクレジットカード番号まで読み出せてしまうものもあったという。
事前承諾取得の方式
企業は消費者の個人情報を収集するにあたり、データ・プライバシー尊重の立場から、事前承諾をとりつけるためOpt-out / Opt-in方式で確認をとりつけている。"Opt"は、「選択する」を意味する自動詞である。Opt-out / Opt-inでは、一般的に事態が複雑な場合に選択肢を二分してグループに分け、その選択のアウトという表現に近いニュアンスの方をOpt-out、他方をOpt-inと称する。
これらは、多くの専門分野にわたって使われている用語である。例えば臓器移植に関するドナー・カードの場合、臓器提供承諾者はOpt-inした者である。EU通貨統合に英国とデンマークは参加しないが、これは両国とも経済指標の参加条件をクリアしているにもかかわらず、国内の強い通貨統合反対勢力があるためにOpt-out(参加しない選択を行う)したものである。インターネットとプライバシー権に関連して使われる時は次のことを意味する。
■Opt-out
この選択は、個人情報提供の拒否、すなわちユーザーが個人データをウェブ運営者に収集・利用されたくないという選択を登録するものである。しかし、同時にこれは、「本人に自己の個人データの使用を拒否する権利を与えるが、もし拒否していない(動作を起こさない)場合には事業者は個人データを利用することができる」ことを意味する場合が多いことに注意しなくてはならない。米国では一般的な考え方である。デフォルト(本人が意思表示をしない)の場合は、事業者がどんどん使ってしまうから注意が必要である。
■Opt-in
この選択は、個人データの提供を承諾することを登録するものである。欧州などで一般的な考え方となっている。これは欧州の事業者の多くは、本人が意思表示をしないと個人データを使わない場合が多いことを表している。企業からの電子DMを受け取ることを予め任意で同意し、サービスに参加、すなわちOpt-inした人々にのみ配信するのがオプトイン・メール・サービスである。その場合でも、どのようにして配信許可を得て配信しているのか明記した上で、配信することが必要である。
1985年頃、AOLの前身であるプロディジーという米国のビデオテックス会社が提供していたあるサービスにおいては、予め消費者からプロフィール情報の提供を受けてデータベースを作り、これを画面のバナー広告に活用していた。Opt-in 広告の走りといえよう。例えば、ある消費者が「ニューヨーク市在住の女性で体重は150キロ」というデータを登録しておくと、その女性がアクセスしている時には、センターは画面に当該顧客の特性に合致した、例えばクイーン・サイズの下着の特売広告などを出し、消費者がその詳細画面をクリックすると、サービス提供会社はスポンサーから広告料が貰えるという仕組みである。この消費者は体重が150キロもあるというプライバシー情報を提供する代わりに、便利な情報を入手することができるというものである。
本人の事前承諾の問題点
消費者から事前に承諾をとりつけておきさえすれば、なんの問題もないということには必ずしもならない。マーケティング会社が消費者から個人情報を収集するのは当然の事業活動であり、自社の営業資材を集めるために情報提供者に謝礼を支払うのも当然ではあるが、消費者が安易に回答をする危険性がある。これをすべて消費者側の自己責任であると主張するのは、企業として社会的責任配分のバランスを無視することになるだろう。
米調査会社のInsightExpress社が、2000年3月にセキュリティに関する意識調査を行ったところ、「無料で商品をくれるなら個人情報を提供してもよい」とする消費者が意外に多かった。回答者の大多数(80%)がプライバシーを暴露されることを最も懸念しているにもかかわらず、もし価格割引や現金、無料商品などの提供があれば、普段なら提供しないような個人情報でも提供してしまう傾向がある。
なんとクレジット番号についてさえも、17%がもし誘因があれば教えると答えた。なお、5%は誘因がなくても教えると回答し、54%はどんなことがあってもインターネットではクレジットカード番号を決して教えないと答えた。また78%が、社会保障番号を教えないと答えた。年収についても、誘因があれば42%が情報を提供すると答え、誘因がなくても27%が提供すると答えた。なお、回答者の過半数(57%)が、過去6カ月以内にオンラインショッピングを利用した経験がある。
個人情報の収集と利用にあたっては、たとえ消費者が事前承諾を与えても目的外利用は禁止するものと、たとえ事前承諾を与えても利用は禁止するもの(収集自体を禁止すべきである)とを、明確化した規制が必要と思われる。
*1 One to One Marketing:ドン・ペパーズ等により提唱されたマーケティング技法。市場をマスでとらえずに、一人一人の個性のある個人顧客の集合としてとらえる。市場におけるシェアを追求するのではなく、個別の顧客の満足度を高めることにより当該顧客の購買の中に占める自社製品の購買シェアを高めるように努める。したがって、個々の顧客の個別的な消費性向や嗜好を把握することが第一歩となる。個人データを駆使したデータベース・マーケティングが主要な手段となる。
*2 日本経済新聞朝刊 2001.09.24