■関係団体別ヒアリング事項について■

電子商取引推進協議会(ＥＣＯＭ)

●電子商取引における個人情報の取扱の実態

○結合データベース化による個人特定

　インターネットを使ってバーチャルショップやポータルサイトのホームページにアクセスすると、本人が自ら個人情報を入力しない場合であっても、サーバー側には、アクセス・ログ、接続履歴という形でアクセスした側の情報が送信・蓄積されているのが実態である。
　またインターネットを利用する殆どのケースにおいて、いわゆるクッキーというデータの自動送信の仕組みを使って、パソコンのブラウザ側の情報（アクセスサイトのコーナー・商品・興味分野等）は匿名性をもってサーバー側に送られている。
　これらの蓄積データと氏名・住所・メールアドレスなどのインプットされた個人情報を結合すると、本人の知らない間に特定可能な結合個人情報データベースを容易に構築することができる。

　こうした取引のメリットとしては、いわゆるワン・ツー・ワン・マーケティング（欲しい個人に、その欲しい商品・情報を）という事業者・ユーザー側の双方にとって非常に効率的なビジネス展開が可能になる。
　反面、そのデメリットとしては、デジタル情報であるが故の特性を悪用されて、大量の個人情報が容易な手段で、情報主体の知らない間に、しかも瞬時に流出、漏洩してしまう危険性をはらんでいるという点が挙げられる。

○情報収集時における目的の通知、同意の取得の程度

　それぞれの企業規模・業態によってバラツキあるのが実態。

�@ 大手企業サイト・有名モール・通信プロバイダー等
　プライバシーポリシー及び個人情報保護に対する方針・考え方をウェブ上に掲載して、同意の上で取引開始・情報収集に至る。
　特にクッキー（前述のブラウザ側からの自動送信データ）の使用をホームページ上に公開して、オプトイン（事前同意）で了解を得てアクセスさせるサイトも多い。

�A その他中小及び個人経営サイト等
　単一ショップでプライバシーポリシーをウェブ上に掲載している例もあるが、現実には保護方針等の明示や事前同意なく個人情報を収集するケースが大半。

○ネット上で収集される個人情報の管理について

　データベース化した電子媒体での保存が基本であるが、その保管場所・対策については様々である。

�@大手企業・情報処理関連企業サイト
　ホストコンピュータやメインサーバーのハードディスクに蓄積されている個人情報について、パスワード・アクセス制限等により厳重に管理し、外部からの不正アクセスについてもファイアウォールの設定等のセキュリティ対策措置がなされているケースが多い。

�Aその他中小のショッピングサイト等
　一部にはデータ保護意識を強く持ち、社内体制も含めて整備されているサイトもあるが、多くはコストとのからみで厳重なセキュリティ対策とまでは行かずに、サーバーのハードディスク保管以外にＭＯ・フロッピーディスク等の可搬電子媒体に収納、キー付き保管等を行う程度。

●ネット取引における個人情報保護の取組状況

○インターネット上での個人情報の保護については、現状として下記の項目が挙げられる。

�@ ガイドライン等による規制
　「通産省個人情報保護ガイドライン」等をベースにした各関連団体による保護ガイドラインの策定。
　（例）ＥＣＯＭの「電子商取引における個人情報保護ガイドライン」

�A 個人情報保護マーク制度のオンライン運用
　（例）ａ．ＪＩＰＤＥＣのプライバシーマーク（JIS規格）
　ｂ．日本データ通信協会の個人情報保護マーク
　ｃ．その他民間業者によるオンラインデータ保護マーク

�B 技術的なアプローチ
　（例）ａ．Ｗ３ＣによるＰ３Ｐ（プライバシー提供ランク自動設定）の取組み
ｂ．ＯＥＣＤによるプライバシーポリシー・ジェネレータ（生成器）導入
ｃ．各種暗号技術による通信データの保護（ＳＥＴ・ＳＳＬ等）

�C 先進企業による自主規制
　（例）ａ．プライバシーポリシー・個人情報保護方針のウェブ掲載
ｂ．プライバシー保護不充分企業サイトに対する自社広告自粛
ｃ．個人情報保護プログラム（社内遵守規定）の策定

�D 国際的な取組
　（例）ａ．プライバシー規制に対する企業側意識の高まりを反映して
　ＪＩＰＤＥＣのプライバシーマークの申請が増加
ｂ．このＪＩＰＤＥＣと米国のＢＢＢオンラインのマーク制度との相互承認に向けての取組み
ｃ．米国を代表として、プライバシー保護の民間団体の活動が活発化
ｄ．世界的にもオプトイン（事前同意あれば可）ビジネスが台頭してきており、これまでのオプトアウト（事前拒否なければ可）ビジネスに対する個人情報取扱いの差別化要因として機能

●インターネットを利用したワン・ツー・ワン取引における個人情報の活用に利用目的制限を課した場合の実ビジネスへの影響

○ 一般収集情報について

�@ 情報収集時の本人の「同意」の取得について、わが国の一般的な商慣行からしても、妥当なレベルで本人「同意」の事後取得や本人「同意」の推定規定といった考え方を導入しないと事業活動に支障をきたす恐れが強い。

�A プロバイダーへの加入時に受けるＥＣ上の会員制サービスの提供の場合、サービス内容の改善や新サービスメニューの追加を行う場合に当初目的に限定されるのは、現実的でない。（相当程度包括的な目的が認められるべき。）

�B グループ企業内で複合的にネット上での個人情報を収集・利用している場合、窓口企業がその利用目的を示し、本人からの明示・同意を取り付けただけでは不十分となると、各企業が個別にその個人の同意を取らなければならなくなり、かえって面倒な事態を招来する。

�C プロバイダー企業の合併・再編及び会社機能のネット分社化（本体から分離）等があるたびに、その都度、個別の顧客に利用目的の同意を取り直すのは非現実的。

○付随・特殊情報について

�@アクセスログ（前述）からその商品・コンテンツの人気度（ヒット件数）を把握して、結果としてその個人に詳細情報・関連グッズの紹介に及ぶ場合、アクセス毎に利用目的の通知や同意の取得は困難である。

�Aネットショッピングしていただいた商品のアフターサービスの情報や修理内容等の情報について、当初の利用目的が限定されると顧客に対するサービス低下のおそれあり。

●取扱いの透明性を確保する為の手段の在り方

○消費者側にとっては

�@開示請求権・異議申立権等の基本的な考え方として、個人権利の範囲を明確にした上で、ネット上のアクセス可能手段・方法の明示

�A 同上の権利を行使できるような苦情窓口の設定と窓口責任者の配置

○事業者側にとっては

�@取引上不必要な開示請求権の行使等は、アクセス件数の増大につながり、サーバーの本来目的でない負担増につながるため、情報ランク・アクセス可能要件の設定等が必要

�A消費者ニーズと対策コストを考慮した上での合理的・必要な範囲でのネット上の検索・閲覧・開示プログラムの作成

以上