2010年05月31日

閲覧履歴の流用は許さん!

 今日投稿場に辛抱男さんからニュースの情報を頂き、かなり腹のたった内容でしたのでエントリにすることにしました。
 ISP(インターネットプロバイダ)と総務省が腹を合わせてとんでもないことを企んでいるそうです。
 辛抱男さんに教えていただいたニュースはこちら。
 (2010年5月30日付け アサヒコム記事を引用
「ネット全履歴もとに広告」総務省容認 課題は流出対策

 インターネットでどんなサイトを閲覧したかがすべて記録される。初めて訪れたサイトなのに「あなたにはこんな商品がおすすめ」と宣伝される――。そんなことを可能にする技術の利用に、総務省がゴーサインを出した。ネット接続業者(プロバイダー)側で、情報を丸ごと読み取る技術を広告に使う手法だ。だが、個人の行動記録が丸裸にされて本人の思わぬ形で流出してしまう危険もある。業者は今後、流出を防ぐ指針作りに入る。

 この技術は「ディープ・パケット・インスペクション(DPI)」。プロバイダーのコンピューター(サーバー)に専用の機械を接続し、利用者がサーバーとの間でやりとりする情報を読み取る。どんなサイトを閲覧し、何を買ったか、どんな言葉で検索をかけたかといった情報を分析し、利用者の趣味や志向に応じた広告を配信する。

 DPIは従来技術に比べてより多くのデータを集められるため、こうした「行動ターゲティング広告」に利用すると広告効果がさらに上がると期待されている。
 →サーバを流れるデータを途中で読み取ることは、勿論技術的は可能ですし、また通販サイトが顧客の購入実績から、お奨め商品を宣伝してくれる技術もあります。

 だが、情報を突き合わせれば、他人に知られたくない持病やコンプレックスなどが特定される恐れがある。技術的にはメールの盗み読みもでき、憲法が保障する「通信の秘密」の侵害にもつながりかねない。こうした点から、米国と英国では業者による利用が問題化し、いずれも実用化に至っていない。
 →通信と言うものは1対1が原則で、意図しない受信者に読まれることを避けるための技術を何千年と積み上げてきたのが通信の歴史そのものです。

 DPIは現在、一部のネット利用者が「ウィニー」などのファイル交換ソフトで通信を繰り返し、サーバーに負荷がかかって他の利用者に迷惑をかけるのを防ぐのに使われている。総務省もこの監視目的での利用は認めてきたが、業者側から新たに広告利用を要望され、昨年4月に作った識者による研究会の中に作業部会を設けて検討してきた。
 →そんな下品な要望は即時突っぱねろ!

 その結果、導入を認めたうえで、ネット業界に対し、(1)情報の収集方法と用途を利用者にあらかじめ説明する(2)利用者が拒否すれば収集を停止する(3)情報が外部に漏れるのを防ぐ――など6項目を求める「提言」をまとめて26日に公表した。総務省消費者行政課は、こうした情報収集の技術は発展途上にあり今後どう変わるか未知数のため、「あまり縛らず、緩やかな原則にした」としている。
 
 DPIの導入を検討している大手プロバイダー、NECビッグローブの飯塚久夫社長は「個人の特定につながらないよう、集めた情報はいつまでも保存せず、一定期間が過ぎたら捨てる。(プライバシーの侵害目的だと)誤解されたら全部アウト。業界で自主規制が必要だ」と話す。

 一方、新潟大の鈴木正朝教授(情報法)は「DPIは平たく言えば盗聴器。大手の業者には総務省の目が届いても、無数にある小規模業者の監視は難しい。利用者が他人に知られたくない情報が勝手に読み取られ、転売されるかもしれない。業者がうそをつくことを前提にした制度設計が必要だ」と話す。

 作業部会に参加した一人は「総務省の事務方は積極的だったが、参加者の間では慎重論がかなり強かった。ただ、『利用者の合意があれば良いのでは』という意見に反対する法的根拠が見つからなかった」と話している。(小宮山亮磨)

 (強調、赤字、青字は末期ぃによる。以下同じ。) もうすこし掘り下げて解説しているのが、もう一つ辛抱男さんに教えていたSlachdotのこの記事(一部抜粋します)。
 総務省は先月 9 日からパブリックコメントを募集しており (「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」第二次提言(案)に対する意見募集), パブコメ意見募集の結果 (PDF) が公表されているが、これによると「DPI 技術を活用した行動ターゲティング広告は、憲法に定める通信の秘密に違反するもの / プライバシーを侵害するものであり、導入に反対」といった意見が寄せられたというが、それに対する総務省の見解は、「運用に当たっての基準等を策定しこれを適用することを求めていましたが、ご指摘の趣旨を踏まえ、基準等において事業者が明確にすべき事項を提言(案)に追記する」というもの。
また、インターネットユーザー協会 (MIAU) が出した意見「DPI 技術を活用した行動ターゲティング広告については、推奨しないむね明記すべきである」に対しては、「行政機関の研究会として、個別のサービスについて、推奨しない旨の表明を行うことは適当でないと考えます」と回答、
「プロバイダ企業が皆「同意」を求めれば、なし崩しに同意せざるを得なくなります」という意見には「今後の参考意見として承ります」としている。
 →木で鼻をくくった対応とは正にこのこと。腹が立ちますな。

一方、パブコメには事業者の意見として、NTT コミュニケーションズから「個人向けのサービスの申し込み形態として利用度が高い「オンライン・サインアップ」等も同意取得の有効な手段の例示として追記されると利用者にもわかりやすいと考えます」という意見が出ているが、これに対する総務省見解は、「それが個別かつ明確な同意取得の有効な手段といえるかどうかは、ケースバイケースであるため、例示として追記することは適当でない」とされており、必ずしも事業者の都合のいいように進んでいるわけではないようだ。
 →プロバイダから、ラジオボタンの「はい」「いいえ」で済まそうという意見が出ることが既におかしい。

 私はもうこの2つの記事を読んで心臓がおかしくなりました。

 問題点(1)情報の抜き取り手法
 Webページの閲覧行為は通信の一種です。ユーザの使う端末からサーバーに送られるデータから意図するデータをユーザに供することで成り立ちます(それが放送局が一方的にデータを流してユーザが受信する「放送」と違うところです)。

 ニュースを読み限り、端末→サーバーへの上り方向データを途中の接続業者が丸読みして解析して、公告に利用すると思われます。

 回線を流れるものは全てが利用者に見えるデータではなく、ヘッダ(回線を接続するための情報、エラー発生情報、同期情報など)がありデータは「コンテナ」と呼ぶまとまりとして送られます。
 プロバイダがユーザと目的とするサーバーを接続するにはヘッダだけ見ればよろしく、コンテナを見る必要がありません。
 今回はプロバイダがコンテナの中身を見ようとしているのです。
 郵便屋さんが封書を開けたり、運送業者が託された箱やコンテナを開封しますか?
 我々はそんなことはないと信用しているから、郵便や運送業者を安心して利用できるのです。

 私は通信機器の開発に携わって来ましたので、やろうと思えばいくらでも出来ることはわかっていますが、そんなことをやって稼ごうと思いつきもしませんでした。
 通信の秘密はエンジニアにとって憲法以上のものです。
 それを日本の通信技術を引っ張ってきた電電公社(→NTT)や郵政省(→総務省)が根底からひっくり返そうという暴挙を見過ごすことは出来ません。
 警察無線、消防無線を傍受して内容を漏らすだけで有罪ですよね?

 問題点(2)情報抜き取りの同意
 アサヒコムの記事に『(1)情報の収集方法と用途を利用者にあらかじめ説明する(2)利用者が拒否すれば収集を停止する等の条件付き』とありますが、こんな基本姿勢でいいの?

 (1)収集方法と用途だけじゃなくて、それに伴う危険性をもらさずユーザに正しく認識させることが本当に出来ますか?
 契約者は大人かもしれませんが、ユーザが未成年等、危険を認識できない人あるいは理解しようとしない人であったらどうします?

 (2)利用者が拒否すれば収集を停止
 Slachdotのこの記事のコメントにありますが、デフォルトが逆です。
 当ブログ関連の特定電子メールの例でいいますと、一昨年12月やっと建前だけでもオプトイン方式限定にこぎつけて、受信者の同意がないと送信できないことになったのに。
 プロバイダがやって当たり前と主唱してどうする!総務省も止めろ!

 もしこっそり収集されていた場合、ユーザが容易に検証する方法はあるんですか?
 この手法は別の言い方をすると水道管の途中から(しかも利用者の家の水道メータを通った後)水を抜き取るような行為です。
 水なら流量が減るし、封書やコンテナなら開封跡がないか確認出来ますが、通信途中のサーバーで読み取られても全く分りません。
 
 問題点(3)抜き取ったデータの管理
 これはこの手法に限りませんが、勿論問題です。
 プロバイダがかなり膨大なデータを持つことになります。ビッグローブの社長が『集めた情報はいつまでも保存せず』とおっしゃるのはプライバシーへの配慮よりサーバーの容量の問題じゃないかと勘ぐりたくなります。
 トットと横流ししてしまえば貯めとく必要もないし証拠も消せますしね。 

 これは「自分が見たサイトの履歴を見られて恥ずかしい」じゃすみません。

 ひょっとして閲覧履歴だけじゃなく、ログイン情報も取れるよね?
 ネットバンクなんて恐ろしくて使えませんよ。

 問題点(4)公告の方法
 公告とはいかなる方法で行われるかはっきりしませんが、メールなんでしょうね。
 受信者にとって迷惑メールを増やすだけの気がしますし、もしユーザが「解除」の意思表示をしたとしてもそれは「メール配信の解除」だけであって、「情報の収集の解除」でないというトラップだったら?
 ユーザはそれ以降も情報を取られ続けていることに恐らく気づく機会がないと思います。
 NTTコミュニケーションズの意見(オンライン・サインアップでいいじゃん?という)とはこれを狙っている気がしてなりません。

 プロバイダが広告費欲しさだけのために悪魔に魂を売るとは考えられません。もっと深い魂胆がある気がしてなりません。

 疑い出すとキリがないですが、スパムの誘導サイトを放置したプロバイダ(NTT PCコミュニケーションやDION)とそれをろくすっぽ調査も行政指導も行政処分もした形跡のない総務省とが作業部会とやらに1年もかけて、挙句「総務省の事務方は積極的」とは、何たる堕落。

 多く誤謬はあると思いますが、アンチスパムブロガー末期ぃは閲覧履歴の流用に絶対反対します!

 とりあえずgoogleはSSL対応のhttps://www.google.com/(beta版)を使ってささやかに抵抗します。
posted by 末期ぃ at 23:29 | 山口 ☁ | 雑記 | Comment(0) | TrackBack(0)
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス: [必須入力]※公開はしません

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック