電話帳などのオフライン情報にSNSなどのオンライン情報を組み合わせた個人情報検索サービス“Spokeo"が、米国公正信用報告法に違反するとして80万ドルの罰金を課される見込みと報じられています。近年隆盛著しいプライバシーデータを集めて売る個人情報ブローカー商売の勢いに、思いっきり水を指しそうなニュースです。
▼People search engine Spokeo coughs up $800,000 to settle FTC charges (The Next Web)
People search engine company Spokeo will pay $800,000 to settle U.S. Federal Trade Commission (FTC) charges that it marketed detailed information profiles on millions of consumers to companies in the HR, background screening and recruiting industries without taking steps to protect consumers required under the Fair Credit Reporting Act (FCRA).
According to the FTC, this is the first case to address the sale of Internet and social media data in an employment screening context.
Spokeoは、私も以前から気になっていたサービス。勤務先や電話番号等はもちろんのこと、SNSから収集されるGPS情報を使った居所の変遷、家族構成、家計の健全性、経年年収、住まい周辺の持ち家の価格、人脈情報など、金融機関やヘッドハンター等が見たら興味津々のプライバシー情報を、検索・見やすいデザインで一覧できるようにし、有料で販売しています。
注意をしなければならないのが、米国公正信用報告法がこういった個人情報ブローカービジネスすべてを禁止しているわけでないということ。SNSを検索対象としていることをここまであからさまにしたサービスは少ないにせよ、個人を対象とする信用調査機関は昔から合法に存在しています。今回のFTCの声明を見ても、Spokeoが米国公正信用報告法が義務付ける適正な手続き(消費者からの問い合わせ、異議申立てによる情報内容訂正)を果たせる仕組みにしていなかったという点にお咎めがあったもので、個人情報ブローカービジネスを全て否定しているわけではありません。
また、FacebookやLinkedinで企業が応募者の情報を集めているのと何が違うんだ、というツッコミもあろうかと思いますが、あくまでも公正信用報告法はあくまでブローカーとして個人情報を集めて新しい価値を付けて売る商売をターゲットとしているので、個人が自主的にLinkedinに上げた個人情報を、Linkedinに登録した企業がそのサイト内で検索できるようにしている限りにおいては、この規制の対象とはなりません。
とはいうものの、日本IBM主催「Information On Demand Conference Japan 2012」でのTSUTAYAさんのプレゼンテーション(「Tポイントの会員データ分析から企業は何を知るのか」(ZDNet))に象徴されるように、日本においても、ビッグデータというバズワードとともに、消費者の行動履歴や趣味嗜好情報を集めて分析し販売するビジネスが本格化しはじめているのは、個人的には気になっているところ。
このビッグデータという文脈において扱われる情報は、一般に「個人を特定する情報とは切り離されており、(個人情報保護法上の)個人情報・個人データではない」というエクスキューズがなされているようです。しかし、データの一片だけ見れば個人情報といえるかどうかスレスレの情報も、(spokeoの画面をみても想像できるように)例えばGPSによる居所情報や人脈情報と統合されることにより、またはfacebookのような公開情報と照合することにより、そういったエクスキューズが通用しない個人情報・プライバシー情報であると評価される可能性も少なくないものと、今回のSpokeoの報に触れて改めて思う所です。
公正信用報告法のような明確な事業規制法が昔からある米国では、今回のような処分がその時々に下されることによって、個人情報ブローカーと消費者との間に適度な緊張感・バランスが保たれてきたように思います。一方、いまだ個人情報保護法のような抽象的・曖昧な規制しかないここ日本において、そのような緊張感が醸成されているかというと、そうは思えません。ビッグデータブームに乗って個人情報・プライバシー情報ビジネスが一気に乱立したとき、新法が立法されて一気に厳しい規制に傾くような、そんなBADシナリオも想定しながら、各事業者は良識と慎重さをもって個人情報・プライバシー情報を取り扱っていく必要があるのではないか、そう感じています。
