本コラムでは、インターネット利用者のプライバシー保護を取り巻く法的環境に関して何度かお話してきた。今回は、その中核（であるべき）ユーザーの唯一の意思表示を可能にするDo Not Track （以降「DNT」）機能についてお話したい。

＜DNTの現状＞

スマートフォンなどのモバイル・ユーザーが急増した結果、インターネットの利用が一層大衆化した現在、ユーザーのオンライン上の習慣や癖をトラッキングし、それを利用したマーケティングに対する非難が浴びせられている。クッキーなどの技術を利用したこのようなオンライン上のトラッキングは、ユーザーのプライバシーを侵害するものだとして、いくつかの消費者保護団体は、2007年に米連邦取引委員会（FTC）に働きかけ、オンライン広告主を網羅したDNTリストの作成を呼びかけていた。この動きは、結局実現しなかったものの、ユーザーのプライバシーを保護するための技術的改善が試みられるようになった。

その一つとしてトラッキングを阻止するためのDNT機能を搭載したブラウザが出回り始めた。2012年には、ほぼ全ての主要ブラウザがDNT対応を完了した。ウェブ上での行動を追跡されたくないユーザーは、ブラウザのオプションや環境設定の画面に行って、DNTをオンにし、追跡拒否の意思表示ができるのである。

しかしDNTには法的拘束力がなく、ユーザーの意思表示をどの程度尊重するかは、ウェブサイト側の判断に委ねられている。ウェブサイト側のDNTに対する解釈や対応はまちまちであり、結果として、DNTをオンにしても、トラッキングをゼロにできる可能性は現時点では著しく低い。

また殆どのブラウザは、購入時のデフォルトが「DNTオフ」或いはDNTの「選択（意思表示）なし」となっているが、マイクロソフト社が2012年に発表したInternet Explorer 10（「IE10」）は、デフォルトで既にDNTがオンになっているため、広告業界からの非難が集中している。元々ユーザーの独自の判断によってDNTを選択した場合のみ「ユーザーの追跡拒否の意思を尊重する」という、広告業界と米政府の間に合意があった背景を理由に、広告業界は、「個々のユーザーが明確な意思表示を行なっている場合にのみ有効だ」とし、マイクロソフト社を批判している。続いて広告業界が利用するウェブサーバーソフトウェアのうち最も人気のあるApache がIE10の追跡拒否信号を無視するバッチを発表する等、とかく物議を醸している。

また、DNTで意思表示された場合の追跡、共有の方法などが標準化されていないことも大きな問題の一つだ。実際2011年には、ウェブ技術の標準化を推進する非営利団体World Wide Web Consortium （ワールド・ワイド・ウェブ・コンソーシアム：「W3C」）内に、広告業界代表・インターネットブラウザ代表・プライバシー擁護者代表間のTracking Protectionワークグループが設定されたのだが、当事者間の利害の対立から、ワークグループの運営は困難を極めているのが現状である。例えば2013年7月に広告業界を代表する団体の1つであるDigital Advertising Alliance （以降「DAA」）が出した提案にネットブラウザ代表及びプライバシー擁護者代表が激しく反発し、スタンフォード大学のプライバシー擁護者代表ジョナサン・メイヤー氏が脱退。当のDAAも、翌月には脱退してしまった。

このワークグループで標準化を目指していた項目には、ウェブブラウザがユーザーの訪れる各サイトに対してDNT信号を自動的に送信するよう設定されるべきか否か、ユーザーが最初のウェブラウザ設定の段階でDNT意思表示を行なうべきか否かという、非常に基本的な問題もあった。広告業界としては、ユーザーのサイト訪問を追跡できるような設定が標準化される事が好ましかったわけだが、結局ワークグループ内で合意に至ることはなかった。

＜カリフォルニアの新しい動き＞

そんな中カリフォルニア州では、2003年に制定され、ウェブサイトに対してプライバシーポリシーの提示を義務付けた「カリフォルニア州オンラインプライバシー法（CalOPPA）」を修正し、各商業ウェブサイトにDNT対応のための情報公開を要請する法令AB370が、2013年8月22日には上院を、同年8月26日には下院を通過し、ブラウン州知事が署名すれば立法化されることになった。これは必ずしもDNTを尊重することを強制するものではないが、今まで曖昧であったDNT対応の透明化を求めている。

AB370は、一見すると広告業界にとっては厳しく、プライバシー擁護者には嬉しいニュースのようだが事態はそう単純ではない。AB370はCalOPPAに埋め込まれる形で作成されたが、両者には10年間の開きがある。その間に、「プライバシー」の定義が大きく変わってしまったのだ。例えばCalOPPA は、Personally identifiable information （個人を特定できる情報、つまり名前や住所）とFirst-party website（ユーザーの訪問ウェブサイト）を対象として規定が明記されているが、DNTが本来対象としているのはre-identifiable information（ウェブ上の行動）であり、Third-party website（リンク先等、ユーザーが訪れたサイトの管理下にない第三者ウェブサイト）なのだ。このため、法解釈に重大なずれを生じさせる可能性が高い。法がテクノロジーの進歩に追いつく困難さを浮き彫りにした例となってしまったわけで、AB370が法令として採択された場合、続いて数々の修正や追加が行なわれるであろう事は想像に難くない。

オンライン広告はその多くをターゲッティング性（ユーザーの属性やウェブ上での行動履歴に応じて配信広告を細分する機能）に負っている。高まるオンラインプライバシー保護の流れの中、行く先が注目される。

本記事の内容は、一般的事実を述べているだけであり、特定の状況に対する法的アドバイスではなく、それを意図したものでもない。個々の状況に対しての法的アドバイスは、直接当事務所にご連絡頂くか、専門の弁護士にご相談されることをお勧めする。

J weekly・ https://jweeklyusa.com/