現在位置
  1. HOME
  2. コラム
  3. サイバー法
  4. DPI技術による行動ターゲティング広告
DPI技術による行動ターゲティング広告

DPI技術による行動ターゲティング広告

前回のコラムでは、帯域制御について検討しました。今回は、帯域制御に用いられる技術の一つであるDPI(Deep Packet Inspection)技術を用いた行動ターゲティング広告について、検討してみたいと思います。
なお、本コラム中の意見にわたる部分は、すべて筆者の個人的見解であって、筆者の所属組織とは無関係ですので、ご注意いただきますようお願い致します。

サイバー法
2011/05/02
add to del.icio.us このエントリーを含むはてなブックマーク Buzzurlへ追加 Yahoo!ブックマークへ追加 livedoorクリップへ追加 POOKMARK Airlinesへ追加 ニフティクリップへ追加 Tweet Evernoteにクリップ!

はじめに

まず、ディープ・パケット・インスペクション(以下、「DPI」といいます。)とは、パケットのデータ部やヘッダー部を確認するだけでなく、IPペイロードやTCPペイロードの中身までを見て、アプリケーションパターンを識別することができる技術のことをいいます。

前回コラムの帯域制御において、すでに述べているところですが、DPIのようにネットワーク上のデータの収集・検知等を伴うことは、通信の秘密を害するか否かが問題となり、結論として、憲法上の通信の秘密には反しないものの、電気通信事業法上の通信の秘密には、形式的には違反し、要件次第によって実質的な違法性はないとされることになります。

総務省発表による行動ターゲティング広告について

総務省が平成22年5月に公表した「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」第二次提言(別紙2)(http://www.soumu.go.jp/main_content/000067551.pdf)において、以下のような記載がなされております。

DPI技術を活用した行動ターゲティング広告は、通信プロバイダ(I SP)が、ネットワークを通過するパケットを解析して利用者の興味・ 嗜好を分析し、これにマッチした広告を利用者に配信するものである。

一般に、DPI技術とはネットワークを通過するパケットのヘッダ情報や ペイロード情報を解析し、通信の特徴や振舞いを分析する技術を指して いる。

従来、DPI技術は、帯域制御のための要素技術として利用されて きたが、現在、ファイアウォールでは防ぎきれないインターネット上の脅威に対する防衛手段のための要素技術として、より洗練された行動タ ーゲティング広告のための要素技術として、先進的な利用が検討されて おり、今後の展開が期待される技術である。
確かに、近時、全体の約1%のユーザがP2Pファイル交換ソフト等を利用することによって、ネットワーク帯域の占有がなされてしまい、その結果、ネットワークにおける通信の混雑を引き起こす原因の一つになっていると考えられております。

最近のネットワーク接続は、常時接続化し、料金も定額化しておりますので、一部のサービスや一部のヘビーユーザによるネットワーク帯域の占有が恒常化してしまうと、ネットワーク全体の通信速度が低下し、他の一般ユーザーのネットワーク利用が害されることになってしまいます。

そういった点から、前回コラムのように、インターネットサービスプロバイダ(以下「ISP事業者」といいます。)等において、帯域制御を実施するようになってきております。

前回コラムは、つまり、一部のサービスや一部のヘビーユーザによるネットワーク帯域の占有が恒常化という問題解決のために、DPI等の技術を用いるということでありましたので、電気通信事業法上の通信の秘密には、形式的には違反するものの、要件次第によって実質的な違法性はないとされる余地がありました。いわば、害悪除去という意味でのDPIの消極的利用方法によるものでした。

しかし、総務省による「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」第二次提言(別紙2)でのDPI技術を活用した行動ターゲティング広告は、いわばDPIの積極的利用方法にかかるものといえます。

このようなDPI技術を活用した行動ターゲティング広告について、通信の秘密の観点、個人情報保護やプライバシー保護の観点から、検討してみたいと思います。

法的問題

通信の秘密

まず、DPI技術を活用した行動ターゲティング広告が、通信の秘密を害するといえるかという問題についてですが、これは前回コラムでも検討しましたとおり、要件次第によって実質的な違法性はないとされる余地があります。

DPI技術を活用した行動ターゲティング広告の実施は、より効果的な広告配信を行うこと、効果性のある広告配信のために利用者の嗜好を把握すること等を目的としていることから、帯域制御の場合と異なって、正当な目的のものということは難しく、実質的な違法性がないとすることは困難と考えられます。

個人情報保護・プライバシー保護

次に、個人情報保護やプライバシー保護について検討してみます。

行動ターゲティング広告に関する他国の状況としては、次のようになっております。

米国の状況

まず、米国において、2007年に米国連邦取引委員会(FTC)が、「オンライン上の行動ターゲティング広告に関するプライバシー原則」(Online Behavioral Advertising Privacy Principles)を公表しました。この原則は、ISP事業者が自主的なガイドラインを作成するに当たっての根本的な原則となるものです。

もっとも、この原則は修正され、2009年に「スタッフレポート:オンライン上の行動ターゲティング広告に関する自主行動原則」(FTC Staff Report: Self-Regulatory Principles For Online Behavioral Advertising)として公表されています。

そして、同原則は、サービス利用者が、データ収集の詳細の明示や収集の可否に対する決定を行うべきものとしております。つまり、サービス利用者の同意を根拠として、個人情報保護やプライバシー保護の問題をクリアしているということです。

英国の状況

また、英国においても、2009年、Internet Advertising Bureau(IAB)が、オンライン上の行動ターゲティング広告に関する行動原則”Good Practice Principles for Online Behavioural Advertising”を公表しております。この原則においても、サービス利用者が、データ収集の詳細の明示や収集の可否に対する決定を行うべきものとされております。

個人情報保護との関係

個人情報とは、個人情報の保護に関する法律(以下、「個人情報保護法」といいます。)第2条1項によると、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」とされています。

行動ターゲティング広告を実施するために、ISP事業者によって収集される情報は、サービス利用者の興味・嗜好の分析に必要な、ウェブページ上の行動履歴(閲覧履歴、購買履歴等)や当該行動を行っているサービス利用者のIPアドレス等の個人識別情報等があります。

確かに、これらの情報を単独でみた場合には、個人情報保護法2条1項にいう「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」には該当しないことになります。

しかし、個人情報保護法2条1項は、上記に加えて「(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」と規定しております。

一般的に、ISP事業者は、プロバイダ利用契約に基づき、サービス利用者の氏名、住所、生年月日等の個人識別情報を別途保有しております。

そこで、行動ターゲティング広告を実施するために、収集されたサービス利用者のウェブページ上の行動履歴(閲覧履歴、購買履歴等)とサービス利用者の氏名、住所、生年月日等の個人識別情報とがヒモ付けされると、特定の個人を識別することが可能になってしまいます。

しかも、ISP事業者によるデータベースの構築方法にもよるでしょうが、一般的には、ISP事業者がやろうとさえ思えば、収集した行動履歴等の情報とサービス利用者の個人識別情報とを容易にヒモ付けすることができると考えられます。

そこで、現段階での結論としましては、行動ターゲティング広告を行うISP事業者は、個人情報保護法上、個人情報取扱事業者に該当するといえ、同法を遵守することが求められることになると考えます。

もっとも、ISP事業者が保有するサービス利用者の個人識別情報とのヒモ付けができないような匿名化がなされている場合には、行動ターゲティング広告を行うISP事業者は、例外的に、個人情報保護法上、個人情報取扱事業者に該当しないことになると考えます。

プライバシー保護との関係

まず、プライバシー権については、特にその保護を明確化した法律はありませんが、裁判例によって認められた権利であります。

従来、プライバシー権は、「私生活をみだりに公開されないという法的権利」等とされておりましたが、近時、情報化社会の進展を背景として、プライバシー権は、「国家等が保有する自己に関する情報の訂正、削除等を求めることもできる法的権利」等と考えられるようになってきています。

プライバシー保護との関係についても、確かに、ISP事業者によって収集されたサービス利用者の行動履歴等の情報を単独でみた場合には、個人識別性があるとはいえないため、特定の個人のプライバシーの侵害が成立するとはいえないと考えます。

ただし、上述したとおり、ISP事業者は、プロバイダ利用契約に基づき、サービス利用者の氏名、住所、生年月日等の個人識別情報を別途保有しておりますので、収集されたサービス利用者の行動履歴等の情報とサービス利用者の個人識別情報とがヒモ付けされると、特定個人のプライバシー情報を把握することが可能になってしまいます。また、一般的には、そのヒモ付けは容易にできると考えられます。

そこで、プライバシー保護についての現段階での結論としましては、ISP事業者によって収集されるサービス利用者の行動履歴等の情報は、特定個人のプライバシーに係る情報として法的保護の対象となされるべきと考えられます。

まとめ

現在のISP事業者には、常時接続化・料金の定額化というビジネスとしての特徴を出しにくい状況にあると考えられます。それにもかかわらず、帯域幅を大量に必要とするファイル共有アプリケーション等による通信トラフィックの増加がネットワークの処理能力を圧迫し、サーバーの追加投資を迫られるという厳しいビジネス環境に置かれていると考えられます。

そのような中、DPI技術を活用した行動ターゲティング広告は、個々のアプリケーションに対する課金や通信帯域別の料金プランを作り出す等のサービスを提供できる可能性のある技術といえますので、ISP事業者にとっては魅力あるものと考えられます。

しかしながら、上述しましたとおり、現段階の考えとしましては、少なくともサービス利用者による個別の同意が必要になると考えます。

ただし、サービス利用者の同意について、どの範囲の利用まで同意するかという点も考え併せると、単なる同意の存在だけでは解決できない問題が残っているといえます。

そこで、ISP事業者が保有するデータベースに関し、収集したサービス利用者の行動履歴等に関する情報とサービス利用者の個人識別情報とをヒモ付けしない形で、それぞれ技術的に保護するような技術が開発されることが望ましいのだろうと考えます。
yamane1.jpg

山根 義則(やまね よしのり)

弁護士

1972年福岡県生まれ。1996年九州大学工学部情報工学科卒業。2006年弁護士登録。2007年九州大学大学院システム情報科学府情報工学専攻博士後期課程に飛び級入学。暗号理論と情報セキュリティの研究に従事し、その後弁護士となる。弁護士として、事業再生、M&A、税務訴訟、住民訴訟、知的財産コンサルティング等の案件を扱う。研究者としては、電子商取引、電子マネー等の情報セキュリティに関する研究に従事する。法律と技術との架け橋となること、クライアントのニーズに対して戦略的解決を図ることに注力している。

参加募集中のイベント

お問い合わせください
募集中イベントについては、窓口までお問い合わせください。
電話 092-441-2161 まで

記事ランキング

よかぞう 福岡商工会議所イメージキャラクター よかぞう 福岡商工会議所へ