万博チケット購入で露見した個人情報意識の低さ 広範すぎる収集に疑念の声

社会 技術・デジタル 国際・海外

4月13日に開幕する大阪・関西万博。電子チケットを購入するために必要な「万博ID」を巡り、登録する個人情報が広範囲なうえ、利用目的の不明瞭なことが批判された。SNSでは「個人情報が売り飛ばされるのか」などと問題視する投稿が相次ぎ、万博を運営する日本国際博覧会協会は個人情報の取り扱い規約の改訂に追い込まれた。国際的な「晴れ舞台」での失態は、個人情報の保護が日本では十分でない現状を世界にさらけ出した。
他の言語で読む
  • English
  • 日本語
  • 简体字
  • 繁體字
  • Français
  • Español
  • العربية
  • Русский

広範囲な情報を要求

電子チケットの購入に先立って求められる万博IDの取得には、日本国際博覧会協会(万博協会)が示す「個人情報保護方針」に同意する必要がある。批判された第一の問題は、収集される個人情報の範囲が明らかに広すぎる点だった。

当初入力が求められていたのは、氏名、住所、クレジットカード番号など電子チケット購入のために必要と思われる情報に加え、▽位置情報▽顔写真や指紋といった「生体情報」▽企業名や部署名の「所属先に関する情報」▽障害者認定の有無▽SNSのアカウントやパスワード▽既婚・未婚の別▽子どもの有無―などだった。

万博協会は、さまざまなイベントへの対応、国内外のスタッフや関係者を含めたID登録のためといった理由で網羅的な内容となったと説明したが、広範囲な個人情報の収集にSNS上では、「目的は何なのか」「怖い」と危機感を募らせた投稿が相次いだ。伊東良孝万博担当相が国会で釈明に追われた挙句、万博協会は3月28日、取得する情報から指紋やSNS関連などの項目を削除し、情報提供先もパビリオン出展者などに限定すると発表した。

会場内のパビリオンでも

同万博に関しては、大阪府や大阪市が設けるパビリオン「大阪ヘルスケアパビリオン」で、同意した来館者の健康データが収集され、一部の協賛企業に提供されることも報じられた。

府・市万博推進局は、企業に提供するのは、加工し、個人が特定しづらいようにしたデータであり問題ないという立場をとっていた。ただ、加工データであっても元データや企業が持つ他のデータと照合することで個人が特定される恐れもあると指摘されていた。

その後、同パビリオンに関する「個人情報取扱い方針」が改定され、参加者に関する情報の利用について「個人情報保護法その他の法令により許容される場合を除き、利用目的の達成に必要な範囲を超えて参加者に関する情報を取り扱いません」と変更された。やはり、メディアによる批判があったからこその改定であることは間違いないだろう。

こうした事例は、日本における個人情報の取り扱いに対する意識の低さ、不十分な法整備の状況をあらわにした。万博という世界から注目を集めるイベントでの「失態」は、特に個人情報に関する意識が高い欧米諸国の人々から強い不信感を持たれかねない事態を生じさせている。

欧米では「クロ」事案?

翻って欧米の状況はどうだろうか。欧州連合(EU)は、個人データ保護に関する規則「EU一般データ保護規則」(GDPR)を定めている。個人データの処理や移転に関する原則や、個人データの管理者や処理者の義務、個人データの保護などを定めたものだ。EUの法律ではあるが、GDPRは欧州で事業展開する企業すべてが規制対象となる。

2019年には、GDPRに違反したとして、仏当局が米グーグルに5000万ユーロの制裁金を命じている。これは米国大手IT企業に対してGDPRに基づいて行われた初の制裁事例だった。個人情報は流出していないが、法律を順守していないと判断された。

一方、米国では、13歳未満の子どもに対しては「児童オンラインプライバシー保護法(COPPA)」が定められている。グーグルとその傘下のYouTubeは19年、米連邦取引委員会(FTC)とニューヨーク州の司法長官から、COPPA違反の申し立てを受けた。YouTubeの子ども向けチャンネルで、保護者の同意を求めずに子どもの個人情報を違法に収集したというものであり、1億7000万ドルの和解金を支払っている。

こうした欧米の厳しい事例を鑑みると、万博IDの事例はほぼ「クロ」と判定されそうだ。英語版のページで万博IDを取得するのにも、プライバシーポリシーへ同意しなければならない仕組みとなっている。プライバシーポリシーへの同意を求める一方、情報を取り扱う法的根拠が薄弱で、本来は広範に守られるべきユーザー個人の「正当な利益」の内容を狭めて指定していたことは、GDPRに抵触する可能性があった。

あえてEUや英国のデータ保護機関が万博IDの件について問題性を指摘したり、制裁金を課したりすることは考えづらい。だが、世界から人が集まる万博という国家事業における個人情報保護方針であることを考えれば、他の国・地域の法を順守し、世界的に見て問題ないものにするべきだった。

世界水準に合わせよ

わが国では2015年の個人情報保護法の改正により、民間企業がユーザーの個人情報を第三者に提供する際は、プライバシーポリシーへの記載、国の個人情報保護委員会に対しての事前届出などが義務づけられた。徐々に個人情報に関する法整備はインターネット時代に合わせて進みつつあるが、まだ十分とは言えない。

広告であることを隠して商品やサービスを宣伝する行為、いわゆるステルスマーケティング(通称ステマ)は、23年10月より景品表示法で禁止された。それまではインフルエンサーらによるステマがまん延し、口コミサイトやSNSに信用できない情報があふれていたことは今なお記憶に新しい。日本がステマの規制に踏み切ったのは、諸外国の多くで違法だったためだ。主要な経済協力開発機構(OECD)加盟国(名目GDP上位9カ国)において、ステマに関する規制がなかったのは日本だけだった。国境を越えて互いがつながるネットにおいては、自国だけのやり方が通用しないのは明らかだ。

ステマに法の網をかけたことにより、インフルエンサーへのステマ依頼が減少したことが調査で判明しており、法整備の効果は歴然としている。万博IDの一件で図らずも不備が露呈したが、個人情報の取り扱いの問題についても、欧米の厳しい水準に合わせて法整備を行っていくべき時が来ている。それと同時に、さまざまな形の教育を通じて国民一人一人の情報リテラシー、個人情報に関する意識の向上を図るべきであろう。日本における特有の問題点や課題の洗い出し、海外における法規制との整合性の検討を急がねばならない。

バナー写真:開幕を控える大阪・関西万博の会場=2025年3月10日、大阪市此花区[小型無人機で撮影](時事)

    この記事につけられたキーワード

    万博 個人情報

    このシリーズの他の記事