第28回 消費者法分野におけるルール形成の在り方等検討ワーキング・グループ 議事録

日時

2021年5月12日(水)13:02~14:31

場所

消費者委員会会議室・テレビ会議

出席者

【委員】
丸山座長、新川座長代理、山本委員長、片山委員長代理
【オブザーバー】
柄澤委員、大石委員、大阪大学大学院法学研究科教授 清水真希子氏、京都大学法学系(大学院法学研究科)教授 原田大樹氏
【説明者】
株式会社DataSign 太田祐一代表取締役社長
【事務局】
加納事務局長、渡部審議官、太田参事官、大岡企画官

議事次第

  1. 開会
  2. インターネット広告の仕組みについての有識者ヒアリング
  3. 閉会

配布資料 (資料は全てPDF形式となります。)

≪1. 開会≫

○太田参事官 本日は、皆様、お忙しい中、お集まりいただき、ありがとうございます。

ただいまから、消費者委員会第28回「消費者法分野におけるルール形成の在り方等検討ワーキング・グループ」を開催いたします。

本日は、所用により、山本委員長が遅れての御参加、新川座長代理が途中退席との御連絡をいただいております。

議事に入ります前に、配付資料の確認をさせていただきます。お手元の議事次第に配付資料を記載してございます。不足等がございましたら、事務局までお知らせください。

なお、本日の会議は、ウェブ会議による開催となります。公開で行いますが、感染拡大防止の観点から、一般傍聴者は入れず、報道関係者のみ傍聴いただいての開催となります。

議事録につきましては、後日公開することといたします。

次に、ウェブ会議による開催に当たりましてお願い申し上げます。

1つ目に、ハウリング防止のため、御発言いただく際以外は、マイクをミュートの状態にしていただきますようお願いいたします。

2つ目に、御発言の際は、あらかじめチャットでお知らせください。座長に御確認いただき、発言者を指名していただきます。指名された方は、マイクのミュートを解除して、冒頭にお名前をおっしゃっていただき、御発言をお願いいたします。御発言の際、配付資料を参照する場合は、該当のページ番号も併せてお知らせください。

なお、御発言の際には、可能であればカメラのマークのミュートを解除していただきましたら、どなたがお話しになっているかが分かりやすくなりますので、御協力お願いいたします。

3つ目に、音声が聞き取りづらい場合には、チャットで「聞こえない」「聞こえにくい」などと記入していただき、お知らせいただきますようお願いいたします。

それでは、丸山座長、以後の議事進行をよろしくお願いいたします。

○丸山座長 座長の丸山です。どうぞよろしくお願いいたします。

本日の議事進行についてですが、途中で私の回線が切れた場合は、復旧するまでの間、新川座長代理に、新川座長代理の回線も併せて切れた場合は、事務局に進行をお願いします。


≪2.インターネット広告の仕組みについての有識者ヒアリング≫

○丸山座長 それでは、本日の議題に入らせていただきます。

本日は、インターネット広告の仕組みについて、有識者ヒアリングを行いたいと思います。

本日は、株式会社DataSign代表取締役社長の太田祐一様にヒアリングをさせていただき、その後、委員、オブザーバーの皆様でヒアリングを踏まえた意見交換を行うということで進行したいと思います。これまでのヒアリングと同様の形で進めてまいりたいと思います。

それでは、まず、太田様へのヒアリングを実施します。

御入室いただきますので、委員、オブザーバーの皆様は、準備が整うまで少しお待ちください。

(株式会社DataSign入室)

○丸山座長 本日は、参考人としまして、株式会社DataSign代表取締役社長の太田祐一様にお越しいただいております。

本日は、大変お忙しい中、ありがとうございます。

それでは、30分程度でお話しいただきますよう、よろしくお願いします。

○株式会社DataSign太田代表取締役社長 「インターネット広告とトラッキングの実態と動向」というタイトルの資料になります。

ページ番号2ページ目に「自己紹介」と書いてありますが、簡単に私の自己紹介をさせていただくと、DataSignの太田と申しまして、DataSignの代表をさせていただいているのですけれども、そのほかにも関連するところでいうと総務省のプラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループの構成員もやらせていただいたりしております。

DataSignという会社が何をしているのかというと、下のポツに書いてあるように、データ活用の透明性確保と公正なデータ流通を実現するために、DataSignを設立と書いてあるのですけれども、なぜそう思ったかというと「DMP/MAをたくさん作ってきました」と書いてあるのですが、これは何のことか分からないと思うのですが、これまで広告のデータとかマーケティングに使うデータを収集するプラットフォームを幾つか作ってきまして、その中で消費者が想像していないようなデータの収集方法とか使われ方を、プラットフォームを提供しながらやっていたのですけれども、よくよく考えてみると、これは消費者目線からすると、こういう情報が集められているなんて知らないし、個人目線ですると嫌だなと思いながらそういうことをやっていたのですが、その嫌だなということをやり続けるのはよくないので、そういった状況を変えていくためにDataSignという会社を立ち上げております。

30分ということなのですけれども、本日お話しする内容として、インターネット広告の仕組みです。先ほどインターネット広告とかマーケティングに使うデータを扱っていたというところで、どういう仕組みでインターネット広告が行われているのか、その上でトラッキングをして消費者のデータを集めていくのですけれども、そういったところの実態がどうなっているのか、あとは最近の動向と大きく3点お話させていただければと思います。

4ページ目に行きまして「よくイメージされるインターネット広告」と書いてあるのですけれども、人によってインターネット広告にどういうイメージを持っているのかは分からないのですが、多分、よくいわれるのは、アドネットワークみたいなのがあって、いろいろな広告枠、要するに広告が表示されるところを束ねてやっているのだみたいな理解の方が多いと思っております。

実際にそうなのですけれども、これは左下に書いてあるように、1998年ぐらいから始まった仕組みで、20年以上前から始まっているし、今でもあるのですけれども、結構トラディショナルなやり方です。

昔はこうだったのですけれども、今はどうなっているかというと、5ページ目です。「現在のインターネット広告」。「現在の」とかいいながら、この図に書いてあるものは2010年段階の話なのですけれども、先ほどのアドネットワークという存在が代理店と一緒になって広告枠、表示される側を集めて、広告主はどこのアドネットワークで配信するというのを決めて配信するというシンプルなものだったのですが、今はここに書いてあるように、DSPとかSSPは後で説明しますけれども、いろいろな事業者がデータのやり取りをしながら、どこの広告主の広告をどこの広告枠、メディア、インターネットサイトに表示していくかというのを、リアルタイムビディングと呼ばれるのですけれども、オークションをしながら広告の表示を決めていくという非常に複雑な仕組みになっております。

この複雑な仕組みに関しては、後ほど説明するのですけれども、ここで最初に説明しておきたいのが、ここに「JS」とか「SDK」と黄色いタブみたいなものがついていると思うのですが、これが情報を収集したり、広告を表示したりするためのモジュールの名前です。こういったものをいろいろな広告事業主とか広告主、インターネットのサイトとかの表示するメディアといったところが、JSと呼びますけれども、JavaScriptとか、アプリに関してはSDKで、JSとSDKの違いは、ウェブだったら大体JavaScriptで、アプリだったらSDKで覚えていただければいいのですけれども、そういったモジュールをウェブサイトに組み込んだり、アプリに組み込んだりしながら広告のデータや広告の表示を行ったりしております。

6ページ目に行っていただくと、JavaScript(JS)タグとかSDKがどういうことをしているのか、どういう情報を取得しているのかというところを書かせていただいております。

ウェブサイト、アプリでもほぼ同じなのですけれども、まず、赤字で「オンライン識別子」と書いてあるのですが、これは後ほど詳しく説明します。オンライン識別子は、要するにブラウザを特定したり、端末を特定したりするためのIDを取得しますというのはどちらもやっています。そのほかにIPアドレスとかURL、アプリの名前といったものを取得していたり、ウェブサイトだったらページに表示されている内容とか、アプリだったらアプリに表示されている内容といったものも取得することができます。

あとは、環境情報です。ウェブサイトを表示しているブラウザの画面のサイズがどうとか、画面サイズだけではなくて、例えばiPhoneのバージョンが幾つでという環境の情報です。どういう環境からアクセスしているかという情報も取得することができます。

あとは、フォームに入力されるような情報です。IDとパスワードとか、お問合せだったりするとメールアドレス、決済画面だったらクレジットカード番号も取得することができてしまいます。

広告の表示もJavaScriptタグとかSDKなどで行っております。

要するに、ここでいいたいことは何かというと、JavaScriptのタグとかSDKを広告目的で安易にウェブサイトやアプリとかに組み込んでしまうと、いろいろな情報が取得できるようになってしまいます。こういうところに気づいていない、要するにウェブサイト事業者も広告事業主からJSタグを入れてくださいといわれるのですけれども、それでどういう情報が取得されて何ができるのかというのをあまり知らずに導入しているケースが結構あります。

7ページに行って、オンライン識別子の話なのですけれども、これはウェブとスマホ、要するにJSタグで取得できるものとSDKで取得できるものは違うものになっておりまして、ウェブの場合はサードパーティークッキーがメインで、あとは最近、ローカルストレージやフィンガープリントとかがありますが、フィンガープリントは後ほど説明しますけれども、最近、クッキーが使えなくなるみたいな文脈でよくいわれているのがサードパーティークッキーで、要するにサードパーティークッキーが使えなくなってくると、ウェブで識別子を取得できなくなっていくので、ターゲティング、トラッキングができないということになってきていますというのが現状です。まだ使えるのですけれども、来年の1月ぐらいには使えなくなるといわれております。

スマホの場合、SDKで取得できるのは、iOSの場合はIDFA(ID for Advertisers)と呼ばれているもので、アンドロイドの場合はAAID、もしくはADIDとも呼ばれますけれども、これも広告用のIDとして識別子をOSレベルで提供しています。iOSのIDFAのほうは、後ほど説明しますけれども、4月26日から、利用するには、アプリのところで許可しますかというダイアログが出てきて、同意必須になったので、IDFAも勝手に使うことはできなくなってきています。こういったオンライン識別子を使って識別して、ターゲティング広告を打っている。

先ほどのごちゃごちゃしているRTBの仕組みをここから説明していくのですけれども、3企業というか、企業は同じ場合もあるのですが、主に3つの登場人物がいます。

DSPとSSPとDMPという登場人物なのですけれども、それぞれ役割がありまして、DSPと呼ばれるものが、広告主側に立って、広告主の利益を最大化する。要するにデータを使って、広告の効果を最大化させるというのを広告主に向けてやっているのがDSPで、Demand-Side Platformの略でございます。

次に、SSPが、今度は広告主側ではなくて、メディア側、広告を表示する側の広告収入を最大化させる。どの広告を配信したら一番もうかるのかというのを計算して、広告を出す。

なので、DSPとSSPは、利益相反なわけです。広告主側は安く、たくさん広告を出したらいいし、メディア側は高く、たくさん出したいので、これは分かれているのが望ましいということで分かれたのですけれども、ここでデータのやり取りもしています。

DMPは、分かれていたり、SSPの中、DSPの中に組み込まれていたりするのですけれども、これはData Management Platformの略で、この広告を表示するためのデータといったものを蓄積したり、活用したりするものをDMPと呼んでいます。

これらの3者がどのようなやり取りをしているかというのを、9ページ目から「RTBの仕組み」ということで説明しております。ここからは流れに沿って説明していきます。

9ページ目は、SSPです。SSPは、メディア側、例えば日経オンラインに導入されているSSPがあって、日経オンラインに例えば僕がアクセスしました。そうすると、メディアにはSSPが導入されているので、SSPIDがオンライン識別子、先ほどのウェブでいうとサードパーティークッキーとして、SSPが付与するIDがユーザーのブラウザに付与されます。それが例えばABCだったとします。

そうすると、僕が日経オンラインに訪れると、SSPがDSP側にSSPIDがABCの人がメディアA、この場合は日経オンラインですね、日経オンラインの枠001は、トップページの右上とかにしましょうか、トップページに訪れましたという情報をSSPがDSPをやっている各事業者に送信します。大体全部で数十社あるのですけれども、SSPが提携しているDSPに送信されます。

そうすると、DSP側は、IDがABCの人が日経のトップページに訪れたのだなという情報を受け取って、10ページ目に行くと、DSPは、DSP側でのIDとSSP側でのIDのマッピングテーブルを持っていて、SSPIDがABCという人は、DSP側のIDでは123というので、DSP側で特定できます。

11ページに行っていただきまして、では、DSPIDが123という人は、どういう人なのか、どんなデータがあるのかというのをDMPに問い合わせます。そうすると、DMP側には、DSPとDMPのIDのマッピングテーブルがあって、DSPIDが123の人は、DMP側ではXYZで、その人には「男」という情報が付与されていますと。そういう情報をDMPがDSPに返します。それがマル3です。

12ページに行っていただきますと、今度は、DSPがこの人は男なのだなということが分かったら、日経に訪れた男の人に広告を見せるために、幾ら払いますと入札します。それをSSP側に返すのです。

例えばこのDSPは100円で入札します。今の絵では1つだけになっているのですけれども、数十社が一気にばっと同じことをします。持っているデータとか価格を判定するロジックがそれぞれ違うので、DSPがそれぞれ値づけをします。いろいろなDSPが100円で入札しますとか、50円で入札しますというのをSSP側にがっと送って、その中で一番高い値段を付けた人、この場合は100円が一番高いと仮定すると、100円が一番高かったので、あなたが落札できましたという返信をSSPがDSP側にして、DSPは、落札したのだったら、この広告を表示しますといって、SSP側に広告の画像とかを介して、実際に日経オンラインに表示されるという仕組みになっております。これがRTBという仕組みです。

なので、メディア側もSSPを介して、どこのDSPが落札して、どんな広告が出るかというのを事前に見ることがなかなか難しくて、メディア側はどういう広告が出るのかというのはあまり把握できたりしないです。DSPの裏側にいる広告主側も、いろいろなところに入札していくので、ある程度分かるのですけれども、最終的にどういう広告がどのメディアに出るかというのも把握しづらい状況になっています。

その中で、SSPとかDSP、DMPがIDのやり取りをしながらそこにひもづくデータは、入札が行われると、例えばもともとDMPが男性ですという情報だけを持っていたとしても、例えばDSP側から日経から来ましたという情報が来るので、この人は日経に来たから、ビジネス系の人なのかなみたいなことが推測できるので、その情報もまた分析の中に入れて、DMPが持っている情報にこの人は男で、ビジネス系のメディアを見ていてという属性がどんどん付与されていって、いろいろなところでいろいろな情報が取得されているという状況になっております。

それで、どれぐらいの事業者がデータを取得しているのかというのを調べてみたのが14ページでございまして「とある生活者の1日」と書いてあるのですけれども、僕なのですが、調べてみたのですけれども、僕は、1日生活すると、5つのアプリを使って、60のサイトを見ていました。60サイトにアクセスしているので、日経とかいろいろなところを見ていますけれども、自分がアクセスしたという情報は、60のサイトに自分が行った、ブラウザに来たということが分かるのは当然なのですが、先ほどのオンライン識別子を使って自分をトラッキングしている事業者がどれぐらいいるかというのを調べてみたところ、この60サイト5アプリ以外に、1日で約250の事業者にデータを送信しておりました。

この250の事業者はどういうのがあるかというと、広告系が一番多くて123社で、グーグルとかの有名どころがあったり、あとはアクセス解析です。これはそんなに大きな問題にはならないのですけれども、グーグルアナリティクスとかそういったアクセスの解析です。あとは、データ仲介、データを販売している業者です。先ほどのDMPみたいなところが多いですけれども、例えばこの人は男だとか、ビジネスに興味がある人だとか、自分の情報を集めて、そこから属性を導き出して販売しているような、そういう情報を集めている会社にもいろいろと提供されているという状況になっております。

基本的にウェブは60サイトと5つのアプリなのですけれども、スマホアプリだけに絞った調査もしてみましたので、アプリを起動した場合にどういう通信がというか、どれぐらい広告のリクエストみたいなものが送られているか、データのリクエストが送られているかというのを調べたのがこちらで「ニュース系のアプリ2つ」と書いてありますけれども、具体的には、SmartNewsとNewsPicksです。これを2つ起動して、数ページ閲覧しただけで「133のホスト」は、133の企業とほぼ同義だと考えてください、133の企業に237回のリクエスト、237回何かのデータが送られているということが分かりました。

アプリとかウェブを見ると、いろいろなところにデータが送信されていることが分かったのですけれども、では、それをちゃんと開示しているのかというところを我々DataSignで調べてみました。

これは毎年やっているのですけれども、最初に日経に取り上げていただいたのが2019年2月です。このときは日経の一面トップにもなったのですが、ほとんどの企業がどこにこういうデータを共有しているかというのをほとんど正しくプライバシーポリシーに書けていないということが分かりました。

16ページにその結果が載っているのですけれども、1位の福岡銀行は、福岡銀行のウェブサイトに訪れると、福岡銀行以外の80の会社にデータが送信されていますと。「共有先の開示」が「マル」になっているのですけれども、実際はかなり判定が甘くて、この80の共有先のうち、1個だけ書いてあったので「マル」なのですが、他の79個は何も書いていないという状況です。

他の企業もそんな状況なのですけれども、企業側もどこが自分のウェブサイトからデータを収集しているのかというのがあまり分からないので、書けないというところもあるのですが、共有されている数と共有先の開示自体をしていないところが「バツ」なのですけれども、そういったところも半数ぐらいありますし「マル」になっていても、1個だけ開示しているという状況になっております。

あと、朝日新聞が、収集している中に位置情報がどれぐらいあるかというのを我々と一緒に調査したのですけれども、位置情報に関しても、外部業者と共有しているけれども、半数が明示していない、位置情報を取っているのに、取っているといっていないというのが半数ぐらいあったという調査結果も出ております。

そんな状況の中で、クッキーやIDFAとかのオンライン識別子にそういう情報をひもづけてデータを収集することは、利用者に対して全然透明性もないし、昨今のプライバシーに対する風当たりの強さ、そういうデータの収集に対する風当たりの強さから、プラットフォーマーがこっそりとデータを収集するのはよくないから、できないようにしますといっていて、アップルは2017年ぐらいからITPという仕組みでクッキーを使ったトラッキングをどんどんできなくしていまして、Google Chromeのブラウザでも、来年1月にサードパーティークッキーを使えなくしますというアナウンスをしています。

アプリに関しても、4月26日からIDFAの利用に同意が必須になりました。実際にこういうのが出ます。今説明しているのは18ページです。ここにアプリ名が出ているのですが、「どこどこが他社の所有するAppやWebサイトを横断してあなたを追跡する許可を求めています」というのに「許可」というのを押さないと、IDFA(オンライン識別子)を使うことができないというふうに変わっております。

これが使えなくなってしまうと、先ほどのRTBの参加者のDMPとかDSP、SSPが困ってしまうのです。これが使えなくなったらターゲティングができないではないかということで、今、この許可を頑張って得ようというところと、サードパーティークッキーとかが廃止されてしまったときに、要するにブラウザ側にIDを保存するのが難しくなるので、フィンガープリントという技術でブラウザを特定していこうと。

これは、先ほどのどういうデータが取れるかという話のときに、環境情報が取れるというお話をしたと思うのですけれども、どういうOSで、画面サイズがどれぐらいでとか、そういう情報を組み合わせて、1つのブラウザ、1つのデバイスを特定していくという技術を使って、結構昔からあるのですけれども、また最近はやっているというところです。

フィンガープリントは、どういう情報を使って特定しているのかというのは、結構ブラックボックスなので、取得していてもばれにくいですし、ユーザーも拒否できないというか、拒否しにくいので、日本ではフィンガープリントに関して特に規制もないので、別に規制がないのだったら、フィンガープリントでじゃんじゃんやればいいではないかと考える人も割といます。アメリカとかでは、フィンガープリントは自主規制でできなかったり、ヨーロッパだとそもそも規制されているというところで使われなくなってきているのですけれども、逆に日本では特に規制がないので、むしろ今、使ったらいいのではないかという流れになっています。

あと、グーグルは、サードパーティークッキー、要するにオンライン識別子を勝手に取得できるようなものはなくすけれども、識別子を使わなくても広告でターゲティングできるような仕組み、これを総称してプライバシーサンドボックスと呼んでいるのですが、御存じの方もいるのかもしれないのですが、FLoCと呼ばれる機械学習を使って、IDを指定してこの人に広告を出すのではなくて、ある何かに興味がある人群みたいなものをブラウザが作って、そのブラウザで判定されるコホート(セグメント)を利用して、広告を打つという仕組みに変えていこうと提案しているのですけれども、これも要するにID、識別子を使っていないだけで、その人の興味を分析してターゲティングしているということには変わりないではないかというところと、ブラウザが直接収集して判別しているので、今まではタグやSDKとかがなければ、そこは収集の対象にならなかったのですけれども、ブラウザでアクセスしたら、それが全部対象になるので、そういう意味では今までよりもたくさんの情報を使っているのではないかといわれていたり、いろいろと批判の対象になっていたりします。

そういった中で、グーグルに対抗するような勢力も出てきています。識別子を使わないターゲティングは、グーグル的にはいいかもしれないのですけれども、他のグーグル以外の広告事業者にとっては、IDを使ってターゲティングしていきたい、そうしないとちゃんと分析もできないし、ちゃんと自分たちで分析していきたいので、別のIDを作りたいですといって業界団体を設立していますというのが、21ページの話です。

いろいろな広告主とか広告事業者が入って、PRAM(Partnership for Responsible Addressable Media)というのを作って、ここが推進しているのが、22ページのメールアドレスベースのIDです。今まではオンライン識別子、先ほど説明した中ではクッキーとかIDFAという端末を識別していくもので取得していたのですけれども、そうではなくても、メールアドレスをベースにして、広告のIDとしてやり取りしたほうが、デバイスをまたぐこともできるし、同じ人がウェブサイトを見ている、アプリを使っているというところも、メールアドレスが一緒だったら人をターゲティングできるから、よりいいと。かつ、GDPRでは、広告のトラッキングは同意がないとできないので、同意を取るのだったら、クッキーやオンライン識別子とかいっていないで、メールアドレスを使いますということに対して同意を取ってしまえば、人を特定できるからそのほうがいいのではないのという流れになってきています。

「オンライン識別子まとめ」と23ページにまとめさせていただいておりますけれども、これは何が書いてあるかというと、会社1、2、3、サービスA、B、D、Eとありますが、要するに、みんなやりたいのは、会社をまたいだトラッキングです。会社をまたいでオンライン識別子を使っていきたい。広告を出すときに、あそこのサイトに行った人にここで広告を出すとかしたいので、会社をまたぎたいというときに、サードパーティークッキーは規制というか、ブラウザの仕様で使えなくなってしまう。もう一つあるのは、IDFA、黄色い部分で、iOSで共通したIDを使えますが、同意が必須になっている。Unified ID 2.0は、メールアドレスが共通なので、先ほどのメールアドレスを使っていこうというところで、ここが今、有力視されているという感じです。

あと、同意管理ツールについて少しお話ししたいのですけれども、先ほどのGDPRでは、トラッキングに同意が必要ですので、その同意を得るためのツールとして発展してきております。24ページです。

トラッキングするために同意が必要ということで、クッキーバナーとかCMPと呼ばれるものが日本でもいろいろとちょいちょい使われるようになってきたのですけれども、25ページを見ていただくと、同意としてあまり有効ではないものです。要するに、ウェブサイトにアクセスするとか、アプリを利用すると、クッキーの利用とかそういったオンライン識別子の利用に同意したものとしますという書き方のものも結構多いです。GDPR上では、もう有効な同意として認められませんといわれているのですけれども、こういうのが日本で残ってしまっているという状況になっております。

そういう状況になっているのは、日本では、先ほどのオンライン識別子とかオンラインの特定をしていく部分に対して、明確な法的ルールがないところが結構問題なのかなと思っております。個人情報保護法で特定の個人とひもづく場合は規制の対象になるのですけれども、先ほどのブラウザを特定しているとか、デバイスを特定しているというのは個人情報にならないので、そこの部分に関しては特に法的なルールがない。広告は特定の個人を識別していないですとずっといってきているので、そこについてルールはありませんと。

ただ、GDPR対応もあって、同意を取得しようと頑張っているのですけれども、25ページのなんちゃって同意になってしまったりするので、同意を得るというのは、あまり得策ではないのかなと思っておりまして、自社のウェブサイトとかアプリで、どういう事業者が何のためにデータを収集しているかというのをちゃんと公表することを明確にして、それのオプトアウト、拒否できる機会を徹底するというのが必要なのではないかと思っております。

私からは以上になります。ちょっと時間をオーバーしてしまいました。失礼しました。

○丸山座長 ありがとうございました。

それでは、引き続きになりますけれども、40分程度で質疑応答をお願いしたいと思います。

ただいまの御説明を踏まえまして、御質問、御意見のある方は、御発言をお願いしたいと思います。

御発言をされる場合には、まずはチャット欄に質問希望である旨を投稿いただければと思います。

いかがでしょうか。

質問をお待ちしている間に、私から何点かお伺いしたい点があるのですけれども、よろしいでしょうか。

○株式会社DataSign太田代表取締役社長 はい。

○丸山座長 よろしくお願いします。

最初に、お話できるかどうか分からないのですけれども、DataSignをお立ち上げになった際に、そういった広告マーケティングなどを行っている業界でデータ収集あるいは利用の仕方について、率直に嫌だなという印象を持たれたということなのですが、可能であればなのですけれども、嫌だなと思った事象をもう少し具体的に教えていただければと思いました。これが第1点の質問になります。

第2点の質問としましては、私自身も日経オンラインなどを利用する際にプライバシーポリシーに行って、すごく多くの会社が並んでいて、全部を断ることなんかとてもできないと思った記憶があるのですけれども、これからの将来の流れについてお話していただいたときに少し気になりましたのが、メールアドレスでのトラッキングをするというところなのですが、メールアドレスになりますと、個人との結びつきが非常に行いやすくなってしまうのではないかと思いまして、単純に、そもそもどうやってメールアドレスIDを収集していくことになるのか、具体的なイメージが素人だとつかみにくかったので教えていただきたい。また、個人情報保護法との関係で、現在は、広告などはすぐには個人情報にはならないので、なんちゃって同意なども普及しているというお話だったのですけれども、こういったメールアドレスとなった場合に、そういったお話が通用するのか、個人情報と結びつくほうが普通になってしまうのではないかという懸念はないのでしょうか。

第3点としましては、いわゆるブレイブなどの広告を出さないことをポリシーとしているブラウザについては、こういった懸念はないという理解でいいのかどうか。この3点について教えていただければと思いました。よろしくお願いします。

○株式会社DataSign太田代表取締役社長 ありがとうございます。

1つ目の嫌だと思った経緯というか、具体的なお話ですけれども、主には2つあるかな。

1つは、あるゲームSNSみたいなもののデータの分析をしているときに、実際の男女比はどれぐらいなのだろうと。要するに、SNSでゲームをするときに性別も入れて登録するのですけれども、どれぐらいうそをついているのだろうというのを調べようと思って、クレジットカード会社が持っている男女の情報と突き合わせてみたのです。要するに、クレジットカードを作るときにいっている性別と、ゲームをするときにいっている性別にどれぐらいかい離があるかというのを調べたのですけれども、そのときに、SNSで女性といっている人の6割が本当は男性だということが分かりました。そういうのをやったことがあるのですが、そもそもSNSでゲームをしている人は、女性と登録していて、その情報が自分の使っているクレジットカードの情報といつの間にかひもづいていて、本当の性別がばれるなんてことは全く想定していないでしょうし、自分だったらそれはすごく嫌だなと思ったのが一つ。

もう一つは、マーケティングオートメーションの話なのですけれども、今は、お問合せフォームからお問合せをすると、クッキーとかのオンライン識別子と問合せをしてきた人がひもづいて、例えば最初に自分の名前とかメールアドレスを入れて、普通にお問合せをします、そうすると、クッキーのIDとメールアドレスや名前とかがひもづいて保存されて、例えばその人がお問合せをする前にどういうページを見ていたかとか、お問合せをした後にどういうページを見たかというのが分かったりするのです。それで、この人はこのページを見ているから、こういう案内をしようとか、そういうことをするのですけれども、あるとき、以前、そうやってお問合せをしてきたことがある人が、そういうオンライン識別子でひもづいているということを知らずに、お問合せフォームから名前を入れずにすごい暴言を吐いたのです。そこでは名前を入れていないのですけれども、本当は、この人がどのページに来て、どういうことを書きこんでいるというのが裏側のデータベースではひもづいているので、前にお問合せをしてきたあの人がこんな暴言を吐いているというのを、実は事業者側は知っているみたいなことで、もしそれが自分だったらすごく嫌だなと思ったというのが、いつもしゃべっているような話です。

次に、Unified ID、メールアドレスベースお話で、まず、個人情報になるか、ならないかというところでお話しすると、これは皆さん御存じだと思いますけれども、oota●datasign.jpは個人情報だけれども、abcde@gmail.comは個人情報ではないというのは共通認識としてあると思います。ただ、例えば個人情報にならないメールアドレスがあったとしても、そこに名前とかデータベース上に個人を特定できるようなものがあれば、メールアドレス自体も個人情報になりますねというのはあります。

では、そういう情報をどうやって集めていくかというと、先ほど日経オンラインとかもお話しになりましたが、会員登録するときにメールアドレスとかを入れるので、そのときに取得したメールアドレスを使うのです。今は会員登録をしなくても見られるメディアみたいなのはたくさんあると思うのですけれども、多分、今後、メールアドレスでターゲティングをしていくために、記事を読むにはメールアドレスを提供してくださいというのでメールアドレスを集めていくのだと思っています。

実際にそういう動きは結構出てきていて、ソーシャルログインとかをさせてメールアドレスを収集するとか、メールアドレスを何とかゲットして、このUnified IDでトラッキングしていこうというのは、まだ正式に始まっていないのですけれども、そういった動きになっております。

3つ目のブレイブの件なのですが、ブレイブ自体は、オンライン識別子を保存できないようにしていますので、サードパーティークッキーを識別できないようにしているので、サードパーティークッキーを使えないという意味では、そういう情報は収集できないのですけれども、例えばブレイブを見ていて、メールアドレスを日経に提供して、それがUnified IDとして利用されるというところは防ぎようもないですし、フィンガープリントもブレイブのブラウザを使っているという時点で結構絞り込まれたりしますし、そこにちょっと環境情報を入れるとフィンガープリントしやすいので、むしろブレイブを使っていたほうがフィンガープリントされやすいのではないかとちょっと思ったりしています。

○丸山座長 ありがとうございます。

引き続き質問が来ておりますので、よろしくお願いします。

まずは柄澤委員からよろしくお願いいたします。

○柄澤オブザーバー 柄澤です。御説明ありがとうございました。

2点質問がございまして、1点目は、資料の5ページの関連でございます。私どもは保険会社のグループでございまして、グループの中のダイレクト系の保険会社がインターネット広告を主体として活用している関係で、概括的には理解していたつもりですけれども、今の御説明の中で、5ページに記載のとおり、ユーザーはサイトでネット広告を閲覧するまでに大変多くの事業者が関与する実態にあると理解いたしました。

DSP、SSP、DMPそれぞれにつきまして、どのくらいの数の事業者が存在して、そこが寡占状態にあるのか否か、どのような事業者団体があり、また、その加入率はどうなっているのかということにつきまして、御存じの範囲で御教示いただければと思います。

2点目が、資料の26ページでございますけれども、ここの記載の中で、下のほうに「提供元のウェブサイト・アプリでの取得事業者の公表の明確化」が必要だとございます。大変必要な視点だと思われます。事業者のホームページ上での表示などで、こういう点についてベストプラクティスと思われる事例があれば、その内容について御教示いただければと思います。

○株式会社DataSign太田代表取締役社長 ありがとうございます。

1点目についてなのですけれども、DSP、SSP、DMPがそれぞれ何社ぐらいあるのかというのは、今すぐには正確に分からないのですが、DSP、SSPは日本でそれぞれ大体30とか50ぐらいいるかなと思います。DMPはちょっと少なくて10から20とかそれぐらいかなという印象です。それらの企業が加入している団体がありまして、JIAA(日本インタラクティブ広告協会)というのがありまして、こちらの会員数は、今、ちょっと分からないですが、ここはDSP、SSP以外のところも入ってはいるので、多分100社ぐらいはいるのかなという感じでございます。

2点目のベストプラクティスなのですけれども、ベストというか、今、キャリア各社、プラットフォーマーと呼ばれる人たちは、今、26ページに書かせていただいたように、どこが収集しているかというのを明確にして、オプトアウトの機会をちゃんと設けようという対応をしております。

ただ、これがベストではないと思っている理由は、どこの事業者がいます、取得拒否の場合はここですというのが一応あるのですけれども、先ほどお話にあったように、だっとたくさん並んでいて、全てオプトアウトするのは面倒くさいし、無理だねという話があります。なので、そこの取得の拒否のところをちゃんと一括でできるようにするものが必要になってくるのではないかと思っておりまして、それの一例が24ページに「個人情報保護の設定」という画面がぺらっと貼ってあると思うのですけれども、これはカテゴリーしか書いていないのですが「アナリスティクス」とか「パーソナライゼーション」「広告」のチェックを外して、広告用途の場合は一括してオプトアウトしますとか、そういうユーザー側のコントロールが必要かなと思います。かつ、僕らもCMPツールを提供しているのですけれども、要するにこの広告の中にどういう事業者がいるのというところまでもちゃんと見ることができるとベストなのかなと。それは見たい人が見られればよいだけで、広告を外したい人は広告を外すとか、全部嫌な人は全部外すといったのがユーザー側でちゃんとできるというのが一番よいのかなと思っております。

○柄澤オブザーバー ありがとうございました。

○丸山座長 それでは、続けて、大石委員、よろしくお願いします。

○大石オブザーバー ありがとうございます。

こういう世界のことが今まで全然分かっていなかったので、驚くようなお話で、いろいろなところに大変興味があったのですが、一つ教えていただきたいのが、13ページのRTBの仕組みのところで、名前もよく分からないのですけれども、DMPにある程度基本の情報があって、そこがどんどん回っていくということだったのですが、DMPは、費用は誰からもらうのですか。DSPなのか、どこからお金が回ってきて成り立つのかというのが一つと、例えば送られた情報で瞬時に入札されるのも初めて知ったのですけれども、SSPに出したものをその人がちゃんと見たとか、関心を持ったという情報がまたDSPからDMPに戻ったりということで、情報がどんどんDMPに蓄積されていくことになっているのかなと思ったら、すごく驚いたというか、びっくりしたのですけれども、そこら辺のことをもう少し教えていただきたいのが一つ。

あとは、俗世間の話で、アンドロイドとiOSといいますか、アップル系だと、そういう意味では、アンドロイドよりはiOSのほうがいろいろと厳しいので、個人情報の面でも安心だということをざっと聞くことがあるのですけれども、先ほどのお話の中でもそれに近いような説明もあったような気がするのですが、実際のところどうなのか、なぜそうなのかというところがもし分かれば、教えてください。

○株式会社DataSign太田代表取締役社長 ありがとうございます。

1点目なのですけれども、DMPのビジネスモデルというか、マネタイズモデルは、この広告の文脈でいうと、ほぼDSP側からもらう感じになります。要するに、広告主が広告費用として例えば1,000円持っていたとすると、その1,000円を使ってDSPに効率のいい配信をしてくださいと依頼します。そのためには、DMPからちゃんとデータを持ってきて、そのデータを使って配信しなければいけないので、100円で入札しますといっている中の例えば20パーセントぐらい、20円分ぐらいはDMPに払いますという契約をDMPとDSPがして、100円で入札しますといって、落札したら100円発生するので、DSPは、広告主からもらった100円のうち20円をDMPに返して、そのうちの30円をDSP自身が受け取って、そのうちの50円をSSPに支払うというイメージです。

先ほどのSSP側でどういう広告に興味を持って、どういう動きをしてとか、そういう情報は、おっしゃるようにDMPにどんどん蓄積されます。それはDSP側を経由してDMPに入ることもありますし、SSPとDMPがつながっているというパターンもありますし、DMPのデータを厚くするために、SSPではなくてメディア自身、日経オンライン自身がDMPにデータを提供することもありますし、広告主側が自分たちのお客はこういう人なのだというのをDMP側に提供するといったこともありますので、DMPにはどんどんそういう情報がたまっていくことになります。

2点目のiOSのほうがプライバシーの観点から安全なのかというところでは、ちょうど18ページにも書いてあるように、4月からIDFA、iOSのオンライン識別子の利用に同意が必要になったので、現時点ではiOSのほうがプライバシーに配慮しているといえると思います。

アンドロイド側はどうなのかというと、アンドロイドは今も同意を取って識別することができる状態ですが、多分、今のプライバシーに配慮していないとブランディング的によくないみたいな風潮になってきているので、そこは今後、アンドロイドも対応してくるのではないかと思ってはおります。

○大石オブザーバー ありがとうございました。よく分かりました。

○丸山座長 ありがとうございます。

続けて、新川座長代理からの質問を事務局にて預かっておりますので、その点、よろしくお願いいたします。

○大岡企画官 事務局の大岡です。よろしくお願いします。

3点ございまして、1つ目は、オンライン識別子など端末情報の利用をユーザーがコントロールできる方法はありますでしょうか。

2つ目が、オンライン識別子の利用を法的に規制するとし、有効に監視することができるのでしょうか。

3つ目が、オンライン識別子の利用ルールを作る場合に、多数の事業者が自主的に参加するメリットはあるのでしょうか。

最後ですが、それに関連しまして、その利用ルールは、技術面だけではなく、倫理面ではどのような基準あるいは制限を設けることが望ましいでしょうか、また、可能でありますでしょうか。

○株式会社DataSign太田代表取締役社長 ありがとうございます。

1点目のオンライン識別子などの端末情報をユーザーがコントロールできるかというところでいいますと、物によってちょっと異なるのですけれども、サードパーティークッキーとかウェブのクッキーは、ブラウザの設定で消去することができるので、それで消去することで、自分のIDをクリアすることができます。同じような機能は、iOS、アンドロイドともにあって、OSの設定から広告識別子をリセットするとか、取得されないようにするというコントロールができます。あと、説明したフィンガープリントに関しては、そういったものがないので、コントロールはほぼできない状況でございます。

それらの利用を法的に規制するとして、有効に監視することができるのかというところですが、有効に監視というのは、どうなったら有効なのかというのはあると思うのですけれども、僕らが日経との調査とか朝日新聞との調査をしたように、オンライン識別子でどういうのを取得しているかというのを調査して、アプリとかを解析したり、ウェブサイトを解析するとある程度分かるので、そういう法律ができて、国が監視するというよりは、メディアとかそういったところがちゃんとやっているかというのを調査したりして、書いてあることとやっていることが違うではないかみたいなことはできるかなと思っております。

次に、オンライン識別子の利用ルールを作る場合に、事業主が自主的に参加するメリットは、多分、今はJIAAとかでもルールがありまして、行動ターゲティング、オンラインに関するガイドラインがあります。JIAAには大体の広告の配信事業者が入っておりますので、入っておくと、要するに今、規制がない中でどこまでやればいいのかということで、広告事業者も困っているのです。

今、ルールがない中で、では、どうすればいいのとか、フィンガープリントを使っていいの、駄目なのとか、広告事業者も悪いことをしようと思ってやっているわけではないので、では、どこまでならやっていいのかという基準を知りたいというときに、JIAAの基準を見れば分かるというのはあるのですけれども、JIAAではフィンガープリントについては書いていないので、そこは分からなかったり、Unified IDについてもまだ出していないので分からなかったりするのですが、事業者もどこまでやってよくて、どこまでが駄目なのかというのが今、全然分からない状態になっているので、そういうルールが法的にもちゃんとできたり、自主規制でもできたりするというのは、みんなそこの基準でやろうということになるので、メリットはすごくあるかなと思います。

どのような基準あるいは制限を設けることが望ましいかというと、JIAAとかそういう自主規制団体でやるのであれば、JIAAも今はちゃんとそういうガイドラインを出してやっているのですけれども、一番いいのは、どのように利用しているかというところに制限をかけるのが一番必要かなと思っていまして、多分、JIAAで前提としているのは、あくまで広告です。要するに、その人にどういう広告を見せるかというところだけにデータを使っていて、そのほかには使っていないというところは、多分、ちゃんと明確にしないといけないと思っていて、そこが破られて炎上したのがリクナビの内定辞退率問題です。あれは広告の仕組みを利用して、内定辞退率に変換して販売していたので、そういうことは絶対にやるべきではないというところの制限を設けるのが一番必要かなと思っています。

あと、広告に関しても、例えばフェイスブックやツイッターとかは、政治系の広告は出せないようにしているとか、そういうのにデータを使ってはいけないとか、年収の情報とかそういうので、例えばローンの広告とかはそういう情報を使ってはいけないというルールがあったりするのですけれども、そういう利用目的の部分でちゃんと制限を設けることと、そこは本当にそうなっているかが外側からは分からないので、ちゃんと監査をするという仕組みを作るのがいいのかなと思っております。

○丸山座長 ありがとうございます。

それでは、原田オブザーバー、お願いできますでしょうか。

○原田オブザーバー 京都大学の原田と申します。本日は、大変クリアな御説明をありがとうございます。

私から2点ほどお伺いしたいと思います。

1点目は、先ほどグーグルに対抗する業界団体としてPRAMができたというお話がありまして、あるいは日本でも日本インタラクティブ広告協会があるという御紹介があったところですけれども、国内での自主規制のような取組にどれぐらいの意味があると考えればよいかということです。

つまり、一方ではグローバルな市場で越境的な取引などが多いのですけれども、他方で広告になりますと、日本語の壁がありますので、ある程度国内でコントロールすることができるのかなという気もいたします。その辺りはどのように考えればよいかというのが1点目の質問です。

2点目は、先ほどの御回答にも少しあったのですが、技術的に見て、規制の実効性が確保されていることをどう検証すればよいのかということです。本日のお話にありましたように、同意ベースでやっていくのはかなり無理があるというのはおっしゃるとおりだと思うのですが、他方でオプトアウトしますというふうにやっても、本当にオプトアウトできているのかということを我々が簡単に検証することができるのかどうか。もちろん、ウェブサイトを解析すればできるのかもしれないのですけれども、それは普通の人はなかなかできないと思いますので、技術的に我々が選択した結果が明確に分かるような方法があるのかどうか。

あるいはウェブサイトを解析するとした場合には、しっかい的にというか、全てのウェブサイトを見てみないと分からないということなのか。つまり、規制の実効性を確保するためにどれぐらいのコストを見込んでいればよいのかということについて伺えればと思います。

○株式会社DataSign太田代表取締役社長 ありがとうございます。

1点目の海外にはPRAMがあって、日本ではJIAAがあるというところですが、団体としての性格がちょっと異なるというところで、PRAMは、表向きにはあまりいっていないのですけれども、グーグルのプライバシーサンドボックスに対抗するために作られたもので、JIAAは、グーグルもフェイスブックも会員には入っています。なので、これは広告業界全体の日本の業界団体です。

先ほどの広告も、今は日本の広告の市場の半分以上がフェイスブック、グーグルとかの海外勢なのです。課題はそこにありまして、JIAAの自主規制団体に入っていても、JIAAがそういう何かを出したとしても、結局、フェイスブックやグーグルとかは自分のルールでやっていってしまうので、そこのコントロールがなかなか難しいところはあるという状況です。そこに対抗していくためにどうというのは、日本ではまだ団体としてはできていなくて、むしろPRAMとかが作っていくのにそれぞれの広告事業者が乗っかるのか、乗っからないのかというところかなと思っております。

2点目の規制の実効性というところで、おっしゃるとおり、オプトアウトをして、ちゃんとそれがオプトアウトされているかどうかというのを調べるのはなかなか難しいです。そういうのを調べている論文とかもあるのですけれども、ちゃんとオプトアウトできていないものが多いというところも結構あったりするので、そこを調べるのはなかなか難しいです。

ポイントとしては2つあると思っていて、一つは、情報を収集する窓口になっている日経オンラインとかそういう立ち位置のメディアとか、そういう情報を収集する窓口になっているところで、そういう情報を収集して、何に使っている、嫌な人はオプトアウトできるという案内がちゃんとされているかというのが一つ。これは先ほどのようにそんなに難しくなくできる。もう一つのオプトアウトとしたときに、ちゃんとオプトアウトできているのかというのを調べるところは、結構難しいです。

なので、今、一応、技術的には、オプトアウトするときに、オプトアウトしてくださいというのを事業者側に送って、事業者側でオプトアウト情報を受け取って、オプトアウトする、しないというパターンと、オプトアウトとしたらデータ自体が送られない、要するにオプトアウトしていない状態だとデータが送信されるけれども、オプトアウトするとデータ自体が送信されないので、事業者側はオプトアウトしているかどうかも分からない、要するにデータ自体がない状態になるので、そういう状況にしておけば、ユーザー側も分かりやすいというか、こういう情報が送られていないということがブラウザ上でも分かるので、そこは比較的簡単に実効性を確認することができるかなと思います。

○原田オブザーバー はい。ありがとうございました。

○丸山座長 ありがとうございます。

そのほかに御質問がある方はいらっしゃいますでしょうか。

私から。1点だけ追加で教えていただきたいのですけれども、フィンガープリントに関してなのですが、米国では自主規制で対応されていると言及されたように思うのですけれども、これはどのような団体が、どういう目的で、何を自主的に規制されているのか、教えていただけますでしょうか。

○株式会社DataSign太田代表取締役社長 ありがとうございます。

正確なところは今、分からないのですけれども、団体としては、IABという団体があります。そこが属しているDAA(Digital Advertising Association)というところが広告のプライバシー関連についてはいろいろと基準を出したりしているのですが、具体的にどこの部分でどのように規制しているのかというのは、今すぐには情報が分からないのですが、今はオラクルに買収されているのですが、AddThisという結構大きな広告事業者があるのですけれども、何年か前に、そこの仕組みとして、フィンガープリントを使って情報を収集するというのを一斉に行ったのです。そうしたところ、フィンガープリントを使うなんて、ユーザーのコントローラビリティーがないし、けしからぬというのでアメリカで大炎上しまして、そこからフィンガープリントは使っては駄目だという共通認識ができて、今ではそれはブラックなやり方だということで基準にもなっているという理解でございます。

○丸山座長 ありがとうございます。

そのほかに御発言希望の委員の方はいらっしゃいますでしょうか。

清水オブザーバーから質問です。よろしくお願いします。

○清水オブザーバー 大阪大学の清水と申します。今日は大変貴重なお話をどうもありがとうございました。

この方面に非常に疎いので、的外れかもしれないのですけれども、私が理解したことによりますと、サードパーティークッキー自体、実際に物がある程度規制されるようになったとしても、いろいろな別の手段によって、結果的には同様のことを実現するような技術的な方策が練られていて、それをできるだけ透明化する方向への試みもあるということだと思うのですけれども、そうしますと、これは結局、広告ベースのビジネスモデルが変わることは恐らくないという前提でよいのかどうかということと、これまでの話は、要するに業界側からのある種の自浄作用的な動きのように聞こえていたのですけれども、ユーザーの立場からおよそ何か情報が送られなくするとか、送りにくくするようなシステムを作ろうとしている人がいるとか、そういう動きがあるということはないのでしょうかという非常に素人の質問ですけれども、教えていただければと思います。

○株式会社DataSign太田代表取締役社長 ありがとうございます。

ユーザー側からのそういう動きは、主には広告ブロックという形で現れているのかなと思っています。

まず、広告がうざいとかそういった意見を持つ人が多くて、要するに自分が見ていた商品が広告に出てきて何か気持ち悪いとか、そのように思う人が、広告ブロックツールをブラウザに入れたり、アプリでも提供されているので、そういったものを導入する人が非常に多い。

どれぐらい多いのかというと、最近は分からないのですけれども、直近の5年ぐらいは、ずっとiOSアプリの有料ランキング1位だったのは広告ブロッカーなのです。500円で売っているのですが、現在見てみたところ、3位になっていますが、これが有料1位をずっと獲得しておりまして、そういった意味で広告ブロッカーはデータの収集も一部ブロックしてくれるので、広告がうざいという流れからデータが使われるところもブロックしていくという動きは、ユーザー側がこういうツールを入れることによって行われてきている。

なので、そういった流れもあって、プラットフォーマーのグーグルやアップルとかもこういったデータを収集するところに対して、企業側からちゃんと自主的に同意必須にするとか、サードパーティークッキーを使えなくするといった動きになっているのかなと思います。

ただ、それがメインの理由かというとそうではなくて、多分、メインの理由は、一部というか、アメリカだと市民団体とかがどういうデータを使って何をしているみたいなのを結構レポートに出していたりしますので、その中で一番大きな問題となったのがケンブリッジ・アナリティカ事件だと思うのですけれども、そういった事件をきっかけにフェイスブックのデータが選挙行動に影響を及ぼしているとか、そういった部分のところから批判が集中して、そういった情報に制限をかけるような動きになっているというのがメインの動きかなと思っております。

日本でも同様で、リクナビの事件があって、それで規制が入ってきたというのもありますし、そういったパーソナルデータを悪用した事件がきっかけになっていて、そこをきっかけにユーザーも意識が変化して、広告のブロックとか自分のデータを出さないようにというのが今、流れとして出てきているのかなと思っております。

○清水オブザーバー どうもありがとうございました。

○株式会社DataSign太田代表取締役社長 ありがとうございます。

○清水オブザーバー そうしますと、広告ベースのインターネットのビジネスモデル自体に変化はないということですか。

○株式会社DataSign太田代表取締役社長 そうですね。そこは基本的に、今の段階ではオンライン識別子を何にするかというところだけが変わって、基本的なビジネスモデルは今のところ変わらない想定です。

ただ、グーグルとかフェイスブック以外の、要するにプラットフォーマー以外の広告事業主は、オンライン識別子がどんどん制限されていっているので、マネタイズがどんどん苦しくなってきて、ちょっととう汰はされるかなと思っています。逆に、フェイスブック、グーグルはよりもうかるという状況かなと思っております。

○清水オブザーバー どうもありがとうございます。

○丸山座長 片山委員から御質問がありますので、よろしくお願いします。

○片山委員 今日はどうもありがとうございました。

今まで本当に分からなかった世界なのですけれども、お話を聞いて、イメージができるようになりました。ありがとうございました。

2つほどお聞きしたいのですが、今日、いろいろな対応の取られ方の中で、アメリカで市民団体があったり、いろいろな運動が起こっているという御紹介がありましたが、他の諸外国の中で、この問題に対して国家的な市民団体等の動きがあれば、御紹介いただきたいと思います。

それから、太田様がこの問題に取り組まれたのは、もともとそういう個人情報の収集のされ方に嫌な思いをしてということでしたが、ずっといろいろな調査をして全容を把握していかれて、最終的に今後、本当に望ましい情報管理・活用の在り方はどうあるべきなのか、今、どういうイメージをお持ちになっているかというのも、漠然とした質問で恐縮ですが、お教えいただければと思います。よろしくお願いいたします。

○株式会社DataSign太田代表取締役社長 ありがとうございます。

1点目なのですけれども、アメリカの市民団体は、Electronic Frontier Foundation(EFF)とかが結構有名なところでありますが、ヨーロッパは、市民団体という話よりは、各国の個人情報保護当局がすごくいろいろと活動しているというイメージを持っております。先ほどお話に出たブレイブとかも、ベルギーの個人情報保護当局と一緒にグーグルがどういうデータを集めているみたいなもので告発していたり、フランスの個人情報保護当局もいろいろと調査していて、あとはドイツもです。国単位のそれぞれの個人情報保護当局、日本でいうと個人情報保護委員会みたいなところが調査して、その調査にのっとって制裁金を科すというのがヨーロッパの主な動きかなと思っております。

次に、データ活用の在り方についてですけれども、僕らがDataSignという企業でやっていることにもつながるのですが、今はプラットフォーマーやいろいろな広告事業者とかの自分ではない人がいろいろなデータを持って、自分よりも自分のことを分かっているのではないかと思うほどデータを持っていたりするのですけれども、そうではなくて、要するに自分のことは自分が一番よく知れるように、自分のデータはちゃんと自分で管理できるようにしておこうと。そこで事業者が必要な場合は、自分がちゃんと認識できる範囲で必要な情報だけ提供していく。

提供というか、アクセス権を与えるというイメージですけれども、それに全部同意していくというイメージではなくて、要するに自分の情報はこういうのがあって、こういう情報はどこの企業がどれぐらい参照していますというのが、例えば自分のパーソナルデータダッシュボードみたいなものがあって、そこで調べれば、ここが見にきているのだみたいなのを見て、見にきた結果、どういうサービスが来ているのだろうと見て、それがちゃんと見合っていれば、これを使ってもらったほうが自分も便利になるし、そのほうがいいという判断ができるけれども、よく知らないところがデータを見にきていて、特に僕に対してもいいことがないと思ったら、そこはアクセス権を遮断するとか、そういったことができるようになるのが一番望ましいかなと思っております。

今、それに一番近いことをしているのがフェイスブックかなと思っておりまして、データ自体は自分のところではなく、フェイスブックにあるところが僕の考え方とは違うのですけれども、フェイスブックがやっているような、フェイスブックがどこにデータを提供しているか、むしろフェイスブックが僕の情報をどこから受け取っているかみたいな情報は、プライバシーダッシュボードみたいなもので見ることができるのです。

フェイスブックが持っている情報ではなくて、自分の情報全般に関して、ちゃんと自分でできる仕組みがあるとベストかなと思っていて、僕らDataSignはそういうのを作ろうというので立ち上げた企業でございます。

○片山委員 ありがとうございました。

○丸山座長 ありがとうございました。

他に御質問は大丈夫でしょうか。

それでは、太田様へのヒアリングは、この辺りにさせていただきます。

太田様におかれましては、大変お忙しい中、御出席いただきまして、誠にありがとうございました。

○株式会社DataSign太田代表取締役社長 ありがとうございました。

では、失礼いたします。

(株式会社DataSign退室)

○丸山座長 それでは、以上で太田様からのヒアリングについては、終了とさせていただきたいと思います。

あまり認識が得られていなかったインターネット広告についての詳細な仕組みについては、認識が得られたのではないかと思います。

また、サードパーティークッキーなどの問題が解決されつつある中で、それだけでは問題が解決しないであろうという認識が得られたのではないかと思います。

また、諸外国に比して、日本に関しましては、法制の面でも、自主規制の面でも、もしかすると市民の敏感さの点でも差異があるのではないかという状況もうかがえたところでございます。

質疑のところで、日本ができることと、グローバルな観点から考えなければいけないことも指摘を受けたところでございますけれども、消費者という観点から見た場合に、気がつかないうちに同意が取られているというレベルから、一括オプトアウトがなかなかできないということ、あるいはさらに新たな形で情報が取られる手段も出てきているというところで、この点につきましては、インターネット広告について、今回得られた知識を踏まえて、今後、ターゲティング広告等、自主規制等について、検討を少し進めてみたいと思います。

本議題については、以上にしたいと思いますが、よろしいでしょうか。

では、本日の議論は以上にしたいと思います。

事務局から事務連絡をお願いします。


≪3.閉会≫

○大岡企画官 事務局です。

本日は、長時間にわたり、ありがとうございました。

次回の会合につきましては、確定次第、御連絡させていただきます。

○丸山座長 それでは、本日は、これにて閉会とさせていただきます。

お忙しいところ、お集まりいただきまして、ありがとうございました。

(以上)