1)利用者の理解と同意の問題
利用者は、規約を十分に読んで理解した上で、同意ボタンを押しているのかという問題。実は、私は2010年以降担当した全ての授業において「利用規約やプライバシーポリシーを毎回読んでいる人?」と質問をしてきたが、2019年6月時点で、「必ず規約を全部読む」と答えた人は12名だった。
オンになっていれば、敢えてオフにしない。逆に言えば、オフにしていたらオンにしてくれないということだ。
事業者側は「全部書いたから読んでね」「読んだ上で同意ボタン押したよね」という立場でも、利用者側は読まずに同意ボタンを押しているとしたら、その同意は実質的なものなのか、という疑問は拭えない。とは言っても、あらゆるサービスにおいて丹念に読み、判断することを人間に求めること自体が、既に人間の限界にあるわけで、ここの技術的支援は必要と考える。読みやすくするというKantara InitiativeのInformation Sharing Labelや、MozillaのPrivacy Icon*3 のように視覚的に分かりやすく表現する試みがあるにはある。
さらには、プライバシーポリシーの矛盾の検出(Such et al, 2016)*4 や、GDPR対応のために機械学習によってプライバシーポリシーのベンチマーキングする研究(Tesfay et al, 2018)*5 などがある
重要な判断をすべきところは、「読んだよね?」という建前ではなく、実効的に同意できる仕組みは必要だ。
2)サービスによる採点結果(スコア)はMy Dataではないのか?
3)スコアはどこまで振る舞いを変えるのか
*1:McDonald, A. M., and Cranor, L. F. 2008. “The Cost of Reading Privacy Policies,” A Journal of Law and Policy for the Information Society (4:3), pp. 1–22.
*2:Knijnenburg, B. P. ;, Kobsa, A., Jin, H., Hall, and Kobsa, Alfred; Jin, H. 2013. “Counteracting the Negative Effect of Form Auto-Completion on the Privacy Caluclus,” in ICIS2013, pp. 1–21.
*3:Privacy Iconは検索すると山のようにでてくるが、Mozillaの色分けはISO 22324 Societal security --- Emergency management --- Guidelines for colour-coded alerts に準じて緑と黄色で描かれている
*4:Jose M. Such and Michael Rovatsos. 2016. Privacy Policy Negotiation in Social Media. ACM Trans. Auton. Adapt. Syst. 11, 1, Article 4 (February 2016), 29 pages. DOI=http://dx.doi.org/10.1145/2821512
*5:Welderufael B. Tesfay, Peter Hofmann, Toru Nakamura, Shinsaku Kiyomoto, and Jetzabel Serna. 2018. PrivacyGuide: Towards an Implementation of the EU GDPR on Internet Privacy Policy Evaluation. In Proceedings of the Fourth ACM International Workshop on Security and Privacy Analytics (IWSPA '18). ACM, New York, NY, USA, 15-21. DOI: https://doi.org/10.1145/3180445.3180447