Privacy Internationalは9日、「インターネットサービス企業のプライバシーランキング」を公開した。同ランキングは、Google、Microsoft、Amazonなどを含む20以上の企業・サービスについて、「プライバシーをどれだけ尊重しているか」という観点からランク付けを行ったもの。今回はあくまで「暫定版」という扱いで、正確を期すためさらに詳細にしたレポートが9月に公開される予定。今回の公開は、対象となる企業からの反論を受け付けたり、詳しいデータ開示などを求める期間を設けたりするためだとしている。レポートに関する説明、レポート結果をまとめたPDFファイルなどはこちらのページから入手することができる。

調査対象となったのは、オンラインでサービスを提供している企業のうち、市場シェアやユーザー数、サイトトラフィックなどが上位に位置づけられている企業・サービス。「企業としてプライバシーを遵守する管理体制やリーダーシップが敷かれているか」「本当に必要なデータのみを収集して取り扱っているか」「データの保存や破棄についてはどうか」などの複数の指標を基に判断、「プライバシーフレンドリーで、プライバシーの尊重を促進する」という最高の評価から、「顧客を広範囲に監視しており、明らかにプライバシーの敵」という最低の評価まで、6段階の評価を与えている。企業が開示しているプライバシーポリシーなどは、法律の専門家によって綿密に検討するとしている。

今回のレポートで最も目を引くのは、「顧客を広範囲に監視しており、明らかにプライバシーの敵」という最悪のレベルにGoogleが指定されていること。現在のところ、同レベルの評価を受けた企業はGoogle以外に存在していない。こうした評価の理由として、Privacy Internationalは以下のようなものを挙げている。

  • Googleアカウントの保持者は、ユーザに関する膨大な量の情報を、一定期間保持されることを受け入れなくてはならない。その期間は公表されていないか、もしくは決まっていない。そうした情報は、二次的な利用や公開に関する制限もなく、サービスを利用しなくなった時も削除する機会を与えられない。
  • Googleは、IPアドレス、タイムスタンプとともに検索文字列を18~24ヵ月にわたって記録しており、それらを消し去るための選択肢を用意していない。
  • Googleは、Orkut(Googleが運営するSNS)のユーザプロフィールに含まれる趣味や職業、住所、電話番号といった個人情報にアクセスしている。ユーザが情報を削除した後も、Googleはそうした情報を保持している。
  • Googleは、Googleツールバーを通して検索した結果を収集している。また、ユーザがWeb上でどう移動したかを追跡するため、GoogleツールバーのユーザはCookieによって一意に識別される。Googleはこうして収集したデータを、どれくらいの期間保持するか示していないうえ、ユーザーはそれらの情報を削除することもできない。
  • Googleは、OECDプライバシーガイドラインや、EUデータ保護法の原理といった、広く受け入れられているプライバシー慣行に追随できていない。

Microsoftは、上から4番目の評価である「プライバシーの実践において重大な欠陥がある」というレベル。プライバシーを決定的に軽視していたと言われる約5年前に比べると、近年のMicrosoftはプライバシーを尊重しようとする方針とリーダーシップがある点が、Googleよりも2段階上の評価を与えた理由としている。ただし、同社が運営するブログサービス「Windows Live スペース」は、Microsoft本体とは別の評価対象とされており、その評価は下から2番目となる「プライバシーに対する、総合的で多大なる脅威」とされている。同様のランクが付けられた企業としては、Apple、AOL、Yahoo!などが挙げられる。

逆に、高評価が与えられた企業やサービスとしては、BBC、eBayといった企業や、Wikipedia、Lastfmといったサービスが上から2番目の「総合的に見てプライバシーを尊重しているが、更なる努力が必要」という評価を獲得している。しかし、最高評価である「プライバシーフレンドリーで、プライバシーの尊重を促進する」という評価を獲得した企業は1社もないというのが現実。今回のレポートでは、インターネット企業のプライバシーに対する意識は総じて低いとしながらも、ほんの少しの努力さえあれば、自社の評価ランクを上げることは可能だとしている。