TRUSTe ロゴは信頼できるのか

この記事のURLhttp://japan.internet.com/busnews/20061027/6.html

米国 NPO 団体の TRUSTe は、個人情報保護方針を掲載している Web サイトに対して、“プライバシーシール”を販売している。同団体によると、このシールは、「TRUSTe が定める厳しいプライバシーの原則を遵守する企業」を表すという。

それに対して、高い評価を受けているアンチスパイウェアの研究者が、TRUSTe シールを取得したサイトの信用性に異議を唱える分析結果を発表した。「TRUSTe の認証を受けたサイトのほうが、認証を受けていないサイトよりも2倍以上信用性に欠ける」と Ben Edelman は書いている。彼はハーバード大学法学大学院卒のアナリストだ。

果たして真実を語っているのはどちらなのか。

TRUSTe ロゴのユーザーを分析

TRUSTe は1996年の設立以来、個人情報に関する方針をもつ会社に対して、1年あたり7,000米ドルを上限にプライバシーロゴの使用権を販売していると、研究者たちは繰り返し論じてきた。その方針は立派である必要はなく、さらに個人情報への取り組みがよくなくてもよいというのだ。

例えばジャーナリスト Ryan Singel 氏の2006年3月16日付の Wired News の記事によると、TRUSTe は、さまざまな Web キャンペーンに登録する消費者に無料で iPod を提供することで有名な Gratis Internet というマーケティング会社を認証している。

この会社は、ニューヨークの Eliot Spitzer 司法長官との調停で、720万の米国人のメールアドレス、電話番号、および住所を、他のマーケティング会社でのちに大量のスパムを消費者に送りつけた会社に販売したことを認めている。

しかしながら、ジャーナリストの事例報告に単純に頼るのではなく、Edelman 氏は50万以上の Web サイトを独自に調査したという。以下にその分析結果をあげる。

・人気の高いサイトを探す
Edelman 氏は、あるインターネットサービスプロバイダより集めた統計から、トラフィックの多い Web サイト約51万5,000のリストを作成した。

・態度の悪いサイトを見つける
これらのサイトの個人情報保護に対する取り組みの“良し”“悪し”の評価結果は、SiteAdvisor.com から入手している。SiteAdvisor.com は、それぞれのサイトにスパイウェアのダウンロード実績があるか、スパムの送信実績があるかを、ソフトウェアロボットを使ってテストしている正義の味方だ。（SiteAdvisor については、初めて2006年2月24日付の記事で取り上げた。その後、同社はセキュリティ会社の McAfee に買収されている。Edelman 氏は SiteAdvisor の顧問機関のメンバーであり、この事実を著書の中で大々的に公表している。）

・調査結果
調査した51万5,000のサイトのうち2.5％が、SiteAdvisor に個人情報保護への取り組みが“悪い”と評価された。しかし Edelman 氏によると、 TRUSTe ロゴを取得している874サイトのうち5.4％が“悪い”と評価されているとのこと。

Edelman 氏が2006年1月に調査した時点で TRUSTe シールを取得していたサイトで、今回の調査で個人情報保護への取り組みが“悪い”と評価されたサイトのうちいくつかは、その後 TRUSTe に認証を取り消された。Direct-Revenue.com がそのいい例で、同サイトは Web 訪問履歴を追跡するソフトウェアで、簡単には削除できないようなソフトウェアを、ユーザーの PC にダウンロードさせていた。

しかし Edelman 氏は9月25日付のエントリで、他にも TRUSTe が現在もプライバシーシールの使用を認証しているサイトの中で、不正行為を行っていると思われるサイトがたくさんあると言明している。

同氏は具体的なサイト名を挙げ、SiteAdvisor によると、Focalex.com は不幸にも同サイトにメールアドレスを入力した訪問者に、一週間に320通ものメールを送っていたり、また FreeCreditReport.com は“無料”のメールアカウントを解除しないユーザーに対し、月々12.95米ドルを請求しているとして FTC に訴訟を起こされていることを明らかにしている。

Edelman 氏の分析によると、 TRUSTe のような独立した認証機関は、そこにお金を払っている会社の“生け捕り”になっている。言い換えれば、そうした会社に恩義を感じているだろうとのこと。

認証機関が不審な Web サイトに対して、プライバシーに関する方針を強化するように圧力をかければ、サイトリニューアルやアプリケーションの開発を妨げ、「機関の利益を損ねることになりかねない」と Edelman 氏は語る。

しかし Edelman 氏は、BBB（Better Business Bureau）が行うオンライン保証プログラムの分析には、強力な認証の倫理があることを見つけている。

BBBOnline のプライバシーシールプログラムのロゴの価格は、申込者の年収によって年間225米ドルから5,000米ドルするが、Edelman 氏の行った調査サイトのうち284サイトに同ロゴが表示されていた。そのうち SiteAdvisor の“悪い”の評価を受けたのは、たった3サイト（1.1％）だった。

同氏は、この優秀な成績は「BBB のローカル支部への入会を義務付けるなど、BBB が申込者を詳しく審査している」ことによるものだと考えている。

調査結果に対する TRUSTe の反応

Edelman 氏の調査結果について TRUSTe の関係者にコメントを求めたところ、マーケティングディレクタ Carolyn Hodge 氏からメールで次のような声明文が寄せられた。

「TRUSTe の仕事は、インターネットのプライバシー問題に対する業界標準を改善することである。信用できる会社の責任ある仕事を世間に伝え、この問題に対する取り組みを改善するべく会社と連携することで、その責任を果たす。TRUSTe のシール取得者認証を受けるためには、今後シール取得者のすべてが何らかのプライバシー標準を変更しなければならない」

声明文は次のように続く。「不正の取り締まりや業界標準が技術革命に遅れを取らずにいるのは難しいが、TRUSTe は引き続き新たなプライバシー問題に取り組む所存である。 TRUSTe の新しい Trusted Download Program がまもなく開始する。このプログラムは、アドウェアとスパイウェアの問題に取り組んでおり、すぐには開始できないと思っている」

TRUSTe の Web サイトでは、もっと踏み込んで Edelman 氏の調査を批判している。TRUSTe の公式 Blog に署名なしで投稿された 9月25日付のエントリで、「TRUSTe は Site Advisor について、モニタリングツールとしては役に立つかもしれないが、プライバシーに関する認定プログラムでも、権威を持っているわけでもないと考える」。9月28日付の投稿でもこの手の論法が続き、SiteAdvisor はフィッシングの行動のあるなしでサイトを評価していないとして、調査結果をはねつけている。

この論争には SiteAdvisor も参加し、サイトのスパイウェアとスパム度合いの分析調査に関して、9月28日付の Blog に投稿している。SiteAdvisor の評価システムにフィッシングの検出が欠けていることを擁護して、McAfee のインターネットセキュリティパッケージがリアルタイムでユーザーをフィッシングサイトから守っていると指摘している。（8月4日付けのコラムで指摘したように、フィッシングサイトの平均寿命はわずか5日間である。このため、フィッシング検出はリアルタイムのデータベースには適しているが、SiteAdvisor のような広範囲の自動 Web スキャンには向いていない。）

TRUSTe の9月25日付 Blog エントリに投稿した“Lampie”とだけ名乗る投稿者の見解が、おそらくもっとも興味をかきたてるものだ。この投稿者は、Trusted Download Program は11か月前に公表されたにもかかわらず、いまだ稼動していない、と指摘している。（TRUSTe のサイトによると、このプログラムは現在αテスト段階だとのこと。）

Lampie 氏は RealNetworks、Microsoft、そして Apple が個人情報保護についてへまをしたことが世間的に広く批判されているにもかかわらず、TRUSTe の認証を受けたままであるという論議がいくつか起こっていることを取り上げ、「TRUSTe はソフトウェアアプリケーションに関する事例には対処しない」という同社関係者の発言を取り上げている。同氏によると、この発言内容は、TRUSTe のサイトではまったく説明されていないという。

結論

「TRUSTe ロゴは、本来“TRUSTme”（私を信用してください）に変わるべきだ」とインターネットでふざけて言った人もいる。残念ながら、手の込んだ個人情報保護方針がありながらも、方針を強化するのではなく、方針を利用してユーザーの個人情報保護に対する期待を裏切る行為をしている Web サイトはたくさんある。TRUSTe が認証しているサイトには、押し付けがましいダウンロードの配信やスパムを許容していて批判対象となるサイトが多すぎる。

単独の認証団体は、Edelman 氏が言うところの“逆選択”の問題に直面している。これは経済学の用語であるが、「見栄えをよくしたい不審なサイトにはプライバシーシールを買うお金があって、本当に信頼できるサイトには払う余裕がない」ということを意味する。

BBBOnline プログラムのシールの方が、それを取得したサイトが真に合法的だという確信を消費者に与えているようだ。しかし BBB は万能薬というわけではなく、数多くのサイトに対応しきれていないようだ。おそらく BBB の評価プロセスが労働集約的であるために、BBBOnline ロゴは現在たった600〜700サイトでしか表示されていないが、TRUSTe ロゴは同社によると2,400以上のサイトで表示されている。

ひとつ確かに言えることは、 TRUSTe ロゴは、それを取得したサイトが裕福で、まともだと思ってもらいたいサイトだということを証明するものだということ。これは TRUSTe の顧客のなかで、Microsoft や Oracle そして Intuit までを含めた大企業から、FreeCreditReport.com などの小企業まで同様にいえることだ。それ以外に、TRUSTe ロゴが真に保証しているものといえば、それは想像にお任せする。

Edelman 氏の調査の詳細は、同氏のサイトのエグゼクティブサマリーと35ページにわたる PDF レポートに出ている。

参考までに、プライバシーに関する独立した情報資源である Perfectly Private では、TRUSTe や BBBOnline のプログラムとその他4つの認証プログラムを比較検討している。