省庁のWebサイトでGoogle Analyticsが使われている件

読売新聞の13日朝刊の記事で報道された、12の行政機関のWebサイトで、Google Analyticsが使われおり、且つ、広告機能がOnになっていたという件。

官僚の皆さん、ご愁傷様です。

読売新聞の記者さんは、結構、痛いポイントを突いていて、海外の行政機関のWebサイトのアクセス解析は、オープンソースのhttps://matomo.orgや、その有料版を使ってオンプレミスで構築しているところが多いんですよ。

某省庁については、私がそのことを指摘して、Google Analyticsからmatomoに乗り換える事になってます。

Google Analyticsを省庁のWebサイトで利用する上での3つの議論

この件は、以下の3つの議論が絡みます。

・「政府のWebサイトへのアクセス解析データは誰のものか？」という、データというデジタル資産の所有権に関する議論
・「政府のWebサイトへのアクセス解析データはどこまで公開されるべきものか？」というアクセス解析のデータ利用の公共性と公開に関する議論
・「政府のWebサイトのどのページにどのような頻度で、誰がアクセスしたのか」という個人情報保護に関する議論

「政府のWebサイトへのアクセス解析データは誰のものか？」

政府のWebサイトのアクセス解析データを、米国の一私企業に引き渡す事が妥当なのか？という点です。

Google Analyticsの利用規約では、以下のようにGoogle AnalyticsのデータをGoogleやGoogleの全額出資子会社で利用できる旨が記載されています。

Google および Google の全額出資子会社は、Google のプライバシー ポリシー（https://www.google.com/intl/ja/policies/privacy/）の条項を条件として、お客様による本サービスの利用により収集された情報を保持し使用することができます。

アメリカ企業にデータをあげるなら、日本企業にだってデータをくれよ、という話です。
Google Analyticsは、データをGoogleに渡す代わりに無料で使えます。
企業はそれでいいかもしれませんが、政府機関が法律の定めがなく、それをやるとまずいです。

「政府のWebサイトへのアクセス解析データはどこまで公開されるべきものか？」

「いやいや、そもそも、そういうデータって企業にあげていいの？」
「詳細データは個人情報保護の観点であげられないけど、省庁のWebサイトって、どの位、国民に利用されてるんだろう、というデータは見せようじゃないか」
というような話がアクセス解析のデータの公共性と公開に関する議論です。

アメリカ政府の場合、Google Analyticsを使っているのですが、Googleとの間に何かしら、取り交わしてるんだろうなというのが、Google Analyticsの利用規約の記載で分かります。

13. 米国政府の権利
本サービスが、米国政府、その代理人、または米国政府の元請業者や下請業者（あらゆる段階の下請けを含む）により、48 C.F.R. 227.7202-4（国防総省（DOD）による取得）と 48 C.F.R. 2.101 および 12.212（国防総省以外の取得）に基づいて利用される場合、政府が本ソフトウェアについて有する権利には、本ソフトウェアまたは文書を使用、改変、複製、公開、実行、表示、または開示する権利を含め、あらゆる点において、本契約に定める商用ライセンス上の権利および制限が適用されます。

アメリカ政府は、analytics.usa.gov で省庁のWebサイトへのアクセス状況のサマリーは公開してるんですよ。
これは、Guide to the Digital Analytics Program に基づいて行われています。

アメリカはこういうのは結構やっていて、証券取引委員会は、インターネットの検索トラフィックのログをEDGAR Log File Data Setとして公開してます。

日本では、内閣官房情報セキュリティセンターから「平成 23 年度 政府機関における情報システムのログ取得・管理の在り方の検討に係る調査報告書」が出ています。
この中で扱っているのは、システムログについてなんですけど、Webサイトのアクセスログについては、入ってないんですよね。
「セキュリティ監査のためのログ」が検討の中心になってるからでしょうね。

「政府が持っているデータを誰でも活用できるようにする」という政府のオープンデータの取り組みがあります。
そのデータセットのカタログサイトdata.go.jpでは、「国税庁法人番号公表サイト英語版webページのアクセス件数・検索件数」のデータを公開しています。
省庁のWebサイトのアクセスログをどこまで公開するかは、今後、議論を待つ感じでしょうか。

「政府のWebサイトのどのページにどのような頻度で、誰がアクセスしたのか」

最後は、個人情報保護に関する議論です。

政府CIOポータルで、政府システムに関する各種ガイドラインを公開しています。
アクセスログについては、「Web サイト等による行政情報の提供・利用促進に関するガイドライン」で、短いですが以下のように記述されています。

Web サイトの継続的な改善を実施するために、個人に関する情報の扱いに配慮しつつ、必要に応じてアクセス解析等の技術を活用する。特に、アクセス解析やトラッキングを行う際は、個人に関する情報を含む場合があるため、扱いには十分に配慮する。

この個人情報の保護の観点で、省庁のWebサイトでGoogle Analyticsを使い、広告の機能をOnにしていたというのが、色々問題ですよね。
3月10日に「個人情報の保護に関する法律等の一部を改正する法律案」が閣議決定され、第201回通常国会に提出されるそうですが、じゃぁ、省庁のWebサイトでGoogle Analyticsを使うのは、この改正案の内容に照らし合わせて、遵守できてるの？って話です。
私は、このあたりは専門じゃないので分からないです。

内閣官房情報セキュリティセンター 「外部委託に係る情報セキュリティ対策等について（注意喚起）」について

この記事は、読売新聞の読者専用記事で、新聞を購読しないと得られないIDとパスワードでアクセスしないと読めないので、購読を申し込んで、実際の記事を読んでみました。

この機能は通常、広告収入を得ている媒体などで使われているが、内閣サイバーセキュリティセンターは、行政機関向けの統一基準でこうした機能を使用しないよう定めており、同センターは「基準に反している」としている。

なるほど、既に別途ガイドラインがあるそうです。

調べたところ、内閣官房情報セキュリティーセンターから平成25年7月30日付で、「外部委託に係る情報セキュリティ対策等について(注意喚起)」という文書が出ています。

1. 利用者個人の行動を追跡する機能の組込みに関する注意
民間企業が提供するアプリケーションやウェブコンテンツ等においては、広告を提供する等の目的で利用者個人の行動を追跡するトラッキングという手法がよく用いられています。トラッキングに際してはクッキーや端末識別番号、URL短縮サービス等が利用されますが、トラッキングは、行動履歴という利用者のプライバシーに係る情報（以下「利用者情報」という。）の第三者提供につながりますので、政府機関提供コンテンツにおいては、国民のプライバシーを不当に侵害することのないよう注意する必要があります。
政府機関提供コンテンツの作成を民間企業に業務委託する場合、委託先がこの点に留意せず不用意に利用者情報を収集又は第三者提供するトラッキング機能を組込んでしまう事態が想定されます。政府機関提供コンテンツとして不適切なサービスが国民に提供されてしまうことがないよう、業務委託時の契約において、利用者個人の行動を追跡する機能を不用意に組込まないよう、発注仕様を明確にする等の措置が必要です。

この項目に、Google Analyticsは該当するので、アウトですね。

広告については、以下の項目が書かれています。
しかし、省庁のWebサイトにリターゲティング広告は掲載しないでしょうから、こちらは該当しないでしょう。

2. 政府機関提供コンテンツへの広告表示に関する注意
民間企業が提供するアプリケーションやウェブコンテンツ等では一般的に広告を表示させることが多いため、政府機関提供コンテンツの作成を民間企業に業務委託した場合に、委託先が故意又は不用意に政府機関提供コンテンツ内に広告を表示させる機能を埋め込む可能性があります。政府機関提供コンテンツにおいて広告を表示させる場合には、「国のウェブサイトへのバナー広告掲載要領」（関係省庁申合せ 平成24年6月25日改定。以下「掲載要領」という。）の規定に従う必要がありますが、民間企業においては、掲載要領に適合しない広告を用いることもあることから、委託先が不用意に広告を表示させる機能を埋め込むと、掲載要領に違反するコンテンツが表示された、前記1のトラッキング手法が用いられたりするおそれがありますので、注意が必要です。
政府機関提供コンテンツの作成を民間企業に業務委託する場合、広告を表示させる機能の埋め込みを業務委託時の契約において禁止する、又は、掲載要領に適合する広告のみが表示されるよう、発注仕様を明確にする等の措置が必要です。

読売新聞が指摘したところ、12機関中7機関が送信を中止したそうです。

省庁のWebサイトを構築しているのはITの専門家としての企業

さて、そもそも、省庁のWebサイトを役人の皆さんがつくっているわけじゃないです。
SI企業をはじめとする民間企業が「専門家として」請け負って作っています。だから、非難されるべきは、そういうWebサイトを構築した企業です。
専門家として、海外の政府機関の事例などを調べたりして、構築すべきなのです。

4月1日に改正民法債権法が施行になります。
経産省さんが出している契約書モデルに従って、設計については、準委任契約にして、SI企業などが設計したシステムの問題を、専門家として責任を善管注意義務で問えるようにしたというのは、民間企業より官庁の方が切実に求めている事なのかもしれません。

「技術選定責任」という言葉がございまして、今回の問題は、Google Analyticsを選定してWebサイトに組み込んだSI企業が責任を負うべきです。もちろん、広告機能をOnにしてた件も。

読売新聞の記事の中では、以下のように書かれていました。

各機関がサイトのアクセス解析のため無料ソフト「グーグル・アナリティクス」を導入した際、広告機能を「有効」にしていたことが原因。読売新聞の取材に各機関は、「解析を委託した業者が独断で入れた」（内閣官房）、「機能をよく理解していなかった」（農林水産省）などと説明している。

昨今のSI企業は、もちろん優秀な方がいらっしゃいますが、全体的に質が落ちているのは否めないわけでして、最新の世界の動向もお詳しくないみたいです。アメリカの一部の省庁やヨーロッパの省庁のサイトでmatomoが使われているというのを知らないのも当然なのかもしれません。

だからこそ、私にプロジェクトに入って欲しいと要望して、様々な技術情報を提供させたり、設計提案を作らせたりしたんでしょう。
契約締結は伸ばし伸ばしで、最後にはしごを外したりするわけですから、SI企業の人たちは、まぁ、相当にたちが悪い人たちです。
SI企業にそういう事をされるのは、初めてではないので、たとえ会社が違っても、もうSI企業とは付き合うまいと心に決めた私でした。

まぁ、月間1億PVのアクセスログ解析のシステム構築、頑張って。