追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 228   昨日: 3231

2016年06月12日

行政機関法改正の論点 国会会議録から抜粋(パーソナルデータ保護法制の行方 その23)

行政機関等の保有する個人情報の適正かつ効果的な活用による新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するための関係法律の整備に関する法律が、原案通り衆議院と参議院で可決し、5月27日に公布された(概要新旧対照条文衆議院総務委員会附帯決議参議委員総務委員会附帯決議)。これにより、行政機関個人情報保護法と独立行政法人等個人情報保護法が改正(これに伴い行政機関情報公開法及び独立行政法人等情報公開法並びに個人情報保護法の一部も改正)され、主に匿名加工情報の公的部門版が導入されるほか、個人識別符号と要配慮情報も導入される。

去年の基本法改正のときと同様に、国会会議録から関係する部分を抽出して重要な部分にマーキングし、テーマ別に分割したので、以下に転載しておく。色分けは以下の通り。 なお、今改正で、公的部門では匿名加工情報のことを「非識別加工情報」と言い換えることになったが、ここでは、抽象概念としての匿名加工情報を「匿名加工情報」と表記し、条文に関して記述する場合のみ「非識別加工情報」と記す。

  • 黄色: 質問(橙色: そのうち特に重要な部分)
  • 紫: 行政管理局長答弁(ピンク: そのうち特に重要な部分)
  • 水色: その他の答弁(青: そのうち特に重要な部分)
  • 緑: 参考人発言、転載者コメント

  1. 匿名加工情報 定義と照合による識別
  2. 匿名加工情報 法目的
  3. 匿名加工情報 ニーズと対象ファイル
  4. 匿名加工情報 契約とオプトアウト
  5. 個人情報保護委員会の権能とEU十分性認定
  6. 地方公共団体匿名加工情報と2000個問題
  7. 個人識別符号
  8. 要配慮個人情報
  9. 安全確保措置
  10. 医療分野での利用と今後

作業中にだいたい内容を把握したので、まずは簡単にここに雑感を書き残しておく。

1. 匿名加工情報 定義と照合による識別」については、個人情報保護法制全体の体系を破壊しかねない重要な論点であった。衆議院の参考人質疑に鈴木正朝先生が呼ばれ、問題点の指摘と修正案の例示がなされている。

問題点を簡潔にまとめると、「匿名加工情報」であったはずの名称が、閣議決定直前に「非識別加工情報」という別の名称に変更されたこと、また、その「非識別加工情報」の定義が、民間部門の「匿名加工情報」定義とは指している情報の範囲が異なり得る(個人情報保護委員会規則によって可変になっている)ことから、行政機関で作成された匿名加工情報である「非識別加工情報」と民間部門の「匿名加工情報」の概念同一性が不確かとなってしまった。「非識別加工情報」が民間事業者に提供されたときその受領者には再識別禁止の義務を課すのがこの制度のキモであるが、法案では行政機関法にその規定を盛り込んでおらず、改正個人情報保護法の38条(識別行為の禁止)でそれを担保する予定であったのに、閣議決定直前の変更により両者の概念同一性が不確かとなったことから、必ずこの義務がかかるのかが謎な法案となってしまったのである。

鈴木参考人の修正案は、定義中の2番目の括弧書きを削除して委員会規則への委任規定を排し、定義が指す情報の範囲を民間部門の「匿名加工情報」と同一にし、かつ、名称を「匿名加工情報」に戻すとするものであったが、結局は採用されていない。

この結果、この法案を正当化するために、行政管理局は、いくつもの無用な理屈を答弁せざるを得なくなった。まず、名称をわざわざ違える理由は、民間部門では匿名加工情報が当該事業者において非個人情報であるとされているのに対して、「公的部門では当該機関において個人情報に当たる」から、そのように違うものだということを明確化するためのものとされた。次に、公的部門でそのように匿名加工情報が個人情報に該当する理由が、民間部門と異なり「公的部門では再識別禁止の規定を入れていない」ことによるとされた。ここで、第1の誤りが固着してしまった。この理屈を正当化するために、「民間部門では匿名加工する事業者自身による再識別を禁止する規定がある」旨の答弁が繰り返されたが、改正個人情報保護法36条5項は、「自ら当該匿名加工情報を取り扱うに当たっては」と限定的なケースについて禁止しているだけであって、常に禁止しているわけではない。すなわち、民間部門で匿名加工情報が非個人情報となるのは、匿名加工する事業者に再識別禁止の義務が課されているからではないのである。この第1の誤解釈を前提として「再識別禁止の義務があれば容易照合性が否定される」という理屈が用いられ、これが第2の誤りの固着となった。次に、そうすると「なぜ公的部門にも再識別禁止規定を置かないのか」という指摘が入るものだから、置かないことの正当化に奔走することとなり、「公的部門では元データとの照合を必要とするから」という理屈が編み出され、ありもしない不必要な具体事例がでっち上げられて答弁される事態となった。さらに、「個人情報であるのに提供してよいのか」という指摘も出てくるので、これに対抗して、「民間部門では提供元基準かもしれないが、公的部門では提供先か提供元かという基準は設けていない」と答弁せざるを得なくなり、これが第3の誤りの固着となった。このとき、民間部門とでそのような違いが生ずる理由として、「公的部門では民間部門とは違い、利用目的以外の目的のために第三者に提供するという場面は例外的な場合に限られているから」などというイミフな理屈まで飛び出した。

このような答弁をせざるを得なくなった行政管理局は誠にお気の毒であったが、これら第1〜第3の誤りは、基本法の解釈にも悪しき影響を及ぼす看過できないものである。このように法が成立したことで、今後、心ない有識者らがこれら多数の誤りを含む国会答弁の理屈をそれがあたかも当然の真理であるかの如く無批判に自身の教科書に転記していくことになるだろう。その読者らがそれを真に受けてしまえば、我が国の個人情報保護法制体系の完成は遠のくばかりである。せめて行政管理局におかれては、已む無く捻出した理由の部分についてはあえて逐条解説に書かないでおくという正義を示してほしいところである。

この論点については、次回以降で改めて詳細に検討する予定である。

2. 匿名加工情報 法目的」では、行政機関法第1条の目的規定に「個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、」という文が挿入されたことについて、昨年の民間部門の改正でも同様の目的規定の改正があったが、それは、元からあった「個人情報の有用性に配慮しつつ」という文を膨らませたものであったのに対し、行政機関では、そのような文は元よりないのであり、ないところにこのような目的を付け加えることはやりすぎではないかという指摘があった。「なるほどー」と思ったが、去年の改正は基本法部分としての1条の改正であったと考えれば、さほどおかしいことではなかろう。ただ、民間部門では、匿名加工情報の取扱いの規律を定めただけだったのに対して、公的部門のこの改正は、それに留まらず、提案の募集と審査と契約といったオープンデータ活用に係る手続きまで組み込んでいることから、もはやこれは単なる「保護法」ではなくなっていることから、むしろ法律の題名が不釣合いとなっているように思えた。

参考人質疑では、法目的について、藤原参考人は「全体としてこの法案は妥当なものであろう」と、鈴木参考人は「本法案の趣旨については、私は賛成であります」と、宇賀参考人は「個人情報の保護と利用の適正なバランスをポジティブサムの考え方の下に模索したものと評価できる」としている。

3. 匿名加工情報 ニーズと対象ファイル」では、そもそもニーズがあるのかということが繰り返し問われている。行政管理局は、具体的な例を問われたのに対し、法律が成立してから各行政機関、独法が検討することだから今の時点ではわからないと答弁し、参考人から挙げられた数個の例が出るのみであった。参議院でも繰り返しニーズに疑問が呈され、「新たな産業の創出というのはどういうものか」と問われたのに対し、大臣から「行管局長や私が発案できるようなレベルのものであったらそれは新たな産業とは言えないんではないか」という答弁が飛び出した。

匿名加工のソースとなる個人情報ファイルにどのようなものが対象となるかについても、繰り返し問われている。基本的には、もし情報公開法に基づき開示請求があったとしたなら全部開示か部分開示となるような個人情報ファイルが対象とされているのだが、部分開示といっても、タイトルと項目名だけという部分開示もこれに該当してしまうので、そのようなものが対象となるのか否かに疑問が残った。

具体的には、国立病院や国立大学付属病院が保有している患者のカルテがこの制度の下で匿名加工のソースとなるのかが関心の高いところであろう。山本参考人は匿名加工のソースとなると想定されている様子だった。しかし、厚労省は、「カルテを非識別加工して出すのか」との問いに対し、「個別具体的に今どういった情報につきましてどう対応するかということにつきましてはまだ検討をしていないところ」と答弁するにとどめた。

タイトルと項目名だけの部分開示があり得るといっても、さすがにカルテの個人情報ファイルの全部などという開示請求に対しては、全部不開示とするものではないかと思い、さっそく、東京大学情報公開室に電話で相談してみた。「東大病院の保有するカルテの個人情報ファイルの全部を開示請求したら、部分開示されるか」と持ちかけてみたところ、タイトルや項目名などのみ残して他を黒塗りしたものの開示はできると即答だった。そうするとこれは匿名加工のソースになるということであろうか。

4. 匿名加工情報 契約とオプトアウト」では、民間事業者からの提案について、それをどう選考し、契約するかといったことが確認的に質問されている。特に興味深かったのは、思っていた以上に選考基準は厳しいものとなりそうな点であった。行政管理局長は「本当に我が国における新たな産業の創出あるいは我が国の国民の豊かな生活の実現に資するかということ、これは明らかにしていただく必要がある」と答弁している。もっとも、この答弁は、外国企業からの提案でも契約するのかとの質問に、排除していないとした上でその正当性を述べたものであるから、若干厳しめに答えている可能性も否めないが、当然ながら、国内事業者の提案についても同様の基準で審査されることになるはずである。

また、手数料について、職員の人件費を含むと明らかにされた点も意外だった。匿名加工の作業を外注するときの外注費だけかと思いきや、その前後にかかるであろう職員の作業時間の分の人件費を手数料に含めるようだ。これはけっこうな高額になると思われ、提案がそもそも「新たな産業の創出」「国民の豊かな生活の実現」に資することが求められているのに、かかる手数料も高額となると、はたしてそれほどの応募があるのか心配になってくる。

これに関係して、同一のデータについて複数の事業者が提案する場合は、費用負担はどうなるのかという疑問も湧く。事業者Aが高額な手数料を払って匿名加工してもらったデータAがすでに行政機関に保管されているとき、別の事業者Bが同じものを求めたとき、Bは加工費を含まない安い手数料でデータAを手に入れることができるのだろうか。参議院で、そういう趣旨っぽい質問があったが、質問者があまり意味を理解していなかったのか、明確な答えを引き出せていない。

それから、民間部門の匿名加工情報では、提供された匿名加工情報はさらに他の事業者へと転々流通していくことが想定された制度であった(いわゆる「FTC 3要件」がそういう書きぶりだったので)のに対し、公的部門では、二次提供は基本的に許さないように契約するということが答弁された点も意外だった。しかも、衆議院の前半では、二次提供はあり得るけれども契約の中で決めておくと答弁していたのが、参議院では「二次流通ということは基本的には考えていない」と、答弁ぶりが変遷していく様子が見られた。たしかに、二次提供をどうするかは法律上の規定はないわけであり、契約でそれを縛ると答弁しているものの、そのような契約をすべての行政機関と独法に促すのは、どこで規定するのであろうかという疑問が残った。

そして、オプトアウトについてが論点となる。宇賀参考人は、「第三者に対する意見書の提出の機会を付与した結果、提案に係る行政機関等非識別加工情報の作成に反対の意思を表示した意見書が提出されましたときは、当該提案に係る個人情報ファイルから当該第三者を本人とする保有個人情報を除いた部分を当該提案に係る個人情報ファイルとみなす」と、44条の8(第三者に対する意見書提出の機会の付与等)の規定を示して、オプトアウトできるようになっている旨のことを述べたが、他の参考人や野党からは、「オプトアウトもできない制度だ」という理由で法案に反対するとしていた。

これに対して、政府側からは、「オプトアウトはできるようになっている」とする答弁はなかった。「そもそもそういう提供が嫌だということは、国民は拒否をすることはできるんですか。」というズバリの質問に対して、行政管理局長は、「繰り返しになりますが、非識別加工情報というのは、個人が特定できない、識別できないというものでございますので、そういう意味では、個々人の方々の権利利益を侵害するというおそれはないものと思っております。したがいまして、そういうことでございます。」と答えており、不自然な答弁となっている。宇賀参考人が言うようにオプトアウトの仕組みがあるのなら、「できます。」と答えればよいところなのに、そう答えなかったのはなぜか。

条文を改めて読んでみたところ、この44条の8は不思議な規定になっていることがわかった。まず、個人情報ファイル簿に44条の3 3号の印が付いた個人情報ファイルを匿名加工のソースとするときには、情報公開法13条の規定を準用するというもので、これを実施するには、個人情報ファイルの各本人に通知をして、意見聴取することになる。匿名加工の提案があるたびに、何万、何千もの本人に通知をするというのは大変なことになるわけで、ワークしないおそれがある。この「44条の3 3号の印」というのは、2条9項2号の「ロ」に該当する場合に付けることとなる印のことであり、その「ロ」とは、情報公開法で13条の規定により意見書提出の機会を与えることになる場合とされている。そして、個人情報ファイルが、匿名加工のソースとして使える条件は、この「ロ」の場合と、「イ」(全部開示か部分開示)の場合のいずれかとなる場合とされている。ここで疑問なのは、部分開示となるときなら意見聴取することなく匿名加工ができるのであるから、この44条の8の出番は無いように思われるところだ。

おそらく、情報公開法の部分開示と意見聴取の仕組みをそのまま鏡に映す形で匿名加工の制度を設計したつもりが、部分開示と匿名加工とでは本質的に違うものである(部分開示では、個人を特定することとなる記述を除いた部分がなお個人の権利利益を害するおそれがある場合があるから意見聴取の仕組みが設けられているのに対し、匿名加工では、匿名加工によって「個人の権利利益を害するおそれがある」情報は消えてしまう。)ために、意見聴取の仕組みが意味をなさなくなってしまったのではないか。もっとも、行政機関や独法の裁量で、あえて意見聴取をする「ロ」の印を付けるという運用はアリなのかもしれない。

この点については、再度詳しく検討したい。

5. 個人情報保護委員会の権能とEU十分性認定 」では、公的部門の一般個人情報に関する監督権限を委員会に移さないのかということについて問われている。今回そのようにしなかった理由は、「個人情報の取り扱いにつきましては、今回の改正は、法の基本的な構造を変更するものでないことから、現行の体制を変更することとはしていないところ」と答弁された。そうすると、このままではEUの十分性認定は得られないとする指摘が相次ぐわけで、それに対し、大臣は、昨年の改正法の附則12条第6項に「個人情報の保護に関する法制の在り方について検討する」との規定があることを示しつつ、これが「個人情報の取扱いに関する監督体制にも関わり得るもの」であるとして、「今後、改正法の施行状況などを踏まえて検討をしてまいりたい」と答弁している。

6. 地方公共団体匿名加工情報と2000個問題」では、この改正で誕生する「行政機関非識別加工情報」の制度を、地方公共団体にも同様のことをさせるべく条例を改正させるのか、また、どうやってさせていくのか、本気でそんなことをするのかということが問われている。また、それ以前に、条例が2000個あって統一されていないという「2000個問題」についても論じられている。これらについて、今改正法の附則4条に「一体的な利用促進のための措置を講ずると」されていることが、将来の解決への道筋になっている旨が示された。ただし、この「一体的な利用促進のための措置」というのが、「一体的に利用されることが公共の利益の増進及び豊かな国民生活の実現に特に資すると考えられる分野における個人情報の一体的な利用促進」と、分野で限定されているようでもあり、どんな範囲になるのかははっきりしていない。

7. 個人識別符号」については、去年の民間部門の改正と同じであるが、ここでも再び、携帯電話番号が入るのかとか、端末IDが入るのかといったことが問われている。驚いたのは、端末IDについて、EUや米国と比べてどうかと問われた個人情報保護委員会事務局長が、「保護されるべき個人情報の範囲の概念は大きく変わっていないのではないかというふうに認識をしております」と答弁してしまった点である。即座に質問者に「明らかにEUとは基準が私は違うと思います。」と突っ込まれているが、これは、昨年の向井答弁と明らかに違っている。国会会議録第189回国会参議院内閣委員会第9号で、向井内閣審議官が、「携帯電話番号と端末IDはいずれもEUデータ保護指令が定める個人データに該当するとされております」「アメリカも、御指摘のとおり、そういう草案は出ております」「これらの状況をよく見ていく必要が今後あるんだろうなということは十分認識をしておりますが」と答弁したとある。

8. 要配慮個人情報」については、公的部門に要配慮個人情報を入れた意味は何なのかが問われている。個人情報ファイル簿に印を付けることしか義務はない。これによって、透明性が確保されるほか、現場で要配慮個人情報が含まれることをそれぞれの職員が意識できるようになるのがその意義だという。

その他、「9. 安全確保措置」の話題と、「10. 医療分野での利用と今後」の話題があった。

本日のリンク元 TrackBack(0)

2016年06月03日

eLTAXに反省なし 誤りを認めない告知文の捻出に3か月を費やしその間利用者を危険に晒す

3月14日の日記「治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ」から3か月近く経った今日、eLTAXが注意喚起を出しているとの情報が入り、なぜ今頃になって再び注意喚起をするのだろうかと首を傾げた。

画面キャプチャ
図1: あれ以来3か月告知していなかった様子

よく見てみれば、あれ以来、何ら注意喚起を出していなかったのだ。つまり、これは再度の注意喚起などではなく、3か月経ってこれが初の「お知らせ」だというのだ。日経ITProの記事「地方税ポータル「eLTAX」はなぜActiveXを採用したのか、地方税電子化協議会に聞いた」(3月25日)では、「既に記載は削除しましたが、今後は利用者にお知らせメールを配信するなどして、変更した点を戻すよう促したいと思います。」とインタビューに答えていたのに、なぜ3か月もかかったのだろうか。

告知の内容を見ていくと、まるで反省していないことがわかる。

画面キャプチャ
図2: eLTAXが国民を舐め腐った告知文を掲載している様子

まず、表題が「eLTAXを利用する場合に必要なパソコンの設定確認のお知らせ」となっているところに感心する。この文だと、設定確認が必要な理由が、まるで元々自然に必要なものであるかのような印象を醸し出しており、自分たちの過ちによって利用者を危険にさらしたから直ちに設定確認が必要になったという緊急性を一切見せない文として工夫されている。こういう文案の捻出に3か月会議を重ねて調整したのだろう。

まっとうな良識のある人間ならここは「【緊急】パソコンが危険な設定になっていかご確認ください」と書くものだ。こんな生き方していて恥ずかしくないのかね。「必要な設定確認のお知らせ」だって? 誰に向かって言ってるんだ。

本文もなかなかに工夫されている。「インターネットセキュリティに関して適切でない設定を行っていただくようお願いしておりました。それにより、利用者の皆様にご迷惑をおかけした」だそうだ。危険な設定だということを一切書いていない。一度はそういう文案が出たのだろうが、3か月の会議を重ねて、そういう表現は削られてこうなったのだろう。

続く文も、「設定の確認及び再設定をお願い」とするその理由が、「インターネットセキュリティの関係から、」とだけ書かれている。「関係から」だそうだ。明らかに何かが削られてこの表現に調整された痕跡がある。「お父さんはこんな調整の仕事してるんだよ」と胸張って自分の息子に説明できるのかね。

今回作成された文書「ご利用パソコンの設定確認手順書」にもしっかり「俺たちは悪くない」というニュアンスが差し込まれている。

この文書では、1章の前半で「信頼済みサイトゾーン」の設定の見直しを、そして後半で「インターネットゾーン」の設定の見直しを促している。安全上重要なのは「インターネットゾーン」である。その後半の冒頭、次のように書かれている。

画面キャプチャ
図3: インターネットゾーンの設定を変えた利用者が悪いという態度の様子

なんだこれは。

つまりこういうことだろう。eLTAXが「署名済みActiveXコントロールのダウンロード」を「有効」に設定しろと指示していたのは「信頼済みサイトゾーン」についてであり、これを間違えて「インターネットゾーン」について設定してしまったのは愚かな利用者の勝手な勘違いであり、eLTAXのせいではないと言っているわけだ。

だが、3月14日当時の説明では、「信頼済みサイトゾーン」についての設定だという説明はなく、指示通りに操作すれば「インターネットゾーン」について設定してしまうものだった(図4)。

画面キャプチャ
図4: eLTAXが「インターネットゾーン」の設定を変更する手順を指示していた様子

こういうときは、最低でも「誤解を招く説明だった」ことを詫びるものだ。それすら認めることを許さない輩がeLTAXの中には居て、3か月も会議で調整してそうは絶対に書かせなかったのだろう。一刻も早く利用者に知らせないとそうこうしているうちに銀行の不正送金被害が出るかもしれないのに、なんという悪質な組織なんだ。全国の地方公共団体はこんな組織をいつまでのさばらせておくつもりなのか。

そもそも、口の利き方すらなっていない。「当協議会ホームページにおいてお願いしておりました「信頼済みサイト」に関するセキュリティ設定をインターネットゾーンに対して実施してる場合も考えられるため、」というが、「実施している場合」の主語が意図的に略されている。「利用者の皆様が」だろう。

「利用者の皆様がインターネットゾーンに対して実施している場合も」と書くと、まるで自然現象のようで不自然なので、普通は、「利用者の皆様が誤ってインターネットゾーンに対して実施している場合も」と書くわけだが、そう書くと、なぜ「誤って」しまったのかを書かないとこれまた不自然になるわけで、そうなると、eLTAXの説明が悪かったから利用者が「誤って」設定してしまったと書かなくてはならなくなる。それが嫌なのだろう。3か月会議を重ねて調整されたのがこの文章なのだろう。

ここは、「当協議会ホームページにおいてお願いしておりましたセキュリティ設定は、「信頼済みサイト」に関するもののつもりでしたが、そのような説明を欠いておりましたため、利用者の皆様が誤ってインターネットゾーンに対して実施してしまわれた可能性が想定されるため、」と書くのがまっとうな人間のすることだ。詫びなくてもいいから、事実くらいは嘘偽りなく説明したまえ。

続く2章では、前半でJava実行環境の削除、後半でOracleの開発者登録の削除について述べられているが、ここでも反省のハの字もみられない。

画面キャプチャ
図5: 開発者向けのことを一般人にさせていた己の不明を詫びる様子がない様子

「eLTAX利用に当たり最新版でないJREをダウンロードするため、提供元であるORACLE社に対し、メールアドレスを始め、氏名や会社名(組織名を含む)、住所など個人情報を登録し、ORACLE社のプライバシーポリシーに合意する必要がある旨のご案内をしておりました。」とあるが、まるで、Javaが不要になったからもう消してもいいという話であるかのように矮小化されている。かつては必要だったのだから問題などなかったとでも言いたいのか?

ここは、3月に書いたように、「eLTAXは、一般人の利用者たちに、Java開発者の登録をさせていた」という、前代未聞のとんでもない出鱈目であり、画面に出てくる英文の「「警告:この旧バージョンのJREとJDKは、開発者が古いシステムのデバッグするのを補助するために提供されるものです。これらは、最新のセキュリティパッチが適用されておらず、実際の製品での使用は推奨されません。」を無視してダウンロードさせていた犯罪級の過ちであった。

その過ちについての説明が一切ない。どんな出鱈目なことを強要していたのか、未だ理解していないというのか。

「利用者の皆様にご迷惑をおかけしたことを、お詫びいたします。」と、口先だけ詫びだと言えば詫びになると思っているのだろうが、何が誤りであったかを認めることなくして、「当協議会としましては、再発防止に努めてまいりますので、」などと言ったところで、箪笥の肥やしにもならない。

本日のリンク元 TrackBack(0)

2016年04月23日

「食べログ」アプリの「ブックマーク」デフォルト公開で利用者の意図に反して特定個人識別される危険

「食べログ」は著名なサービスであるが、その利用者の多くは店を探す目的のみに使い、レビュー(「口コミ投稿」)を書く気は全くないという人がかなりの割合で存在すると推察される。私もその一人で、出先でGPSを使って近くの店を探すため、もっぱらスマホアプリ版の「食べログ」を使ってきた。

一昨年の2月まで、オレンジ色のアイコンだった旧版の「食べログ」アプリは、「ブックマーク」機能があり、これは、スマホにローカルに記憶しておくものであったため、ログインが不要であり、私も、ログインせずに、このローカルブックマーク機能を活用していた。このような利用者は、完全に匿名であり、閲覧するだけの利用であって、一切の情報の公開に関与していないという意識で「食べログ」を使っていただろう。

画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ
図1: 旧バージョンの「食べログ」スマホアプリ

これが、一昨年、白アイコンの新版「食べログ」アプリが登場し、旧版は使えなくなるから「ブックマーク」を「データ移行」手続きせよと強制する画面が出るようになった。当時の不評の様子がITmediaニュースにある。

  • 「食べログ」iPhoneアプリのレビューが炎上 リニューアルで使い勝手激変, ITmediaニュース, 2014年2月17日

    新アプリでは、ログイン不要で気になる店を記録しておける「ブックマーク」機能を削除。行きたい店・行った店を記録できる「行った、行きたい」機能を使うにはログインが必須になった。以前のアプリをログインなしで利用していたユーザーは過去の記録を引き継げず、レビューに不満をぶつけている。

このとき私は、「ああ、ログインユーザを増やしたいんだな。ブックマークを吸い上げてビッグデータの肥やしにしたいんだな。」と思い、「意地でもログインしてやるもんか」と、旧版のブックマークを放置して、新版アプリの「行った、行きたい」を使わず、ログインせずに使っていた。

しかし、ブックマークできない不便さに痺れを切らし、1年後の去年2月、ついに、ログインすることを決意し、アカウントを作成することにした。このとき、旧版のブックマーク移行機能はもう使えなくなっていた(エラーが出る)ので、「データ移行」の手続きは行わなかった。

アカウントの作成は、ID連携による他サービスからのログインができるとなっていたので、取り急ぎ、Facebookアカウント経由でログインした。図2は、その手順を、後になって再現したもの(2016年3月27日時点)である。

画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ
図2: ID連携でFacebookアカウントで食べログアカウントを作成する様子

これらの一連の画面の通り、「行った・行きたい」を利用しようとしている人に対して、それが公開状態になる旨の説明は一切ない。最初のログインを促す画面には、「ログインすると、「行ったお店」「行きたいお店」を食べログ上で管理できるようになります。「行った・行きたい」に登録したお店は、あとからエリアやキーワードで簡単に検索できます。」と説明されている。旧版アプリを使っていた利用者にとっては、旧版同様、自分だけのための機能としか見えない。

最後の画面で、「……のレストランガイド」という画面が出るが、「レストランガイド」というデフォルトの名称に若干の違和感を持つものの、「行った」「行きたい」は、旧版の「ブックマーク」と同様の機能だろうと思った。

そう信じて、私は、旧版に登録していた店を含め、どんどん「行った・行きたい」に店を登録していった。「行った」店も登録しておくのは、休業日・営業時間を確認するために便利だったからだ。

このリニューアルのときのカカクコムのプレスリリースを今になって確認してみても、「自分だけのお店リストを作成できます。」とあって、当然に非公開の機能と思わせる発表になっている。

ところがある日、「行った・行きたい」に登録しようとしたとき、「非公開にする」というチェックボックスがあることに激しい違和感を覚えた。どういう意味なんだろうか?と。

画面キャプチャ 画面キャプチャ 画面キャプチャ
図3: 「行った」の登録画面に「非公開にする」というチェックボックスがある様子(2016年3月27日時点)

この「非公開にする」というチェックボックスは、見えにくい場所にあるうえに、初めからチェックされているようにも見えるデザインであるため、「既に非公開という意味かな?」という誤解も与える。(実際には、チェックすると緑色になるもので、図3の画面の灰色のチェックボックスは、チェックされていない状態にある。)

しかも、この画面のUIは、この1年の間に何度か変更されている。画面キャプチャをとっていなかったのが悔やまれるが、1年ちょっと前、私がログインして使い始めたころには、「非公開にする」はなかったような気がするがどうだろうか。

今から数ヶ月前の時点では、「行った」の登録画面は、図3とは異なり、昼と夜を区別せずにスコアをつける方式(旧版の「ブックマーク」と同様の)だった。これが、最近になって、図3の画面のように、「口コミ投稿」と同じ、夜と昼に分けてスコアを付ける方式に変わった。このあたりで、「ああ、公開レビューと統合されたんだな。」とようやく気付いた。つまり、「行った・行きたい」のブックマーク機能が、いつの間にか、「行った」については、コメントなしの公開レビューと同等のものになっていたわけだ。

Twitterを検索して探してみたところ、ちょうどこのころに、少ないものの以下の声があった。

こうした仕様変更の案内は一切目にすることはなかった。スマホアプリ版の「食べログ」を使っていると、そうした告知が目に入ってくることはない。

ここでようやく、「◯◯のレストランガイド」でググってみた。「食べログ」にログインしていないWebブラウザでだ。すると、私の「◯◯のレストランガイド」が出てきて、「行った・行きたい」がすべて公開状態になっていた。

幸い、「◯◯」は、私が「食べログ」アカウント作成時に付けたIDで、直ちに他人に知られるものではなかったので、私の秘め事が世間にもろバレ!と直ちに慌てふためくことではなかった。

しかし、いずれはバレる可能性があるので、全部非公開にしようと試みたところ、これがどうもよくわからない挙動だった。「非公開にする」にチェックを入れたのに公開状態のままだった記憶があるが、画面キャプチャをとっていないので定かでない。

設定画面で、丸ごと非公開にできないものかと、設定画面を見に行くと、図4のように、どこにもそういう機能はなかった。「公開設定」というメニューがあるが、これは、「フォロー中・フォロワー一覧」を非公開にするものでしかない。

画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ
図4: 設定画面に全体非公開の機能が存在しなかった様子(2016年3月27日時点)

「おいおいこれはヤバいぞ」と、すわブログネタかと色めき立ったが、自分のアカウントを非公開にできていないうちは書けないし、忙しくてそれどころではないしと、しばらく放置していた。

そこに転機が訪れたのは、今年3月27日のことだった。たまたま、Webの「食べログ」画面を訪れたとき、ログインしてみようという気になったので、ログインしたところ、図5の画面に、何やらお知らせが出ていることに気付いた。

画面キャプチャ
図5: 「Facebook設定のご確認のお願い」との告知が出ている様子(2016年3月27日時点)

「Facebook設定のご確認のお願い」……とな? 「ご確認のお願い」という時点で悪い予感しかしない。

これをクリックしたところ、以下の説明が出ていた。

画面キャプチャ 画面キャプチャ
図6: 「Facebook設定のご確認のお願い」の中身と、その設定画面の様子(2016年3月27日時点)

これはアカン。デフォルトが有効やないか。なーにが「この機能をご利用になりたい場合、以下で設定してください」だ。しかも、「Facebookでログインしていない方は、ご利用いただけません」ということは、私のように、Facebookアカウントでログインした利用者は、問答無用でFacebookの友達らに私の「食べログ」アカウントがバレて、「行った・行きたい」が全バレになってしまうということじゃないか。なーにが、「この機能をご利用いただくかどうか事前に設定いただけますので」だよボケが。「ご注意事項」って、ヤバいってこと自覚してるじゃねえか。「3月2日」付になっているが、27日まで気づかなかったぞ。

「食べログ」アプリの通知は許可していたが、通知による告知はなかった。いちおう、図7のように、目立たないところにある「その他」の画面にたどり着くことができれば、「食べログからのお知らせ」があって、そこに掲載されていたが、こんなところをいちいち見ている人は皆無だろう。

画面キャプチャ 画面キャプチャ 画面キャプチャ
画面キャプチャ 画面キャプチャ
図7: アプリで「Facebook設定のご確認のお願い」を見る方法(2016年3月27日時点)

これは大変なことになると思ったが、じっくり書いている暇が全くなかったので、取り急ぎ以下のツイートをした。

すると、数日後、この「Facebook設定のご確認のお願い」の「お知らせ」が消滅していた。その後の状況からすると、どうやら、この時点で、関係者に問題点が理解され、対策が進められたようだ。

画面キャプチャ
図8: 「Facebook設定のご確認のお願い」が「お知らせ」から削除されている様子(2016年4月2日時点)

そして、4月14日ごろ、アプリのアップデートと共に、この新機能がリリースされた。

画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ
図9: 新機能が登場した様子(2016年4月14日時点)

このように、この機能は、本人が自らボタンを押して利用開始しない限り有効にならない仕様に変更され、かつ、ボタンを押したときに、「相手からも自分が見つけられるようになりますので、ご注意ください。」と警告が出るようになっていた。Facebookでログインしている私のアカウントでも、さらにFacebookで連携しない限りこの機能は有効とならないようになっていた。

これならOKだ。こういうのが「プライバシー・バイ・デザイン」である。

設定画面も改善されていた。(この点については私は何もツイートしなかったが、誰かが指導してくれたのか、それとも元々社内でもヤバいと心配している社員さんがいたのであろうか。)

画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ
図10: 改善された設定画面(2016年4月14日時点)

このように、設定画面直下に「プライバシー」のメニューが用意され、「アカウント公開・非公開」の設定が設けられ、「行きたい」全体を非公開にする設定がここに設置された。最初からこうなっていなければならないところだ。

これで一件落着……かというと、そうではない。ここからが本題である。

Facebook連携でのアカウント・バレは避けられたものの、依然として、自分の「行った・行きたい」が公開されているとは露知らず、旧版アプリの「ブックマーク」の延長として使い続けている人たちが、大量にいることだろう。

「行った・行きたい」が意思に反して公開されると何が問題か。アカウント名が誰だとわからない名前なら、誰だとわからないから問題ないじゃないかと思われるかもしれない。

では、私のアカウントを実際に見ていただきたい。以下は、本アカウントとは別に、このブログを書くためのデモンストレーション用のアカウントを新たに作成し、ダミーの「行った・行きたい」を登録したものである。

地図からわかるように、東京都、茨城県、新潟県、愛知県、岐阜県、京都府、広島県に登録がある。それぞれを見ていくと、以下の特徴があることがわかる。

  • 茨城県を見ると、筑波研究学園都市の南部で、ランチばかり利用した記録が多数ある。
  • 東京都では、溜池山王駅の周辺で、ランチばかり利用した記録が多数ある。

画面キャプチャ 画面キャプチャ
図11: 特徴的な登録地点その1

このことから、産総研か環境研、気象研ないしJAXAあたりに勤務していて、溜池山王駅周辺にも勤務しているっぽいことがわかる。日付から、同時期に双方に行っていることもわかる。

  • 新潟大の隣の店でランチし、夜に寿司屋に行っている。
  • 名工大の近くの店を登録している。
  • 岐阜県東濃地方でラーメン店を複数登録している。
  • 目白駅の近くで昼・夜共に登録がある。
  • 文京グリーンコートの近くに夜の登録がある。

画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ
図12: 特徴的な登録地点その2

私が、岐阜県東濃地方出身であること、名工大出身であることはWikipediaに掲載されているし、目白駅の近くに以前住んでいたことは2011年11月26日の日記で明かしているし、新潟大は、夏の集中講義に行ったことが鈴木正朝先生によってツイートされている。文京グリーンコートはJITEC関係として公開事項である。

このことから、私のアカウントを探そうとしている人からすれば、これがひとたび見つかれば、高木であることは相当な確度を持って確信できることだろう。

そして、その他に、墨田区の言問橋近辺に多くの昼と夜の登録がある。これは自宅に違いないという推定ができる。

画面キャプチャ
図13: 自宅近辺が推定される様子

今回のこれは、デモ用にダミーの登録をしたものであり、自宅は言問橋近辺ではないが、本アカウントがバレていたら、自宅は特定されるところだった。

こうやって、非公表の事項がわかってしまうわけで、その他、京都駅近くのラーメン店、尾道のラーメン店に行ったのだなといったこともバレバレだ。今回は、本アカウントから公表しても平気な店を選んで登録したので問題ないが、本アカウントがバレていたら、いらぬ詮索をされてけっこうつらいところだった。デモ用アカウントでは、登録日はすべて3月27日になっているが、本アカウントでは、実際に行った日などが登録日となっている。

このように、疑いのアカウントが見つかると、確信を持たれてしまうだろうが、では、疑われるアカウントをどうやって見つけるのか、簡単には見つけられないだろうと思うかもしれない。しかし、各アカウントごとに、勤務地と自宅らしき場所を推定するアルゴリズムは作成できるだろう。クローラーで大量に集めたデータから、機械的にそれを分析して、あとは、勤務先等で検索していくことで、疑いのアカウントを絞っていくことはできてしまうのではないか。

むろん、「口コミ投稿」を書いている利用者の方々は、自ら公表しているのであって、特定され得ることも承知で使っているのだろう。だが、冒頭に示したように、旧版の「食べログ」アプリから移行組の「口コミ」無投稿勢にとっては、予期せぬことではないか。

カカクコムは、今月のFacebook連携の新機能リリースで、「プライバシー・バイ・デザイン」を実践してみせた。それは大変結構だ。しかし、この「行った・行きたい」がデフォルト公開であることの周知は、未だできていない。現在も、初めて使う利用者が「行った・行きたい」を使おうとしたときに出てくる画面は、図14のとおりであり、左の画面は、3月時点の図2と変わっていない。

画面キャプチャ 画面キャプチャ
図14: 初めて使う利用者が目にするであろう画面(現時点)

図14の右の画面には、「Facebookの友達と行った・行きたいお店を共有できます。」とあり、この点は先月と違うが、これがどういう意味かもよくわからない。以前とは違って、アカウント作成時にFacebook連携を選ぶと、Facebookの「友達」から探される状態になる(つまり、4月からの新機能が最初から有効になる)という意味なのだろうか? そうだとすると、これはよけいに誤解を招くものになっている。実際には、Facebookの友達だけでなく、一般公開の状態になるのである。

この類のトラブルは、かつてのFacebookで度々起きていたものと同種である。SNSサービスを提供する側からすれば、せっかく作ったのだから公開設定で使って欲しいという願いがあるのだろうし、作っている開発者は公開で当然という思い込みをしがちなのかもしれない。Facebookは、トラブルを繰り返した結果、米国連邦取引委員会(FTC)の厳しい監督下に置かれることになり、これまでにだいぶ改善されてきた。今では、プライバシー設定の画面が用意され、アカウント作成時にまずそこを確認するように促されるようになっている。

  • Facebook、プライバシー問題でFTCと和解, ITmediaニュース, 2011年11月30日

    米Facebookは11月29日(現地時間)、同社サービスのプライバシー設定をめぐる訴訟で、米連邦取引委員会(FTC)と和解することで合意したと発表した。

    合意の条件は、FTCが米Twitterや米Googleに提示したものとほぼ同じで、包括的プライバシープログラムの実施と、向こう20年間にわたる第三者機関による定期的(2年に1度)な査察の受け入れなどが義務付けられる。

「食べログ」も同様に、利用者への適切な案内が必要であり、誰かにそれを指導して欲しいところだ。しかし、残念ながら、日本にはそういうFTCが存在しない。今年1月、ようやく日本にも「個人情報保護委員会」が創設され、本来ならばこの委員会が、プライバシーコミッショナーとして、FTCと同様の役割を果たすことが期待されるところであるが、おそらく、そういうことはまだ5年は先のことになると思われる。

追記

地図の図(図11〜図13)を追加した。

本日のリンク元 TrackBack(0)

追記

最近のタイトル

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|
追記