7月9日の日記「ツーカーセルラー東海に期待」に書いた、ツーカーセルラー東海*1に対するサブスクライバーIDに関する問い合わせに対し、回答書が送られてきた。その内容は以下の通り。(「2002年」となっているのは原文のまま。)
2002年8月1日高木様株式会社ツーカーセルラー東海
お客さまセンター拝啓 季夏の候、時下ますますご清祥の段、お慶び申し上げます。
平素はひとかたならぬ御愛顧を賜り、厚く御礼申し上げます。
先般は、サブスクライバーIDについてのお問い合わせをいただきまして、ありがとうございました。お問い合わせについて、関係部署と相談を致しました結果を以下のとおり回答させていただきます。
サブスクライバーIDは、モバイルインターネットをより快適にご利用いただけるよう、お客様の利便性を高めることを第一の目的として提供してきたものです。
それ自体は、単なる文字、数字及び記号の羅列であって、それによって個人を特定できる情報ではありませんので、コンテンツプロバイダー(以下「CP」)への提供自体に問題はないと考えております。
それを取得したCPが個人情報と結びつける等、CP側の管理方法によっては、相対的なものとして個人を特定できる情報になり得ることは認識しておりますが、この場合、当該CPがその収集した個人情報に対する管理責任を果たすべきだと考えております。
しかしながら、ご指摘のような悪意のCPが違法に当該情報を利用する事態も想定されることから、ユーザ保護の観点からは、その利便性とのバランスも勘案しつつ対策を検討していく必要があると感じております。
EZwebサーバーを実際に管理・運営しているKDDIにおいてもご指摘の事象については認識しており、その対策について検討を行っていると聞いております。状況ご斟酌頂き、何卒ご理解賜りますよう宜しくお願いいたします。
敬具まずは、「KDDIにおいてもご指摘の事象については認識しており、その対策について検討を行っていると聞いております。状況ご斟酌頂き、」とされている点を評価したい。「今すぐやめよ」と言っても無理であることは重々承知だ。重要なのは、こうしたシステム設計がダメであることを(少なくとも技術者と経営責任者の)皆が認識し、将来に同じような問題を生み出してしまうのを避けることである。
しかし、この回答書は、私の質問に答える形式になっていなかった。よくあることだが、個別の質問に答えるのを避けて、自らの主張をに述べるだけということがよくある。そうならないためには、質問を Yes / No 形式で示せばよい。今回も Yes / No 形式で質問したのだが、無視されてしまった。
お客さまセンターに再度電話し、1か月前の私の質問がどうなっていたかを確認したところ、以下のようにしっかりと箇条書きの文章としてセンターに記録されていた。
(1) サブスクライバーIDは個人情報であるか。
(2) コンテンツプロバイダーとの契約において、サブスクライバーIDは個人情報であるので、厳重に管理し外部に漏らさないとの契約はあるか。
(3) 非公式サイトに対してサブスクライバーIDを送信するのはプライバシーの問題があるのではないか。
(4) 非公式サイトへのサブスクライバーIDの送信を止める機能はあるか。EZweb@mail を一旦削除して登録しなおす方法以外に、サブスクライバーIDを変更する方法はあるか。
(1)と(3)については回答を得られたと言える。(1)については、
個人を特定できる情報ではありません
とあるので、「個人情報ではない」という回答だ。(3)についても、
コンテンツプロバイダー(以下「CP」)への提供自体に問題はないと考えております
とあるので、「問題ない」という回答だろう。ただし、(問題はないが)対策を検討しているということのようだ。
これに対し、(2)と(4)の回答は得られなかった。
(2)は、質問にミスがあった。「サブスクライバーIDは個人情報であるので」という前提付き質問なので、前提が否定されたため回答されなかったのかもしれない。改めて、コンテンツプロバイダとの契約について尋ねておいた。
公式コンテンツプロバイダと通信事業者の間の契約には、エンドユーザ(消費者)の個人情報に関わる何かしらの契約条項があるのではないかと考えられる。あるのであれば、通信事業者は、消費者に対して、コンテンツプロバイダとの契約内容を開示する義務があるのではないか。そのような契約がないのであれば、「ない」ことを開示してくれればよい。
(4)について回答してくれなかったのはちょっと理解できない。質問しているだけなのだから、「そのような機能はありません」と回答してくれればよい。ましてや、「プライバシーの問題」はないという回答なのだから、「そのような機能はありません」と答えるのをためらう理由はなかろう。
■ サブスクライバIDは法律でいう「個人情報」に該当するか
ツーカーセルラー東海の回答では、
それ自体は、単なる文字、数字及び記号の羅列であって、それによって個人を特定できる情報ではありません
となっているが、これを、行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律 第二条と比べてみると、
当該情報に含まれる氏名、生年月日その他の記述又は個人別に付された番号、記号その他の符号により当該個人を識別できるもの
とあり、数字や記号が「個人情報」となるかが両者の間で違っている。後者では「個人別に付された番号」とあり、サブスクライバーIDが「個人別に付された番号」であることは自明であるが、前者では「個人別に付された」という事実があえて書かずにおかれている。
検索してたまたま見つけたのだが、自由民主党本部のプライバシーポリシーには次のように書かれている。
個人情報とは、以下の情報により特定の個人を識別できるものをいいます。
- 氏名、年齢、性別、住所、電話番号、職業、メールアドレス
- 個人別に付与されたID、パスワード、その他の記号など
- その情報のみでは特定の個人を識別できないものの、他の情報と容易に照合することができ、これにより特定の個人を識別できるもの
「個人別に付与されたID」が自由民主党本部では明確に個人情報として扱われている。誰が付与したものかを限定していないので、携帯電話から自民党本部Webサイトへのアクセスで送られてくるサブスクライバーIDも、自民党は個人情報として扱うことを約束していることになる。
昨日の日記に書いたように、民間をも対象とした個人情報保護法では、「個人別に付された番号」の記述はなくなっており、他の情報との照合についても、営業の自由への配慮から、「容易に」という要件が加わっているのであるから、ツーカーセルラー東海の回答が法律に反しているとは直ちには言えない。「容易に照合する」ことができるかどうかが焦点となる。
ツーカーセルラー東海の回答では、
それを取得したCPが個人情報と結びつける等、CP側の管理方法によっては、相対的なものとして個人を特定できる情報になり得ることは認識しておりますが、この場合、当該CPがその収集した個人情報に対する管理責任を果たすべきだと考えております。
とあるが、ここで言う「管理責任」とは何に対するどのような管理のことだろうか。
「サブスクライバーIDを個人情報と結びつける」というのは、コンテンツプロバイダが別の手段(そのサイトにおけるユーザ登録など)で個人情報を持っていて、それにサブスクライバーIDを結びつける行為を指しているだろう。そして、「当該CPがその収集した個人情報に対する管理責任を」というのは、コンテンツプロバイダが元々収集している個人情報の管理責任を負っているはずだということなのだろう。
つまり、個人情報と結び付けない状態のサブスクライバーIDは、コンテンツプロバイダにも管理責任がないということだ。なにしろ、通信事業者でさえ個人情報でないとする情報なのだからコンテンツプロバイダがそれを個人情報として扱わされるいわれはない。
すなわち、例えば、アクセスしたという事実そのものが私事性を持つようなサイトが、アクセス者のサブスクライバーID(およびアクセス先内容も含む場合がある)リストを売却していても、違法性がないことになる。
違法性がないことから、「誰だかわからない状態」のままサブスクライバーIDと、そのIDの人の無数のサイトにおけるアクセス行動が集積されることが起こり得る。誰でもそれを購入できたり、無料でダウンロードできる事態にさえなるかもしれない。
あとは、どこか一箇所でも、個人情報とサブスクライバーIDの対応リストを漏らすと、その集積情報が誰のものであるかが、誰にでもわかる事態となるのだが、管理責任があるのはその漏らしたサイトだけだということを、ツーカーセルラー東海の回答は語っている。そのときの、漏らした事業者の損害賠償額はどうやって見積もられるのだろうか。
また、誰も、個人情報とサブスクライバーIDの対応リストを漏らさなかったとしても、正規の理由で個人情報を預かっている者は、上の集積情報が誰のものなのかが容易にわかる。消費者がそのサイトを信用して個人情報を預ける際に、そこまでの集積情報が相手に渡ることをはたして予想しているだろうか。
さらに次の場合はどうだろうか。7月8日の日記「とうとうsubscriber IDの収集が始まったのか?」に書いた、無差別迷惑メール業者が、あてずっぽうのメールアドレスにspamメールを送って、メール中のID付きURLにアクセスしてきた消費者のサブスクライバーIDを収集するケースを考えてみる。
この場合、この業者は、メールアドレスを収集したわけではない。メールアドレスが個人情報保護法で言う個人情報に当たるか否かも議論の余地があるようだが、仮に収集したメールアドレスが個人情報だとしても、この迷惑業者は、消費者からメールアドレスを収集したわけではなく、ランダムに文字列を生成したにすぎない。ということになると、この業者が、メールアドレスのような文字列と対応するサブスクライバーIDのリストを売却することは、違法性がないことになるのではないか。
ツーカーセルラー東海の回答には、
しかしながら、ご指摘のような悪意のCPが違法に当該情報を利用する事態も想定されることから、ユーザ保護の観点からは、その利便性とのバランスも勘案しつつ対策を検討していく必要があると感じております。
とある。あくまでも違法に利用される事態が起きるなら対策を検討する(「俺たちの責任じゃないけどね」という意味)とされており、違法でない事態への対策については述べられていない。
これでよいのだろうか?
*1 つくば市在住なのになぜ「東海」なのかというと、東海地方に住んでいた7年前に契約した電話番号をまだ使っているため。