高木浩光＠自宅の日記

■ 教育情報ナショナルセンターのその後

2月22日の日記に、小学生や園児にまで住所を入力させている話、IDとパスワードを他人と共同利用することを是認している話、安易なパスワードリマインダ利用を助長している話を書いた。

その後、このサイトは次の点が変更されていたようだ。

• 「キッズ」から「園児」がなくなり、小学生以上がユーザ登録の対象となった。
• キッズの登録画面は、「新規(しんき)ユーザ登録(とうろく)は保護者(ほごしゃ)の方(かた)や先生(せんせい)と一緒(いっしょ)にしましょう」という画面になった。
• パスワードリマインダの設定方法についての説明、「質問を「好きな食べ物は？」にしたとすると、答えは「カレーライス」のようにするとよいですよ」という危ない誘導は削除された。

しかし、現在もなお中学生に個人情報を提供させているし、パスワードリマインダは廃止されていない。

たとえば、先月経済産業省が公表した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を参照してみると次の記述がある。

法第１７条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

個人情報取扱事業者は、偽り等の不正の手段により個人情報を取得してはならない。 なお、不正の競争の目的で、秘密として管理されている事業上有用な個人情報で公然と知られていないものを、詐欺等により取得したり、使用・開示した者には不正競争防止法（平成１５年法律第４６号）第１４条により刑事罰（３年以下の懲役又は３００万円以下の罰金）が科され得る。

事例１） 親の同意がなく、十分な判断能力を有していない子供から家族の個人情報を取得する場合

事例２） 法第２３条に規定する第三者提供制限違反をするよう強要して個人情報を取得した場合

事例３） 他の事業者に指示して不正な手段で個人情報を取得させ、その事業者から個人情報を取得する場合

経済産業省, 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン

これは「経済産業分野」を対象としたガイドラインなので、教育分野では事情が異なるのかもしれないが、それは別にして、一般に、中学生は、個人情報を提供するにという行為において、十分な判断能力を有しているといえるだろうか。

次に、パスワードリマインダの話。

パスワードリマインダといえば、11月23日にも、東京都の電子申請システムの杜撰なパスワードリマインダのことを書いた。その後、このリマインダ機能は削除されたようだ。

また、同じ日に gooのリマインダのことも書いていたが、gooからも古いタイプのリマインダーは削除されたようだ。

よい傾向である。

その一方で、教育情報ナショナルセンターは、パスワードリマインダを廃止していない。「「カレーライス」のようにするとよいですよ」と書いていた危ない誘導は削除され、

パスワードを確認するための合言葉(質問と答え)

どのように入力すればいいのですか？

質問と答えはセットで考えてください。
他人から容易に推測できないようにしてください。
例えば、生年月日、電話番号などは他人に知られやすいので使わないでください。

教育情報ナショナルセンター, ユーザ登録

という説明に変更されているが、過去に「カレーライス」という誘導に影響されて、「カレーライス」で登録してしまっていた児童、生徒達のリマインダはそのままになっているのではなかろうか。

教育情報ナショナルセンターは、「「カレーライス」のようにするとよいですよ」と書いていたことの危険性を認めるのであれば、以下の調査を行って適切な対応をとった上、調査結果を発表してはどうだろうか。

• 合言葉の質問に「好きな食べ物は？」を登録していたユーザの割合
• さらに、答えに「カレーライス」を登録していたユーザの割合

教育学上の有益な資料となるはずだ。

ところで、このようなサービスにどうして住所を登録する必要があるのかわからないので、意見送信画面から、

ソフトウェアのダウンロードにあたって個人情報の登録が必要な理由を教えてください。

という質問を送ってみたのだが、自動応答メールにはこう書かれていた。

このメールに対[たい]する返答[へんとう]はいたしません。あらかじめご了承[りょうしょう]ください。

個人情報取扱事業者なのに、連絡先となる電話番号等がどこにも書かれていない。「NICERへのご意見について」というページに、住所とセンター長の氏名が書かれているだけになっている。

■ 質問文が公開仕様のパスワードリマインダに注意せよ

教育情報ナショナルセンターのユーザ登録画面に、「パスワードを忘れたら？」というコーナーがある。そこには、

ログイン名を入力し、「合い言葉を表示」ボタンを押してください。

と書かれている。

つまりこれは、任意のユーザ名を入力してボタンを押すと、その人のリマインダの質問文を表示するという機能である。すなわち、公開プロフィール表示機能と同等である。

一般に、ユーザ名それ単体では、不正アクセス禁止法2条2項の「識別符号」にはあたらないと考えられる。なぜなら、識別符号とは、「当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号」等と定義されているからである。

第二条

２　この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者（以下「利用権者」という。）及び当該アクセス管理者（以下この項において「利用権者等」という。）に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。 　

一　当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号

二 （略）

三 （略）

不正アクセス行為の禁止等に関する法律

したがって、質問文が公開される仕様となっているパスワードリマインダに対して強制的に質問文を登録させられる（リマインダへの登録を拒否できない）サイトを利用するときは、質問文に、人に知られたくないような内容の文を登録しないように自衛する必要がある。公開プロフィールだと思って書くとよい。

なお、当然ながら、リマインダの答えは、ユーザ名とセットになることで「みだりに第三者に知らせてはならないものとされている符号」となり、識別符号にあたるであろうから、他人のユーザ名を入力したうえ、他人のリマインダの答えを入力する行為は、不正アクセス禁止法第3条2項1号違反行為になるであろう。

それらの行為は違法である可能性が高かったり、倫理的にも悪いことと考える人が多いであろうし、そのような行為に正当性はないので、やってはいけない。