契約者固有ID関係でいろいろ調査していた2月、私はウィルコムに対して、以下の質問を送った。
Date: 2010/02/18 06:52:07
Subject: 個人情報保護と公式サイト掲載基準についての公開質問WILLCOMの個人情報保護方針についてお尋ねします。
http://www.willcom-inc.com/ja/service/contents_service/create/uid/index.html
の説明によれば、> 公式サイト向けに個体識別情報の送出を行っておりますが、一般サイト向けに
> は個体識別情報を送出は行っておりません。とのことで、「個体識別情報を受け取るためには申請が必要」とあり、「審査
基準は公式サイト掲載基準と同等」とあります。そこで「公式サイト掲載基準」
http://www.willcom-inc.com/ja/service/contents_service/create/publish/index.html
を参照してみますと、以下の条件が掲げられています。> ■ 個人情報の取り扱いについて
> ・「個人情報の保護に関する法律」に従い、コンテンツ提供会社が責任をもっ
> て管理することこれを踏まえてお尋ねしたいのですが、「個体識別情報(UID)」は、個人情報
保護法における個人情報に該当するのでしょうか。つまり、「公式サイト掲載基準」を満たして申請が受理され、「個体識別情報
(UID)」の送出が開始された場合、サイト側で受信する「個体識別情報(UID)」
は、個人情報保護法における個人情報として扱わなければならないという意味
でしょうか。以上の点、お尋ねします。
これに対する回答を、3月18日に頂いた。回答の内容は以下のものであった。
■弊社回答
ウィルコムが送出する個体識別情報(UID)そのものからは特定の個人を識別できませ
ん。
しかし、弊社が管理している個体識別情報(UID)がどの契約者に割り振られているか
に関する情報(以下「照合情報」といいます)と照合することにより、
個体識別情報(UID)から特定の個人を識別することができます。
このため、照合情報を管理している弊社にとって、個体識別情報(UID)は、個人情報
保護法における個人情報に該当すると解しております。しかし、サイトの運営者であるコンテンツプロバイダー様(以下「CP」といいま
す。)は、照合情報を有していないため、
CP側で受信する個体識別情報(UID)から特定の個人を識別することができません。
このため、CPにとって、個体識別情報(UID)は、個人情報保護法における個人情報に
は該当しないと解しております。なお、個体識別情報(UID)は、弊社にとっては個人情報保護法における個人情報であ
ることから、CPに対しても、個人情報保護法に従った慎重な取扱いを求めています。
これは、NTTドコモとは違った見解になっている。NTTドコモは、iモードIDは個人情報保護法のいう個人情報には該当しないという立場を明らかにしている。
ドコモがコンテンツ会社に情報提供するのは、携帯の電話番号ごとに付与される「iモードID」と呼ばれる識別番号。電話番号とは異なる英数字の組み合わせで構成。「氏名やメールアドレスは含まれておらず、個人情報開示には当たらない」(ドコモ)という。
一方、7年前に旧ツーカーセルラー東海(現KDDI)に問い合わせて得た回答*1は、以下のものであった。
サブスクライバーIDは、モバイルインターネットをより快適にご利用いただけるよう、お客様の利便性を高めることを第一の目的として提供してきたものです。
それ自体は、単なる文字、数字及び記号の羅列であって、それによって個人を特定できる情報ではありませんので、コンテンツプロバイダー(以下「CP」)への提供自体に問題はないと考えております。
それを取得したCPが個人情報と結びつける等、CP側の管理方法によっては、相対的なものとして個人を特定できる情報になり得ることは認識しておりますが、この場合、当該CPがその収集した個人情報に対する管理責任を果たすべきだと考えております。
しかしながら、ご指摘のような悪意のCPが違法に当該情報を利用する事態も想定されることから、ユーザ保護の観点からは、その利便性とのバランスも勘案しつつ対策を検討していく必要があると感じております。
EZwebサーバーを実際に管理・運営しているKDDIにおいてもご指摘の事象については認識しており、その対策について検討を行っていると聞いております。状況ご斟酌頂き、何卒ご理解賜りますよう宜しくお願いいたします。
ツーカーの回答を今改めて読みなおしてみると、個人情報に該当しないとまでは言っておらず、もしかして、ウィルコムと同様の見解がありながら回答したものだろうかとも思えてくるが、それはともかくとして、もし、ウィルコムのように、契約者固有IDはキャリアにとって個人情報に該当するという法解釈を採用すると、NTTドコモやKDDIらは、個人情報を任意のWebサイトに自動送信していることになり、個人情報保護法違反の疑い*2が出てくる。
なお、ウィルコムの「弊社にとって個人情報」という考え方は、一昨年10月の越後湯沢ワークショップで「日本のインターネットが終了する日」の講演をした際に、会場から新潟大学の鈴木正朝教授より頂いたご指摘、「キャリアにとっては個人情報である」という見解と同じである。つまり、NTTドコモはiモードIDと契約者情報の対応表を持っているわけで、iモードIDはNTTドコモにとっては、個人情報保護法のいう「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」に該当するというわけだ。
また、先日、3月13日に書いた日記に対し、明治大学の夏井高人教授より、「「「iモードID」は日本の個人情報保護法の定義する「個人情報」には当たらない」との見解は半分正しく半分は誤り」というご指摘を頂いており、次のように書かれている。
この記事を読んでいたら,「「iモードID」は日本の個人情報保護法の定義する「個人情報」には当たらない」との見解が存在することを知った。(略)
まず,NTTドコモは,iモードIDを他の情報と容易に照合して個人識別をすることが可能なので,iモードIDは,NTTドコモにとっては明らかに個人情報に該当する。これ以外の見解は成立し得ない。(略)
「「iモードID」は日本の個人情報保護法の定義する「個人情報」には当たらない」との見解は半分正しく半分は誤り, Cyberlaw サイバー法ブログ, 2010年3月13日
個人情報に該当するとみなすべきなのか、該当しないとみなすべきなのか。私はどちらも支持しない。
この問題がやっかいなのは、技術的実現手段の多様性を踏まえないで、単なる現行法の法解釈論で処理しようとすると、結局、守られるべきものが守られない結論に陥ってしまう点にある。
もし、「通信キャリアにとっては個人情報」という立場をそのまま採用すると、IPアドレスをアクセス先に伝えることも個人情報保護法違反になってしまい*3、それではインターネットのシステムが立ち行かなくなってしまうので、法務上の対応として何らかの利用者との契約による回避策をとることになると考えられるが、それが認められるなら、同様に契約者固有IDについても認められることになってしまい、単に消費者をよくわからないままに同意させて、法律上は解決したことにするなどという結果に終わるだろう。
不利益がいつ生ずるかの実際的観点からすれば、問題は、IDを誰かに渡すときに、渡した相手が個人識別性を持ち得るか否かにあるのであって、IDを渡す側にとって個人情報に該当し得るかどうかはどうでもよい。それなのに、現行の個人情報保護法を愚直に解釈すると、渡す側の個人識別性で判断することになるのだという。これは法の不備とみなすべき事態であって、どちらの解釈も容認するべきではない。
実際、夏井先生から頂いたコメントでは、現行法の解釈では以下のケースが個人情報に該当しないという。
しかし,NTTドコモ以外の事業者がiモードIDを何らかの識別子として利用している場合であっても,他の情報と容易に照合して個人識別できない場合には,iモードIDは,そのような事業者にとっては単なる識別子なのであって個人情報ではない。
「「iモードID」は日本の個人情報保護法の定義する「個人情報」には当たらない」との見解は半分正しく半分は誤り, Cyberlaw サイバー法ブログ, 2010年3月13日
そんなことでは、私たちのプライバシーは蔑ろにされてしまう。つまり、iモードIDに紐付けて大量に蓄積された一人一人の誰かの嗜好情報が、個人情報に該当しないとなれば、売買自由ということになってしまう*4のであり、これは法の不備である。
なすべきことは、技術的実現手法を踏まえて、プライバシーリスクの高いIDと低いIDを分類した上で、その法的な扱いを区別することである。
これについては、今後ともいろいろな方法で取り組んでいきたい。
ところで、「弊社にとって個人情報」との見解を示した、ウィルコムの行いはどうなのか。
ウィルコムの場合、UIDの送信先が、公式サイト(およびそれに準ずる者)に限られていることから、「顧客はそれについて黙示の同意をしている」という扱いなのだろうか。
たしかに、ケータイの公式サイトでは、ユーザ登録をしていないのに初めからユーザが識別されるものであるわけで、何らかのIDが自動送信されていることは必然であり、黙示の同意があると言えてしまうのかもしれない。*5
しかし、顧客には、どこの事業者が公式サイトを運営しているのかは知らされていない。どの事業者を公式サイトと認定するかは、ウィルコムが勝手に決めていて、顧客の与り知らぬところで決定されている。そのような状況で、はたして、ウィルコムが勝手に決めている公式サイトのそれぞれに個人情報を自動送信することについて、黙示の同意があると言えるだろうか?
しかも、ウィルコムが公開している「公式サイト認定基準」は、あくまでも基準であって、ずいぶんとおおざっぱな記述になっている。
キャリアが公式サイトを認定するとき、キャリア事業者は、公式サイト運営事業者と何らかの契約をするのではないかと思われるが、その契約内容しだいでは、人々は個人情報送信について同意しないことだってあり得ると思うがどうか。
ウィルコムの場合、どんな条件の契約(守秘義務など)が交わされているのかが公開されていないので、私たちは判断することができないでいる。それなのに、「黙示の同意がある」と言えるのだろうか?
今回の問い合わせに対し、ウィルコムは、「CPに対しても、個人情報保護法に従った慎重な取扱いを求めています」と回答した。しかし、「CPにおいては個人情報にはあたらない」というのであるから、CP事業者に個人情報保護法は適用されないわけで、ウィルコムが「個人情報保護法に従った慎重な取扱いを求めています」と言ったところで、それが契約に基づいた「求め」であるのか、それとも単なる希望的お願いにすぎないものなのか、そういったことが不明だ。
このあたりの疑問を解消するため、引き続きウィルコム社に対して問い合わせを続けていきたい。
*1 当時、ツーカーセルラー東海は、EZwebに関するこの質問を、KDDIと相談のうえで回答してきている。
*2 実際、2001年の「次世代移動体通信システム上のビジネスモデルに関する研究会」報告書では、以下のように「原則違法」と書かれていた。
「個人情報の保護に関する法律案」の下では、ユーザの個人情報を、その「同意」を得ずに通信キャリアがコンテンツプロバイダ等に提供することは原則違法である。ユーザIDは、同法律案の個人情報に該当することから、ユーザの「同意」なしにはコンテンツプロバイダ等に提供できない性格の情報である。
*3 ISPは、IPアドレスと契約者情報の対応表を持っているので、ISPにとっては個人情報ということになるから。
*4 このことについては、「行動ターゲティング広告はどこまで許されるのか」の2ページ目にも書いている。
*5 ちなみに、NTTドコモが、iモードで公式サイトにNULLGWDOCOMOでID送信を始めた1999年の時点では、個人情報保護法はまだ存在していなかった。