高木浩光＠自宅の日記

■ KDDIの固体バカが言う「EZ番号はプライバシーに関する情報ではない」

これまで、契約者固有ID（サブスクライバID）について、それ単体では「個人情報」（日本の個人情報保護法が言う）に該当しないという法解釈は存在した。それは、個人情報保護法がそういう法律だから（プライバシー保護の法律じゃないから）そういうものだという話*1だった。それでも、4月3日の日記にも書いたように、ウィルコムからは、「CPに対しても個人情報保護法に従った慎重な取扱いを求めています」という回答を得ていた。

ところが、auのKDDIが、以下のQ&Aを掲載していることに気づいた。

• EZ番号（固体識別番号）を変更したい。, auお客様サポート よくあるご質問
  

  図1: KDDI曰く「EZ番号は、プライバシーに関する情報は含まれておりません」

  「EZ番号」（固体識別番号）はau電話ごとに割り振られており、変更することができません。

  ■EZ番号はお客さまがURLにアクセスした際にサイト提供元のサーバに通知され、会員のアクセス管理などに利用されますが携帯電話番号やメールアドレス、氏名などのプライバシーに関する情報は含まれておりませんのでご安心ください。

これは新しい。個人情報保護法の「個人情報」には当たらないというのは耳にタコだが、プライバシー情報じゃないという見解は初めて見た。KDDIの法務はいったいどうなっているのか。

もっとも、「個体識別」のことを「固体識別」と書くような頭の弱い人が書いた文章なので、そもそもこれを真に受けるのが間違っているのかもしれないが。*2

ちなみに、総務省の「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会第二次提言（案）」には、契約者固有IDに関する法的検討がなされていて、個人情報保護法に関する検討の部分で、p.41の脚註44に、以下のように書かれている。

契約者固有IDについては、複数のコンテンツプロバイダに対して同一の契約者固有IDが送出されるため、各コンテンツプロバイダが保有するウェブページ上の行動履歴や位置情報を、同一IDに紐付けて集積することが極めて容易との指摘がある。また、各コンテンツプロバイダにとっては、契約者固有IDを、契約者情報等の個人情報と紐付けることが容易に可能であり、同一の契約者固有IDに紐付けて集積されたウェブページ上の行動履歴等が比較的容易に個人識別性を獲得するとの指摘がある。

利用者視点を踏まえたICTサービスに係る諸問題に関する研究会第二次提言（案）

また、プライバシーとの関係について検討されているp.45においても、次のように書かれている。

ウェブページ上の行動履歴や位置情報は、一般にそれ単独では個人識別性を有しないため、特定個人のプライバシーの侵害が成立しないとの指摘がある。（略）しかしながら、個人識別性のない情報であっても、行動履歴等の情報が大量に蓄積されて個人が容易に推定可能になるおそれがあることや、転々流通するうちに個人識別性を獲得してしまうおそれがあることから、現時点で情報に個人識別性がないことをもって、プライバシーとしての保護が完全に失われると考えるのは相当でない。

利用者視点を踏まえたICTサービスに係る諸問題に関する研究会第二次提言（案）

ところで、図1をよく見ると、「このQ&Aを見た方はこんなQ&Aも見ています」のところに、次のQ&Aがある。

• 迷惑メールに記載されたURLからサイトに接続したら、そのサイトのページに利用している電話番号やメールアドレス、EZ番号が表示されたが、ケータイの情報が抜き取られたのか? , auお客様サポート よくあるご質問
  

  図2: KDDI曰く「そのURLへのアクセス者の情報が判別できるという手口です」

  これは、お客さまが受信した迷惑メール内のURLに、お客さまの携帯電話の情報 (電話番号、メールアドレス、EZ番号 (注 1)) とくくりつけられる識別番号が含まれており、そのURLへのアクセス者の情報が判別できるという手口です。
  対策としましては、送信者が不明なメールに記載されているURLには、安易にアクセスしないことが一番です。

  (*) サイト上でお客さまのEZwebのご契約の有無を確認するための専用の番号

それって、EZ番号から電話番号を特定されるってことじゃないの？

KDDI曰く「安易にアクセスしないことが一番です。」
KDDI曰く「URLにアクセスした際にサーバに通知され……ますが……ご安心ください。」

どっちなんだ。