最新 追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 2110   昨日: 3870

2012年04月08日

ローソンと付き合うには友達を捨てる覚悟が必要

当初3月末開始とされていた「LAWSON Wi-Fi」が、なぜか「当初の計画より事前テストに時間を要したため」として、遅れて4月6日から開始されたのだが、早速Twitterでこんな指摘が出ていた。

画面キャプチャ
「ローソンアプリ」における「Pontaログイン」の画面についての指摘(6日19時20分)

少なくともこういうのを「ログイン」と呼ぶのはやめて頂きたい。金融機関などでは、暗証番号に電話番号や誕生日を使うのをやめるよう利用者を啓発する活動にコストをかけてきたが、そうした労力を台無しにする。ローソンとしては、無料の無線LANを使わせるくらい、本人確認が甘くても自社の問題だから許されると思っているのだろうが、こういうやり方が社会に悪弊をもたらすことに気付いていないのか。

今回は、前回の日記で取り上げた「PASMOマイページ」の問題とは違って、「ログイン」で電話番号と誕生日を使用している。一般に、不正アクセス禁止法では、このような、IDと電話番号や誕生日の組み合わせで入らせるものは、アクセス制御機能に該当しないとしている*1のだから、こういうのを「ログイン」と呼ぶべきでない。

アクセス制御機能は、入力された「識別符号」を確認して利用制限の解除をするものと規定されており、電話番号や誕生日はこの識別符号に該当しない。識別符号の定義は以下の条文の通りとなっており、識別符号に該当するためには、「当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号」又はそれを組み合わせたものでなければならない。

2 この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者(以下「利用権者」という。)及び当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。

当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号

二 (略)

三 (略)

不正アクセス行為の禁止等に関する法律(平成11年法律第128号)

この規定は一般的な意味でのパスワードを条文で定義したものであり、いちいち管理者が「みだりに第三者に知らせてはならない」と注意書きしなくても、「パスワード」という語を用いていれば、社会一般の者が「パスワード」と言われればそのようなものと考える状況があるので、識別符号に当たることになる。電話番号や誕生日はそれに該当しない。

ところがである。試しにこの「ローソンアプリ」をダウンロードして、上の図1の画面を確認したところ、「利用規約」ボタンで表示される規約にとんでもないことが書かれていた。誕生日・電話番号をみだりに第三者に知らせてはならないとする規定があるのだ。

画面キャプチャ 画面キャプチャ
図2: 「Ponta会員ローソンアプリ利用規約」

【利用停止について】
ローソンは、以下の場合に、事前に通知することなくお客様の利用を停止する場合があります。

1) 利用規約に定められている事項に違反した場合、またはそのおそれがあるとローソンが判断した場合。(略)

【禁止事項】
ローソンアプリの利用に際しては、以下の行為を禁止します。

1)(略)

10) 手段のいかんを問わず他人からIDや電話番号・誕生月日を入手したり、他人にIDや電話番号・誕生月日を開示したり提供したりする行為。

Ponta会員ローソンアプリ利用規約

なんと、他人に誕生日・電話番号を知らせたら規約違反だというのだ。加えて、他人の誕生日・電話番号を入手することも禁止だという。相手がPonta会員でなくてもだ。しかも「手段のいかんを問わず」という。

前回の日記の冒頭で、「僕らはいったいいつから誕生日を隠さなくちゃいけなくなったんだろう」と皮肉を書いたばかりだったが、とうとうローソンが本気で誕生日を隠せと言い出した。電話番号もだ。ローソンアプリを使う人は、友達を捨てる覚悟をしなくてはならない。

ローソンがこんな非常識極まりない利用規約を置いたのは、なりすまし被害が起きたときに、責任が自分の身に降り掛かってくるのを避けるためだろう。つまり、誕生日・電話番号の秘密管理を怠った利用者が悪いとするためにローソンはこの規定を置いたということだ。

仮に誕生日・電話番号がバレバレでも「Ponta ID」(Ponta会員ID)の方が秘密になっていれば大丈夫、と思われるかもしれないが、なんと、ローソンで買い物をしたときのレシートには、Ponta会員IDがそのまま印字されているという。

画面キャプチャ
図3: ローソンのレシートにPonta会員IDが印字されている様子(有志提供

他にも、ローソンアプリで、一度ログインした人はそれ以降、トップ画面にPonta会員IDが常時全桁表示されるようになっている。

つまり、利用者にはPonta会員IDを隠せ、誕生日・電話番号まで隠せと言っている一方で、ローソン自身はPonta会員IDを隠そうともしない。

あまりにも身勝手なやり口ではないか。

ローソンが勝手にこんな規定を置こうが、社会通念からして、誕生日・電話番号は識別符号になり得ない。アクセス制御機能による利用制限があるとは言えない。なりすまし被害が出て、ローソンが警察に助けを求めても、取り合ってもらえるものではない。

それどころか、ローソンは逆に、警察に叱責・指導されることとなるだろう*2。なぜなら、不正アクセス禁止法には、「アクセス管理者による防御措置」という規定があり、アクセス管理者にも努力義務があるのだ。

(アクセス管理者による防御措置)
第五条 アクセス制御機能を特定電子計算機に付加したアクセス管理者は、当該アクセス制御機能に係る識別符号又はこれを当該アクセス制御機能により確認するために用いる符号の適正な管理に努めるとともに、常に当該アクセス制御機能の有効性を検証し、必要があると認めるときは速やかにその機能の高度化その他当該特定電子計算機を不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとする

不正アクセス行為の禁止等に関する法律(平成11年法律第128号)

Ponta会員IDを規約で識別符号扱いとしながらレシートに印字して隠さないというのは、何らの努力もしていないのが明白である。

ローソンとしては、Ponta会員IDをなりすまし使用されるくらい大した被害が出るわけじゃない(だからこれでいい)というつもりかもしれないが、そうであるなら、誕生日・電話番号の入力を取っ払って、身勝手な規約規定を撤廃するべきだろう。つまり、以下のような画面にしたらいい。

画面キャプチャ
図4: Ponta会員IDだけを用いた方式(案)

クレジットカード同様、損害をローソン側が補償するならこの方式でもよかろう。これで本当に大丈夫なのかは利用者が判断できる。

ところで、問題はこれだけではなかった。

このローソンアプリ、利用規約の「利用記録の保存」のところに書かれているように、IMEIを送信するものとなっている。(さらには、IMSIまで送信すると書かれている。)

画面キャプチャ
図5: ローソンアプリが端末識別番号と契約者識別番号を取得するとした利用規約

昨年、AppleがUDIDの使用禁止を打ち出し、先月、App StoreでUDID使用アプリの拒絶を開始したというこの状況で、ローソンはIMEIやIMSIを送信するという。

  • ご注意! プライバシーへの懸念の高まりを受けてAppleはデバイスIDにアクセスするアプリを拒絶し始めた, TechCrunch, 2012年3月26日(原文記事は24日付)

    オンラインのプライバシー問題に関して議会がさらに厳しい視線を向ける中、Appleは今週からUDIDにアクセスするアプリを拒絶し始めた。UDIDというのはiPhoneとiPadに割り当てられた1台ごとに異なるデバイスIDだ。

    6ヶ月以上前からAppleはこの点についてiOS関連の文書中で、将来UDIDを無効にする予定だとしてデベロッパーに注意を喚起していた。 しかしプライバシー問題について議会やメディアの圧力が高まってきたことを受けてAppleはスケジュールを前倒ししたようだ。

  • 公衆無線LANサービス「LAWSON Wi-Fi」本日開始, ローソン ニュースリリース, 2012年4月6日

    <当初、2012年3月末サービス開始とご案内しておりましたが、当初の計画より事前テストに時間を要したため、4月6日(金)サービス開始とさせていただきました>

    「ローソンアプリ」(Androidのみ※4。iPhone端末には2012年5月ころ対応予定)をお持ちのスマートフォンにインストールし、(略)

ローソンアプリの今回の「LAWSON Wi-Fi」対応がAndroid版だけで、iPhone版については「5月ころ対応予定」となっているのは、UDID問題への対応に苦慮しているためではないかと疑われるが、そうであれば、やってはいけないとされていることをやっているという自覚があるはずで、あえて踏み切ったということなのか。

しかももっと悪いことに、送信されているのは、利用規約に書かれているIMEIとIMSIだけではなかった。実際に通信内容を確かめたという有志による報告によると、その他に、Android IDと、SIMシリアル番号まで盗っているという。

画面キャプチャ
図6: ローソンアプリが無断でAndroid IDとSIMシリアル番号まで盗っている様子(有志提供)

送信しているのは以下の情報だという。

  • f1= 何かのトークン
  • i1= Android ID
  • h1= 機種名
  • w1= MACアドレス
  • c1= SIMのシリアル番号
  • m1= IMSI(契約者識別番号)
  • e1= IMEI(端末識別番号)
  • l1= アプリのバージョン
  • s1= 時刻

MACアドレスも送信しているが、これは公衆無線LANの自動接続機能を提供する限度で送信が許される(MACアドレスの本来の使い方*3)唯一のもので、それ以外の、Android ID、IMEI、SIMのシリアル番号、IMSIは全く必然性がない。(特に、IMSIは契約者識別番号であり、端末の情報ではなく個人の情報である。)

ここまで数々のIDを根こそぎに送信するアプリは初めて見た。取れるだけ盗っておけという調子で、悪質極まりない。

ローソンからすれば、できるだけ多くのIDを取得すればセキュリティ強化になるとでも言うのだろうが、こうした端末IDや契約者IDがセキュリティ強化の意味を成すのは、これらの値が秘密にされている場合であって、他のサイトやアプリで使用されていないことが前提となる。ローソンは、他人には秘密にせよと言う一方で、自分だけはIDを取って使うというわけだ。なんという身勝手な態度だろうか。

利用規約に書いてあれば何でも許されるわけではないことは、これまでに何度もあちこちで言ってきた。そこは省略するが、それ以前の話として、そもそも、この利用規約の記述も嘘偽りが混じっている。

【利用記録の保存】

お客様がローソンアプリを利用した際、サーバが自動的に、アクセス日時、IPアドレス、位置情報、クッキー情報、Ponta会員ID、IMEI(携帯電話の固体《原文ママ》識別番号)IMSI(SIMの識別情報)等のログ情報を記録します

Ponta会員ローソンアプリ利用規約

ここで「サーバが自動的に記録」という記述があるが、この表現は元々、Webのアクセスログについてプライバシーポリシーに書くときの定型句で、Webブラウザが「自動的に」に送信してくる情報(ブラウザ名やOSバージョン、クッキー、IPアドレスなど)と日時を「自動的に」記録しますよという意味であって、送信自体はブラウザの仕様で決まっているものだった。そのこととIMEI、IMSIは異なる。IMEIやIMSIが自動的に送信されることなどない。

IMEIやIMSIの送信は誰の意図によって起きているのか。ローソンによってである。「ローソンの意図によって送信しますよ」ということが、この利用規約には書かれていない。「自動的に」などと、まるでひとりでに送信されるものであるかのような記述は、嘘偽りであり、まるで当然のことであるかのように利用者を錯覚させ、騙すものだ。

ちなみに、図1の画面で「プライバシーポリシー」のボタンを押した場合は、以下のWebページ(ローソンのプライバシーポリシー)が表示されるようになっているが、そこには、端末IDを収集することについて何ら書かれていない。

  • プライバシーポリシー|ローソン

    4.弊社は、お客様から個人情報を収集させていただく場合は、その個人情報を安全に送受信するため、Secure Socket Layer(SSL)というプロトコルにより暗号化して送信する環境を提供しております。また、弊社は、お客様より収集させていただいた個人情報を厳重に保管・管理し、第三者の不正なアクセスによる個人情報の漏洩・流用・改ざん等を防止するため、ファイアウォール設置・コンピュータウィルス対策、その他合理的なセキュリティ対策を講じています。

さらに、ここで引用したように、ボタンを押して出てくるローソンのプライバシーポリシーでは、SSLを使用していると明記されているが、ローソンアプリの図1の画面、つまり、Ponta会員IDと電話番号と誕生日は、SSLなしで http:// で送信されているのである。ローソンとしては、「これらは個人情報に該当しない」とでも言うつもりだろうか。会員に対しては人に開示するなと言っているのに?

しかも、「LAWSON Wi-Fi」の無線LANは、WEPすらかかっていない平文通信である(図7)*4。よって、パッシブな傍受だけでこれらの情報はすべて見えてしまう。何百メートルも離れた場所から。*5

画面キャプチャ
図7: 「LAWSON Wi-Fi」がWEPすらかけていない様子(有志提供

ところで、話はこれだけではない。

図1に見えているように、この「LAWSON Wi-Fi」のインターネット接続サービスを提供しているのは、株式会社ワイヤ・アンド・ワイヤレスだという。

そのプライバシーポリシーを見て仰天した。

個人情報保護の適用範囲

当社の提供するサービスにおいて当社が取得し、管理する個人情報は、以下のとおりとします。

  • お名前、郵便番号、住所、電話番号、性別、生年月日など
  • ID、パスワード、メールアドレス、通信履歴(位置情報含む)、クレジットカード情報、その他の課金情報、信用情報

株式会社ワイヤ・アンド・ワイヤレス | プライバシーポリシー

通信履歴を使うようなことが書かれている。続きを見ると次のように書かれている。

個人情報の利用目的

当社が提供するサービスを通じて取得した個人情報は、次の目的の為に利用させていただきます。

  • (略)
  • 当社アクセスポイントの緯度経度情報による情報提供を行うため。情報提供サービス事業者に対して、当社アクセスポイントの設置情報にもとづいた端末の接続地域情報の提供を行います。ただし、個人を特定する情報(個人情報)の提供は行いません。
  • ご契約者の年齢、性別、及び過去の行動履歴による情報提供を行うため。情報提供サービス事業者に対して、ご登録頂いた情報にもとづいた年齢、性別の情報、及び過去の行動履歴情報の提供を行います。ただし、個人を特定する情報(個人情報)の提供は行いません。

株式会社ワイヤ・アンド・ワイヤレス | プライバシーポリシー

これは違法ではないのか?

「情報提供サービス事業者」などとぼかして書かれているが、広告会社のことではないのか。なぜわざわざ「情報提供」「情報提供サービス事業者」などとぼかして書くのか? 「行動履歴による情報提供」というのは、行動ターゲティング広告のことではないのか。通信履歴を広告に使っているのではないのか?

「個人を特定する情報(個人情報)*6の提供は行いません」と書かれているが、統計情報に加工しているという意味なのか、それとも、端末ID(又はそのハッシュ値等)に紐付いた情報としてという意味なのか。「過去の行動履歴による情報提供」に使うのならば、端末IDに紐付いた情報ということ(そうでないと使えない)ではないのか。

例のごとく、端末IDに紐付けられた履歴情報は「個人を特定する情報」を含まないので「個人情報」ではない(つまり個人情報保護法の対象外だ)と言っているつもりなのかもしれないが、通信の秘密においては、「個人を特定する情報」か否かは関係ない。誰が通話しているか知らないままであっても電話を盗聴(電話会社の回線で)したら犯罪である。

ワイヤ・アンド・ワイヤレスが提供する公衆無線LANサービスが、電気通信事業者の取り扱い中に係る通信に該当するのは明らかであろう。電気通信事業法では、電気通信事業者自身による通信の秘密侵害をより重く処罰するとしている。

第百七十九条 電気通信事業者の取扱中に係る通信(第百六十四条第二項に規定する通信を含む。)の秘密を侵した者は、二年以下の懲役又は百万円以下の罰金に処する。

2 電気通信事業に従事する者が前項の行為をしたときは、三年以下の懲役又は二百万円以下の罰金に処する。

3 前二項の未遂罪は、罰する。

電気通信事業法(昭和59年法律第86号)

アクセスポイントへの接続記録(プライバシーポリシーでは「アクセスポイントの設置情報にもとづいた端末の接続地域情報」と書かれているが)が通信の秘密に該当するかに議論の余地があるだろうか? 携帯電話における基地局単位の履歴が当然に通信の秘密に該当することの類推からして、アクセスポイントであっても同様であろう。「行動履歴」というのは何のことか? 通信の秘密を侵して取得する情報ではないのか?

通信履歴を広告に用いることは、正当業務行為に当たらず、通信の秘密を侵するものであることは、2010年5月に公表された総務省の「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会 第二次提言」で、DPI広告の文脈で次の通り書かれている。

(略)ISPによるDPI技術を活用した行動ターゲティング広告の実施は、パフォーマンスの高い広告を配信することや、そのために利用者の嗜好を把握することを目的としており、ISPによる電気通信役務(電気通信設備を用いて利用者をインターネットに接続させる役務)にとって、必ずしも正当・必要なものとは言い難く、正当業務行為とみることは困難である。

このように、DPI技術を活用した行動ターゲティング広告の実施は、利用者の同意がなければ通信の秘密を侵害するものとして許されない。(略)

利用者視点を踏まえたICTサービスに係る諸問題に関する研究会 第二次提言, 総務省総合通信基盤局電気通信事業部消費者行政課

ここで「利用者の同意がなければ」と書かれているが、プライバシーポリシーに書いてあればそれで利用者の同意があることになるかというと、そうではない。総務省の第二次提言には次の通り書かれている。

通信当事者の同意がある場合には、通信当事者の意思に反しない利用であるため、通信の秘密の侵害に当たらない。もっとも、通信の秘密という重大な事項についての同意であるから、その意味を正確に理解したうえで真意に基づいて同意したといえなければ有効な同意があるということはできない。一般に、通信当事者の同意は、「個別」かつ「明確」な同意がある必要があると解されており、例えば、ホームページ上の周知だけであったり、契約約款に規定を設けるだけであったりした場合は、有効な同意があったと見なすことは出来ない。(略)

利用者視点を踏まえたICTサービスに係る諸問題に関する研究会 第二次提言, 総務省総合通信基盤局電気通信事業部消費者行政課

ローソンアプリには、「LAWSON Wi-Fiのインターネット接続サービスは、株式会社ワイヤ・アンド・ワイヤレスの提供によるものです」とは書かれているものの、このワイヤ・アンド・ワイヤレスのプライバシーポリシーを確認する手段は用意されておらず、一切の同意の手順が踏まれていない。

もっとも、ワイヤ・アンド・ワイヤレスが本当に通信履歴を情報提供目的で第三者提供している事実が既にあるのかは定かでない。利用しますとプライバシーポリシーに書いているだけで、まだやっていないとか、「LAWSON Wi-Fi」についてはやっていないとか、そういった可能性はある。この点は、取材して尋ねてみないとわからない。

しかし、仮にまだやっていないのだとしても、違法なことをする場合があるとするプライバシーポリシー自体、如何なものか。

同様のことは、3月1日から適用となったGoogle社のプライバシーポリシー改訂においても、世界中で問題視された。Googleのプライバシーポリシーでは、「Googleが収集する情報」に「電話のログ情報(お客様の電話番号、通話の相手方の電話番号、転送先の電話番号、通話の日時(略))」が含まれていて、その利用目的は「収集した情報の利用方法」に列挙されているすべてに可能性がある。これでは電気通信事業法違反ではないかと非難する声が挙った。

この「電話のログ情報」は、聞くところによると、Androidで収集しているのではなく、Google Voiceによるもののことを指しているらしい(そして、その利用目的は、Google Voiceサービスを実現するためのごく一般的な利用らしい)のだが、グーグル自身がそれを公表することがなかったため、報道がそれを伝えることはなかった。

その結果、2月29日に総務省と経済産業省が異例の「グーグル株式会社に対する通知」を出した。そこには次のように書かれている。

通知内容は以下のとおりです。

・統合されたプライバシーポリシーに従ってサービスを提供する際には、利用目的の達成に必要な範囲を超えた個人情報の取扱いや個人データの第三者への提供を行わないとともに、利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合や個人データを第三者に提供する場合にはあらかじめ本人の同意を取得するなど、個人情報についてその適切な取扱いが図られるよう、個人情報の保護に関する法律(平成15年法律第57号)を遵守することが重要であること。

電気通信事業法(昭和59年法律第86号)における通信の秘密の保護等に関する規定を遵守するとともに、利用者に対してプライバシーポリシーやサービスに関して分かりやすい説明をしていくことが重要であること。(略)

グーグル株式会社に対する通知, 総務省, 経済産業省

電気通信事業法違反の疑いがあるとは書かれてないものの、通信の秘密の保護規定を遵守せよと、言うまでもないはずのことをあえて通知したわけである。

同様のことは、ワイヤ・アンド・ワイヤレス社のプライバシーポリシーに対しても通知するべきではないのか。

さらに言うと、ワイヤ・アンド・ワイヤレス社の親会社であるところの、KDDI株式会社のプライバシーポリシー(のうち、電気通信事業分野における個人情報の取り扱い)はもっと酷いことになっている。

このことについては、前田勝之さんが1月から2月にかけて、KDDIに問い合わせたり、総務省電気通信消費者相談センターに問い合わせて、問題提起していた。以下にその記録がある。

前田さんの追求によって、KDDIは2月17日にプライバシーポリシーを改訂している。改訂内容は、それまで「広告の表示および配信に関する業務」に利用する個人情報として、「契約者および利用者の通信開始/終了時刻・通信時間・通信先番号等通信履歴に関する情報」を含めていたのを、その業務から外したというものであった。*7

しかし、前田さんも指摘しているように、この改定後も、通信履歴を「サービスのご利用状況を調査・分析して情報を提供する業務」及び「アンケート調査に関する業務」、「利用促進等を目的とした商品、サービス、イベント、キャンペーンに関する業務」に利用するということになったままである。これらの利用は「個別かつ明確な同意」がない限り違法ではないのか?

KDDIのような日本の基幹的電気通信事業者が、いくらなんでも電気通信事業法違反を犯すはずがないと、普通はそう思うところだ。

しかし、日本IBMの記事によると、どの国の話かわからないが、昨今、携帯電話会社では以下のようなことに関心が集まっているという。

  • IBM テクノロジーの起点:第6回 「ビッグデータ」実践編, 日本IBM(掲載日不明)

    ――企業の経営陣は、どのような観点でビッグデータの活用を検討するとよいでしょうか?

    野嵜:いきなり「ビッグデータを活用すべきだ」と言われてもピンと来ないかもしれませんが、既存のデータであっても、観点を変えることによって新たな発見が得られる可能性があるということをお伝えしたいと思っています。

    ある海外の電話会社さんでは、通話料金の計算に使用していた通話履歴に実はいろいろなビジネスのネタが入っていそうだということに気づかれました。そして、従来、3年分保持していた通話記録を10年分に増やし、Hadoopの基盤を導入し、顧客の行動パターンを調べるようになりました。料金計算以外のビジネス価値を見出したからこそ、新たな基盤が必要になったのです。

    ――これまでと次元の違うことをしているのだと理解する必要がありそうですね。

  • 顧客との接点は「ビッグデータ」にある - ビッグデータ活用のススメ, 日本アイ・ビー・エム ソフトウェア事業 インフォメーション・アジェンダ事業部ICP 野嵜 功氏, 日経ITpro, 田島篤, 2012年1月30日

    ところが最近は「通話履歴を捨てるのはもったいない」と言われ始めた。通話履歴は、いつ、どこで、だれがだれに通話したというデータだ。なので、例えば、従来は昼間に電話することが多かったのに、最近は夜間に電話するようになった、ということがわかる。この場合は、転職して行動形態が変わったのかもしれないし、ひょっとしたら持ち主は携帯電話を落としてしまい、別の人が拾って使っているのかもしれない。不正に使われると、電話会社は課金することができないので、売上減になる。そこで、不正利用を素早く把握するのに通話履歴を使おうとし始めている。

    また、だれがだれに電話したというデータなので、それをグラフ化すればソーシャルグラフが描ける。そうすると、ある人が基点になって周囲に頻繁に電話している、といったこともわかる。その人を中心にしたコミュニティの存在を把握できる。周囲への影響を考えると、その人が電話会社を変えないことは重要である、といった事柄が察知できるわけだ。

    こうしたことから携帯電話会社は、3カ月で通話履歴を捨てていたのは間違いだったととらえている。5年でも10年でも保存しておいて、ソーシャルグラフを活用してビジネスに活用すべきだ、と認識を改めている。通話履歴が単なる「課金用のデータ」から、「行動履歴、ソーシャルグラフ用のより重要なデータ」に変質したわけだ(注1)*8

日本でこれをやったら違法だ。KDDIは本当にこういうことをやっていないのか。プライバシーポリシー上はこういうことができることになっている。

総務省は、Googleのプライバシーポリシー改訂に対してあのような「通知」を出すのなら、KDDIのプライバシーポリシーに対しても同様の「通知」をするなりして、適切なプライバシーポリシーに改めさせるべきではないか。

追記(9日)

以上のことは、なにも私だけが言い出したことではない。皆がおかしいおかしいと感じたことだ。Twitterでの様子は以下にわかり易くまとめられた。

*1 2003年にした講演で、当時の警察庁担当者の見解を確認したときのスライドが、「安全なWebサイト設計の注意点」(スライド1スライド2スライド3)にある。電話番号は該当しないとのことだった。

*2 今年の不正アクセス禁止法の改正で、新たに第9条(現行法の第7条)に第5項として「都道府県公安委員会は、アクセス制御機能を有する特定電子計算機の不正アクセス行為からの防御に関する啓発及び知識の普及に努めなければならない」という規定が追加された。各地の警察が直接、アクセス管理者に対して指導する場面も今後は出てくると予想される。

*3 一般的に、公衆無線LANでは(802.1xを用いないものでは)、接続の維持はMACアドレスで行われているのが現状であり、さらに長期的にID・パスワード入力を省く手段として、MACアドレスをWeb画面上で登録させて自動接続とするサービスがある(livedoor Wireless、Wi-Fi Nexなど)。そうしたサービスでは、利用者自身にMACアドレスを入力させるか、画面上に表示させて確認を求めるなど、オプトイン方式がとられている。MACアドレスを用いるといっても、その場限りではなく継続的にMACアドレスを保管して使用するサービスでは、オプトインによる個別かつ明確な利用者同意が必要であろう。

*4 もっともそれ自体については、WPA-PSKなら安全というわけでもなく、公衆無線LANで皆で共通の鍵(PSK= Pre Shared Key、事前共有鍵)を使っている方式は、盗聴のリスクがある。

*5 「LAWSON Wi-Fi」が電気通信事業者の取り扱い中に係る通信に該当するならば、それを傍受して知得する行為は、電気通信事業法第4条(秘密の保護)第1項に違反し、罰則もあるのでやってはいけない。それに該当しないならば、電波法第59条(秘密の保護)で、傍受するだけなら合法だけれども、傍受してその存在若しくは内容を漏らしたり、傍受してそれを窃用すると、違反となり、罰則があるのでやってはいけない。

*6 またここでも、個人を特定する情報(住所氏名等)が個人情報であるという誤った解釈がされているようだ。詳しくは、昨年11月6日の日記「何が個人情報なのか履き違えている日本」に書いた通り。

*7 「広告配信のために通信履歴を利用するとするKDDIのプライバシーポリシー(10)」参照。

*8 この記事が非難されるまで、この「注1」は書かれていなかった。

本日のリンク元 TrackBacks(9)

2012年04月21日

法務省担当官にウイルス罪について質問してきたパート2(昨年10月)

以下は昨年10月5日時点での話で、当時は別件が続発して忙しく、後回しにするうちに半年経ってしまった。この話題は本業で扱うことになるとここには書きづらくなるので、今のうちに書き残しておく。

まず背景として、昨年9月は「カレログ」が世間を騒がせていた*1時期で、人のスマホにスパイ目的でアプリを勝手にインストールする行為が刑法第168条の2の不正指令電磁的記録供用罪に当たるかという論点があった。これについて私はTwitterで自分の考えを述べた

当時述べた私の考えをまとめ直すと以下の通りである。

  • 彼女が彼氏のスマホを手に取って操作して*2カレログアプリをインストールすると、(カレログはインストールした時点で起動するので)当該アプリを実行するのは誰かといえば、まずは彼女ということになり、この時点では「人(彼氏)の電子計算機における実行の用に供した」とは言えない*3(彼氏に当該スマホを返却することを予定しないならば)。そのスマホが彼の手に渡った時点で、「人(彼氏)の電子計算機における実行*4の用に供した」と言えるかが問題となるが、これは微妙なところ*5。しかし、いずれにせよ、そのスマホはいずれ彼氏によって再起動(電源を切って入れなおし)されることになるのだから、そのときには(カレログは再起動で自動起動するので)彼氏が当該アプリを実行することになる。よって、彼女は当該アプリを「人(彼氏)の電子計算機における実行の用に供した」と言える。*6

  • 彼女が彼氏の同意を得ずにそれをしたならば、そのときの当該アプリは、「人(彼氏)が電子計算機を使用するに際してその意図に反する動作をさせるべき指令を与える電磁的記録 」ということになる。なぜなら、社会通念に照らして、スマホの位置情報や通話履歴*7が「カレログ」サーバ(人が閲覧することを予定しているサーバ)に送信されるのが当たり前のこととは、現状、なっていないのであり、そのような機能がスマホに追加されることは、社会一般の者が期待するところの「電子計算機を使用するに際しての意図」に反することとなる。

  • 不正指令電磁的記録に関する罪では、「不正な指令」であることが要件とされており、上記の状況において、位置情報や通話履歴を送信するプログラムが、不正な指令を与えるものと言えるかが問題となる。「不正な」との要件は、刑法学上、規範的構成要件要素と呼ばれるもので、刑法第175条前段の「わいせつな」と同様に、社会通念に照らして「社会的に許容し得るものであるか否か」を裁判所が判断するものであるが、私の意見としては、位置情報や通話履歴を窃取するプログラムは「不正な」の要件を満たすと考える。

  • 「カレログ」の作成者に作成罪や提供罪が成立するか否かは、その目的による。作成罪と提供罪は刑法学上、目的犯と呼ばれるものであり、「人の電子計算機における実行の用に供する目的で」との要件がある。たとえ、現実に「カレログ」を無断で人のスマホにインストールして供用罪を犯す者が現れたとしても、作成者にそのような用に供する目的がないのならば、作成罪にも提供罪にも該当しない。逆に、作成者がそのような使われ方を意図したのであれば、作成罪と提供罪*8が成立し得る。

  • 「カレログ」を同意なく人の端末にインストールする行為が不正指令電磁的記録供用罪を構成するとなると、「徘徊老人のスマホに「カレログ」を入れることは許されないのか」とか、「GPS記録専用装置(スマホではない)を子供に持たせるのも許されないのか」といった疑問が出てくるが、これらは次のように考える。不正指令電磁的記録罪の保護法益は「電子計算機のプログラムに対する社会一般の者の信頼」であり、徘徊老人が当該スマホを汎用の電子計算機として使用していない(自分の意思でアプリを選択してインストールする利用実態がない)ならば、同意なく「カレログ」をインストールしても電子計算機のプログラムに対する信頼が損なわれることにはならないと考える。構成要件上は「人が電子計算機を使用するに際して」が否定されると考える*9。同様に、GPS記録専用装置を子供に持たせる場合も、「人が電子計算機を使用するに際して」に当たらないと考える。

  • 子供のスマホに親が「カレログ」を無断でインストールするのはどうなのか。親が当該スマホを買い与える場合を前提に、私の意見では次のように考える。子供にスマホを持たせるに際して、アプリの自由なインストールを認めていない場合、又は、初めから「カレログ」をインストールして与えている場合には、不正指令電磁的記録供用罪を構成しない。前者では、そういう装置(汎用の電子計算機ではないもの)を与えているのであり、後に「カレログ」をインストールしても電子計算機のプログラムに対する信頼を損ねることにならず、後者では、初めから「カレログ」入りの電子計算機を与えている以上、そういう電子計算機を与えたのであり、電子計算機のプログラムに対する信頼を損ねることにならない。逆に、何の約束もなく子供にスマホを買い与え、子供が自由にアプリのインストールを楽しんでいる状況で、親が子供に無断で「カレログ」を追加インストールした場合は、電子計算機のプログラムに対する信頼を損ねることになり、この罪の保護法益が侵害される*10*11

このような内容ことを(昨年8月30日から9月4日にかけて)Twitterで書いていたところ、9月7日になって、法曹の方から以下の指摘があった。

このような反応が出てきたのには、以下のように、9月7日の早朝に掲載された同氏のブログに対し、私から意見のメールを送ったことが背景としてある。

これについて、最近、刑法で新設された、不正指令電磁的記録供用罪(刑法168条の2第2項)が成立するのではないか、と考えている人もいますが、結論から言いますと、同罪は成立しない可能性が高いでしょう。

(略)

カレログの機能は、(略)といったものですが、使用者の意図、を上記のような意味(個別具体的な使用者の実際の認識を基準として判断するのではなく、当該プログラムの機能の内容や、機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識すべきと考えられるところを基準として判断)で考えると、カレログのサイトで説明されているような内容が一般に認識すべきと考えられる機能で、それが使用者の意図であると言えるでしょう。

(略)

カレログの機能自体は、特に何かを隠したりすることなく説明され公開されているようであり、したがって、個別具体的には使用者の意図に反する場面があり得るとしても、規範的な観点で、「意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える」とは評価できないと私は考えます。

[話題]スマホ用追跡アプリが騒動に 勝手に行動を監視される危険も,弁護士 落合洋司(東京弁護士会)の「日々是好日」, 2011年9月7日3時7分

拝見しました。異論がございます。

カレログの機能は、(略)といったものですが、使用者の意図、を上記のような意味(個別具体的な使用者の実際の認識を基準として判断するのではなく、当該プログラムの機能の内容や、機能に関する説明内容、想定される利用方法等を総合的に考慮して、その機能につき一般に認識すべきと考えられるところを基準として判断)で考えると、カレログのサイトで説明されているような内容が一般に認識すべきと考えられる機能で、それが使用者の意図であると言えるでしょう。

そのお考えは、プログラムの使用者を、プログラムをインストールする者(カレログでは、無断でインストールするカノジョが該当)とした場合についてのご見解としては正しいと思います。しかし問題は、知らないうちに自分の携帯電話にインストールされた者(カレログではカレシが該当)にとって、「一般に認識すべきと考えられるところを基準として判断」されるところの「意図に反する動作」であるか否かです。

このとき重要なのは、「意図に沿うべき動作をさせず…意図に反する動作をさせる」というのは、プログラム(の利用者)に対してではなく、電子計算機(の利用者)に対してであることです。

この点、条文では、「人が電子計算機を使用するに際してその意図に沿うべき…」となっているように、人(一般の人)が電子計算機を使用する(携帯電話を使用する)に際して、認識すべきと考えられるところを基準として、意図に反する不正な指令の実行となるのかです。通常、何もしていない人からすれば、携帯電話が勝手に通話履歴や位置情報を特定のところへ送信してしまうというのは、意図に反する不正な指令の実行であると思います。

法務省の解説で「当該プログラムの機能の内容や、機能に関する説明内容」という話が出てくるのは、そのプログラムを本人が起動する場合についての説明だからであって、カレログの件ではそうではなく、他人に仕込まれるケースですから、仕込む者(供用者)にとって「当該プログラムの機能の内容や、機能に関する説明内容」通りの動作であって意図に反しない、などと言うのはナンセンスであるわけで、仕込まれた人にとってどうかであるはずです。

人力で仕込まれるケースについて、法務省は具体的には説明していませんが、別の場所で、「スパイウェア」という用語も入れて、「不正指令電磁的記録に該当するものであれば該当する」という説明をしています。

私が送ったメール, 2011年9月7日14時44分

このメールにはお返事を頂けず、上記引用ツイートのように「法解釈に慣れていない人には難解なのだろう。」と切って捨てられたのであった。

そして、9月13日になると、日経産業新聞に以下の記事が出た。

  • 日経産業新聞2011年9月13日「行動把握アプリ、波紋広がる―「彼」追跡、やり過ぎの声」

    カレログが問題となったのは、端末の保持者が知らないうちに位置情報などを取得されているかもしれないという点だ。ただ、それが違法になるのか否かは専門家の間でも意見が分かれる。

    弁護士の落合洋司氏は「位置情報を取得するといったスマホにある機能を使い、アプリの機能も説明されている。記録を取られることを本人が知らなかったとしても、犯罪には当たらない」とする一方、「無断で使用した人が不正指令電磁的記録に関する罪(通称ウイルス作成罪)の供用罪に当たることがある」(セキュリティー研究者)との見方もある。

    ただ、落合氏も恋人などに無断でアプリをインストールして使用した場合は民事上ではプライバシー侵害に当たることもあると指摘する。

その際の反応はこうだった。

そして、16日には、読売新聞夕刊に以下の有識者コメントが掲載された。

  • 読売新聞2011年9月16日夕刊「彼のスマホに入れて行動追跡 「カレログ」抗議殺到 アプリ、一部機能中止」

    行動追跡アプリを本人の同意なくインストールすることの違法性については、専門家の間でも議論が分かれている。

    「使用者の意に反して行動記録を集めるコンピューターウイルスにあたる」と主張するのは、甲南大学法科大学院の園田寿教授(刑法)。「作成・運営者は刑法のウイルス作成罪や提供罪に、勝手にインストールした人は同供用罪にあたる可能性がある」と指摘する。

    一方、元検事の落合洋司弁護士は「事前に説明されているアプリの目的と違った動作をするわけではなく、ウイルスとまでは言えない」として、ウイルス作成罪などには該当しない*12との考えを示す。ただ、2人とも、「民事上、プライバシー権の侵害に当たる」としている。

この見解の対立は、まさに、善用も悪用もされ得るプログラムについて不正指令電磁的記録の罪をどう考えるかの問題で、プログラムという客体が不正指令電磁的記録に該当するか否かは行為とは独立に存在した時点で静的に決まるものと考える(α)か、それとも、同一のプログラムであっても行為に伴って不正指令電磁的記録該当性が動的に変わるものと考える(β)かの違い*13である。

私は、法務省の解説「いわゆるコンピュータ・ウイルスに関する罪について」(2011年7月13日)の記述内容からの論理的類推により、(β)だと理解している。しかし、法曹の方々には(α)しか有り得ないというお考えが少なくないようだ。法務省の解説でも、(β)だとスバリ書かれているわけではない。

法務省の考え方が(β)であることを確認するために、私は、7月26日の時点でも、法務省担当者の見解を聞き出していた。

  • 法務省担当官コンピュータウイルス罪等説明会で質問してきた, 2011年7月26日の日記

    質問:では最後に。文書偽造罪と同様に構成したものとの説明があったが、偽造罪においては客体が偽造されたものに該当するか否かは、それが作成された時点で客観的に定まるものだと思うが、まずその点は間違いないと思うが、不正指令電磁的記録もそうなのかどうか。すなわち、さきほどのハードディスクを消去するプログラムの例で、第三者が悪用すれば不正指令電磁的記録であるとのことだったが、まだ悪用される前の段階の、作成した時点のものは、不正指令電磁的記録に当たるのか当たらないのか。当たらないとすれば、いつの時点から不正指令電磁的記録になるのか。後から不正指令電磁的記録になるのだとすると、将来に客体の客観的評価が変わるという、そういう考え方をするのか。たぶんそういうことなのだろうが、違う考え方はないのか。すなわち、実行の用に供したときには、それは不正指令電磁的記録だけども、実行の用に供していない元の作成者自体は、それが不正指令電磁的記録と言われる必要がない。法務省の考え方では、悪用された時点で不正指令電磁的記録に当たると考えているとしか思えないことを書かれているが、その考え方は違うのではないかと思うが、いかがか。

    回答:今お話しのように、不正指令電磁的記録に当たるかどうかは、あくまで罪に当たるかどうかが問題となるその行為をした時点に立って判断するということになる。したがって、作成罪であればその作成行為の時点に立って、それが不正指令電磁的記録に当たるかどうか、供用罪であれば供用行為の時点に立って当たるのかどうかを判断するという考え方に立っている。そのために、作成時点で正当なプログラムであれば、それは作成時点の判断としては不正指令電磁的記録に当たらないし、後に供用されてそれが実際に他人に提供されてそれが人を騙して実行させるようなものであるとなってくると、その時点の判断として不正指令電磁的記録に当たり得るという、行為の時点毎に判断するという、そういう考え方をとっている。

    質問:そのご回答の足りないところは、作成した時点ではとおっしゃるが、悪用された後に再び改良版を出すことがあるわけで、その時点でやっぱり不正指令電磁的記録ではあるということをおっしゃっているようにしか聞こえないのだが。

    回答:あくまで、犯罪の成否というのはその人がしたその行為によって生まれたものを対象として判断するので、時系列として作成があって、悪用があって、さらに改良版の作成があった場合に、あくまでそこに立って、その時点のものとしてどういう目的で作っているのかということを踏まえて判断することになるので、悪用されたからといってその後の行為が全部、作られたものが不正指令電磁的記録に当たるとかいうことではないということである。

    質問:ではないと。

    回答:その通り。

このやりとりで、(β)の考え方であるらしいことは確認できたが、ズバリそのように言って頂くことはできなかった。

そして、10月5日、再び法務省担当者によるご講演があると知ったので、聴講に行ってきた。(ここからが本題)

まず、このご講演で、以下のように、それまでより踏み込んだ、明快な説明があった。

「ウイルス」という言葉を使っているが、コンピュータを専門とされている方が認識されている「ウイルス」という概念と、法律で定められているものが若干異なっている。(略)

一般には「ウイルス作成罪」などと呼ばれているが、この「ウイルス」は狭い意味でのウイルスだけではなく、トロイの木馬、スパイウェア、ワーム、そのようなものについてもすべて含まれる。(略)

同じアプリケーションであっても、場合によってはウイルスになるが、場合によってはウイルスにならないということになる。私の認識では、ウイルス対策ソフトではウイルスかどうかというのは準客観的に決まるのではないかと、アプリケーションのプログラムがどうなっているかで決まるのではないかと、私は承知しているところだが、法律においては、ウイルスかどうかというのは相対的に決まるということになっている。例としてハードディスクの初期化ソフトというものがある。

初期化ソフトというものは、正しく使えばコンピュータを使う者にとっても有用なソフトであろう。しかし、例えば、行政機関からのお知らせだとか、ソフト開発元からのお知らせとか、警察からの注意喚起と装って、メールにそのような注意事項を書いたものを、Wordファイルのアイコンを付けて送ったと、しかしそれはWordファイルを装っているだけで、そこをクリックして開けば初期化ソフトが機能してハードディスクが初期化されてしまう場合があるとする。このような場合に、そのファイルを開く人というのは、このワードファイルを開けて、警察からのお知らせかと思って開けたら初期化されてしまうというのは、おそらく予想していないのではないかと思われる。このような場合については、法律においては、不正なものであり、意図に反する動作をさせるものであるということで、「ウイルス」に当たるということになる。

このようなソフトであると、ウイルス対策ソフトではウイルスとして認知されないということもかなりあるのではないかと思われるが、法律においては相対的に決まるということになっている。このような初期化ソフトを作った人間がウイルス作成罪として逮捕されたというようなニュースがあったとしても、今説明したように、相対的な概念で「ウイルス」という言葉を使っているので、正しく初期化ソフトを作って販売されているような場合に、それが「ウイルス」に当たるということではない。

Email Security Conference 2011での檞清隆氏の講演内容より

「相対的に決まる」という表現が何を指すか、まだ明確さが足りていないようには思えるが、言わんとされていることは、「ウイルス」(ここでは「不正指令電磁的記録」を指している)に該当するかは、客体の存在だけでは決まらず(つまり「プログラムがどうなっているかで決まる」のではなく)、問題となる行為が発生して初めて(その都度)評価されるということだろうと思う。

この法務省担当者の説明は、法務省が(β)の考え方であることを示していると言えるだろう。

次に、このように整理されてもなお明らかでないのは、「カレログ」のように、人のスマホに無断でそれをインストールする場合が「供用」に当たるのかどうかである。これまでの法務省の説明では、自分でファイルを開くケースが例にされていたため、この点が明らかでない。

そこで、このご講演の質疑応答タイムで、以下のように質問したところ、期待した通りのお答えを頂くことができた。

質問: 端的にお尋ねしたい。昨今スマートフォンが普及している関係で、企業が社員にスマホを支給して、モバイルデバイスマネージメント(MDM)などと言うのだが、私用で事業以外に使ってたりしないか監視するソフトがある。例えば、通話履歴をチェックするとか、今どこにいるかGPSをチェックするとか。こういったものはおそらく正当なものと思うのだが、こういったものは使い方によってはスパイウェアとして使うこともできるソフトであるわけで、そういうMDMソフトを開発しているベンダーはウイルス作成罪に当たらないですよね? ということ。

それから、企業も社員に対してそういうソフトを入れて渡す、あるいは入れさせるのだと思うが、そういうのがウイルス供用罪に当たらないですよね? それはどういうふうに考えればよいですかという点。

また、逆に、そうやって配布されているソフトが、悪い人によって悪用されて、全く関係のない人にこっそり端末を手に取って入れてしまうということがあった場合に、供用罪に問えるのですか、問えないのですか、というところを伺いたい。

回答: 刑事のことであるので全てはそれぞれの事件毎に証拠に基づいて判断するということにはなるが、今のご質問については、ソフトを作った会社については、通常であれば、最後に挙げられた悪用されることを前提に作っているのではないと思う。悪用されることを前提に作っていないのであれば、作成罪には当たらないと思われる。ただ、今前提を付けたように、販売先が悪用する会社であるとか、悪用する個人だけをターゲットに作って売っているというような場合については、当たるかもしれない。そういう場合もあるということで、そういうものであれば絶対に当たらないとは言えない。通常であればウイルスに当たらないのではないかと思われる。

それから、企業が支給する場合、最終的には証拠に基づく事実の認定にはなるのだが、企業がそのようなアプリケーションを入れることについては、使う社員の方にとっても、そのようなものが入っているということを認識しているのが通常ではないかと思われる。認識している場合については、使用者について、そのソフトが入っていることを認識しているわけであるから、一般の使用者にとってその意図に反する動作をするということではない。おそらく、会社でもあまり秘密裏に入れるということはそうないのではないか、これは私の想像だが。それから、一般的に入れていることが通常であるのであれば、社員も会社から支給されているものは入れられているのを当然に認識して使うべきであろうということになるのではないか。ただ、社員の認識がどういうものであるかは、私は業界の人間ではないので詳しくないので、これは仮に一般の認識がそうであればという意味である。また、会社が支給するものについて社員が私用で使っていないか監視するということについて、おそらく「不正な」ものではないと言えるのではないか*14と思われる。

最後のご質問で、逆に悪用した場合はどうかであるが、ご質問のソフトをたとえば、ヤクザ、闇金をやっているヤクザが、債務者、高金利で貸している債務者が逃げられないようにするために、その携帯電話に勝手に入れ込んだという、誰が考えても悪いという例を想定させて頂くが、このような場合では、使用者である債務者は、勝手に入れられたとすれば、自分の携帯からヤクザのところにGPSデータなどを送っていることはわからないということで、意図に反する動作をさせるものになる。それから、今のような例であれば、おそらく通常の感覚で言えば、「不正な」ということに当たるのではないかと思われる

極限的な事例になると、社会での一般の認識がどうなるかということになるので、私の現在の不正確な知識で正確にお答えすることはできないが、だいたい今のような考え方になると思われる。

Email Security Conference 2011での檞清隆氏の講演での質疑応答より

「カレログ」のことはあえて持ち出さずに、一般化して「MDM」アプリの話として質問したところ、闇金のヤクザが債務者のスマホに無断でそれを入れた場合は供用罪に該当するとのことなので、(可罰的違法性の程度は別として)構成要件の考え方としては、「カレログ」を人のスマホに無断で入れる場合も共通だということが確認された。(「MDM」も「カレログ」も機能的には同等であるので。)

これにより、読売新聞9月16日夕刊に掲載された有識者コメント「事前に説明されているアプリの目的と違った動作をするわけではなく、ウイルスとまでは言えない」と、9月13日の日経産業新聞に掲載されたコメント「位置情報を取得するといったスマホにある機能を使い、アプリの機能も説明されている。記録を取られることを本人が知らなかったとしても、犯罪には当たらない」という考え方は否定された(法務省担当者見解とは異なる)ことになる。

もっとも、法律家に言わせれば、法務省見解が常に正しいわけではないそうだ。裁判所が法務省見解とは異なる判断をすることも多々あるので、最高裁判決が出るまで何が正しいかは確定しない。私は、私の見解が正しいと言うつもりはなく、私の見解(全部ではないにしても基本的に)は法務省見解と同じだと言いたいだけである。

ところで、10月5日の法務省担当者のご講演では、国会の法務大臣発言で問題となったバグの件についても、より踏み込んだ説明があった。

その前の7月26日の説明会では、以下のように釈明されていた。

  • 法務省担当官コンピュータウイルス罪等説明会で質問してきた, 2011年7月26日の日記

    質問:まず最初に、6月16日の参議院法務委員会での法務大臣答弁で、バグについての説明があったが、ここで、「バグは、重大なものとはいっても、通常はコンピューターが一時的に停止するとか再起動が必要になるとかいったものであり」とか、そうでないものは「バグと呼ぶのはもはや適切ではない」と説明されていた。これはすなわち、「バグ」という言葉を、一時的な症状を起こすものと定義したうえで、これは不正指令電磁的記録に当たらないとし、そうでないものはバグとは言えないという説明で、これによって、バグは不正指令電磁的記録に当たらないとする理屈を構成されていた。しかし、実際のところ、バグというのは、再起不能になるようなバグというものも当然あるわけで、これは事実誤認に基いた答弁であったと思うが、いかがか。

    また、今日のご説明で紹介された文書「いわゆるコンピュータ・ウイルスに関する罪について」では、「いわゆるバグについては」で始まる部分、先ほどは「大臣答弁を改めてもう一度書いたものだ」とおっしゃったが、読み比べると、この事実誤認の記述はなくなっている。「バグはこういうものであって」という記述はなくなっている。これは、事実上、参議院での大臣答弁は間違いであったから、この公開文書ではその部分を取り消していると理解してよろしいか

    回答:結論から言うと、そこは修正している。今ご紹介の大臣答弁にあった「重大なものとはいっても」のくだりは、今回のホームページに載せているものには載っていない。法務当局としては、そこは採用していない、というと不遜な言い方であるが、我々としてはそういう考え方をとっていないということである。

    質問:なるほど。では次に、(略)

このときは、「修正している」ということの確認までに留まっていたが、10月5日のご講演では、なぜそのような混乱が生じたのかについて、以下のように説明があった。

一時、バグがウイルスに当たるのではないかということが報道などでいろいろ騒がれたことがあると承知しているが、一般的に「バグ」と言われているものについて、おそらく、コンピュータを使われている方や、アプリケーションを作成されている方については、アプリケーションソフトにバグがあるということは、それはもう不可避の事態であると認識されているのではないか、そして、そのようなことについては、コンピュータを使う人にとっても、おそらくバグというものが避けられないもので、バグというものが有り得るものであることは皆、認識しているであろうと思う。

そうすると、一般的にいわゆる「バグ」と言われているものについては、コンピュータを使う人にとって意図に反するものではないと言えるし、また不正ではないと言えるのではないかと思う。

おそらく、私の個人の認識としては、「バグ」が「ウイルス」に当たるかということがいろいろ騒がれた一つの背景としては、「バグ」という言葉について使っている意味が人によって違っていたところがあるのではないかと思われる。そこは一つの大きな原因であったのではないかと思われる。一般的に皆様方が「バグ」と言われているようなものについては、これは「ウイルス」ではない

バグがウイルスに当たるかと言われているときについては、本当のウイルス、トロイの木馬のようなものを作っておきながら、「これはただのバグです」とかということで言い逃れをしているような場合など、仮に「バグ」と言っているものがウイルスに当たるとすれば、そういう場合かなと思うので、皆様方がアプリケーションを開発されるときに、何か不安になったりするようなものではない。

Email Security Conference 2011での檞清隆氏の講演内容より

これで、バグの件についても決着したと言えるだろう。最終的に、2011年6月5日の日記で以下のように書いていた通りの結果となった。

「バグ」とは、我々の用語法では、作成者の意図に反する動作をする原因部分を言う。したがって、「バグが犯罪になる」と言われれば、重大な場合に限るなどと条件を付けて限定されようとも、それは異常だと感じる。なにしろバグによる挙動は作成者の意図に反する動作であるのだから、過失犯規定を設けるのでない限り、犯罪ではないはずと思える。(正確には後述。)

つまり、5月27日の「あると思います」という大臣答弁が想定していたのは、元々は「バグ」によって意図せず重大な危険をもたらし得るプログラムを作成してしまった者が、その後、それをあえて機能として果たさせようとの意思を持って放置した場合であって、それはその時点でもはや「バグ」ではないと言うべきである。

これから大臣が、「バグという言葉の使い方を間違えた。それが機能ではなくバグである限り、犯罪になることはない」と訂正すれば、バグの件についての混乱は終息するだろう。そのような見解ならば、法務省が今年5月に公表していた「いわゆるサイバー刑法に関するQ&A」の内容とも整合する。(作成罪だけでなく提供罪も含めてバグで犯罪は成立しないとされている。)

今井猛嘉参考人曰く「バグが重大なら可罰的違法性を超える程度の違法性がある」, 2011年6月5日の日記

関連

*1 その後「カレログ」は、人のスマホにインストールするというコンセプトを廃止し、自分で自分のスマホにインストールするのを前提とした「カレログ2」に生まれ変わり、ステルス性も排除された(稼働中はカレログが実行中である旨を常時画面に表示するように改善され、アイコンの偽装も取りやめられた)。ここで述べることは、改善される前の初代「カレログ」を前提としたものである。

*2 その他のインストール手段として、アプリマーケットで彼氏のアカウントでログインしてリモートインストールする方法もあるが、この場合は、その時点で「人(彼氏)の電子計算機における実行の用に供した」ことになる。(不正アクセス禁止法第3条違反でもあるが。)

*3 「人の電子計算機における実行の用」という文は、「「人の電子計算機」における実行の用」という構文ではなく、「人の「電子計算機における実行」の用」という構文であることに注意。つまり、当該電子計算機の所有者が誰かが問題となるのではなく、使用者が誰かが問題となる。

*4 ここでは便宜的に「実行」はニュートラルな意味での実行(それが不正指令電磁的記録として働くものという意味を含まずに、単にプログラムの実行という意味)としている。

*5 「実行」の語が、プログラムの起動段階のみを指すのか、それとも、起動されて実行中である状態をも指すのかによる。前者であれば、インストール済みのスマホを渡した直後では「実行」に該当せず、後者であれば該当する。

*6 実際に再起動に至ることは要しない。再起動によって彼氏が実行することとなる状態にする行為が「供用」とされている。法務省解説「いわゆるコンピュータ・ウイルスに関する罪について」p.10には、「「人の電子計算機における実行の用に供(する)」とは、不正指令電磁的記録であることの情を知らない第三者のコンピュータで実行され得る状態に置くことをいうものであり、例えば、・不正指令電磁的記録の実行ファイルを電子メールに添付して送付し、そのファイルを、事情を知らず、かつ、そのようなファイルを実行する意思のない使用者のコンピュータ上でいつでも実行できる状態に置く行為や、(略)等がこれに当たり得る。」とある。

*7 初代の「カレログ」では通話履歴も送信していた。後に通話履歴の送信機能は廃止された。

*8 この場合、供用罪を犯す者に渡す行為が提供罪に当たる。法務省解説p.7では「不正指令電磁的記録提供罪は、後記のとおり、それが不正指令電磁的記録であることを認識している者に取得させる行為であるが、この場合も、提供の相手方以外の第三者(使用者)が不正指令電磁的記録であることを認識していないのにこれを当該第三者の電子計算機で実行され得る状態に置く目的があることを要する。」とある。

*9 この説については、9月10日のツイート(その1)で「スパイウェアで痴呆老人に財産的損害を与えた場合に、不正指令電磁的記録の罪では処罰できなくなる」という問題がありそうだと書いたが、別の罪で対処すればよいのではないか。続くツイート(その2その3)で、文書偽造罪からの類推で、認知症老人に偽札を渡した場合(当該老人にはそれがお金だということもわからない場合)が、偽造通貨行使罪に当たるのかという疑問をつぶやいた。もし当たらないのであれば、同様の理屈で、不正指令電磁的記録供用罪も当たらないのではないか。

*10 常識感覚として、この場合に可罰的違法性があるとまでは言えない気がしなくもないが、この罪は、個人的法益の罪ではなく社会的法益の罪であり、無断で人の電子計算機にアプリをインストールする行為が横行するようになるとプログラムに対する社会一般の者の信頼が損なわれるとして、そのような行為を犯罪としたものである以上、法益侵害はあると言わざるを得ないのではないか。ただし、刑法上の「人の」は「他人の」という意味であるとされており、この意味での「他人」が親にとっての子をも含むのかは、まだ確認していない。

*11 ちなみに、交際していた男女間で無断で相方のID・パスワードを使用してメールを盗み読みした事案で、不正アクセス禁止法の不正アクセス罪として処断された事案が複数ある。不正アクセス罪も社会的法益の罪であり、交際していた男女間であっても、本人の承諾なくID・パスワードを使用すれば、「アクセス制御機能により実現される電気通信に関する秩序の維持」(同法第1条)が阻害されることから犯罪とされる。スマホに無断で不正指令電磁的記録該当アプリをインストール行為も同様に考えることができるだろう。

*12 文面上は「ウイルス作成罪などには該当しない」とあるが、これは供用罪にも該当しないという意味だろう。

*13 この点、読売新聞記事での園田教授のコメントがどちらの考え方に立ったものかは不明であるが、「勝手にインストールした人は同供用罪にあたる可能性がある」とした上で、無条件に「作成・運営者は(略)作成罪や提供罪に」とされていることから、(α)の考え方(静的に決まる)に立っていると受け取れる。(β)の考え方(動的に決まる)に立つなら、作成・運営者が作成・提供罪に当たり得るのは、「そのような用途を作成・提供の目的としている場合には」といった条件付きとなるはずである。

*14 この説明からすると、親が子に買い与えたスマホに「カレログ」を無断で入れて行動を監視した場合、「不正な」の要件で落ちる(プライバシー権が侵害されない場合には)ということなのかもしれない。

本日のリンク元 TrackBacks(5)

2012年04月29日

オプトアウト不履行の責任はどう問えるか(と書こうと思ったら終了していた)

AppleがiOSアプリでのUDIDの使用を禁止にする方針を示すなか、KDDI子会社の広告会社mediba(JIAA加盟社)が、行動ターゲティング広告用のトラッキング目的で(UDIDの代わりに)MACアドレスを使用する旨を公表していたことに皆が気付いたのは3月16日から17日にかけてのことであった。当時、medibaのサイトには以下のようにはっきりとその旨が書かれていた。日付は2月20日となっていた。

画面キャプチャ
図1: mediba社の「広告とプライバシーについて」が、
MACアドレスのトラッキング目的利用を宣言していた様子(2012年3月16日時点)

「UDIDが禁止になるからMACアドレスを使う」というのはじつに筋が悪い。なぜUDIDが禁止されるのかその趣旨を知りながらMACアドレスを使うというのであれば、脱法的であると言わざるを得ない。(それどころか、MACアドレスを使うのはUDIDを使うより悪い*1。)

あれだけ業界の皆で駄目だ駄目だと言っている最中に、こうも堂々とこういうことをされると、呆れるというより、このまま貫き通すだけのよほどの自信があるのだろうと推察され、長い戦いになりそうだと戦慄が走ったのだったが、それはともかく、medibaのこのときの対応はもっとトンデモなことになっていた。

medibaのオプトアウト手段提供のページは以下のようになっていた。

画面キャプチャ 画面キャプチャ 画面キャプチャ
図2: medibaのオプトアウト手段提供ページ(2012年3月16日時点)

なんと、iPhoneのMACアドレスを調べてて入力せよというのである。

百歩譲ってそれはいいとしよう。しかし、これの実装方法がトンデモなものだった。このページの「送信」ボタンを押したときに実行されるJavaScriptコードは以下のようになっていた。

画面キャプチャ
図3: 「送信」ボタンで実行されるJavaScriptコード

なんと、入力された文字列をそのままSHA-1ハッシュ*2して送信していたのである。そして、MACアドレスの入力に際して、16進数の入力が必要となるが、A〜Fの文字を、大文字で入力すればいいのか、小文字で入力するのか、何ら注記されていなかった。加えて、区切りを「-」とするのか「:」とするのか、はたまた区切りを入れてはいけないのかについても注記がなかった。

つまり、入力方法は以下のように様々なバラエティが考えられるところ、これのどれか一つが正解であって、それ以外で入力した人は、オプトアウト手続きが無視されることを意味する。

表1: MACアドレスの表記方法の例とそのSHA-1値
MACアドレスの表記例SHA-1値
12:34:56:ab:cd:efc3fe7707f399b2999a0c936cfbb34981259e922d
12:34:56:AB:CD:EF049c2d42edac9008eda9a724a6c79c501fb8f531
12:34:56:Ab:cD:eF2fafb35b53ec2b90a7a64bef2d0d0b188a8f35ef
12-34-56-ab-cd-ef80bc761b01240463d6a1e81a4a62d3402331f14c
12-34-56-aB-Cd-Efea88d06300288f3ae31096e8c0fcbbb06bc6c15c
12-34-56-AB-CD-EFb8376c7a5ee83416d68f693e1cda6b65982b3707
123456abcdefd4fbef92af33c1789d9130384a56737d181cc6df
123456AbcDeF79b1f0b2641ddcaf364883d75bf746c577865d1c
123456ABCDEFcc1c4d837fc67e9ceed47034e906de78180dedd1

いったいどうするつもりなのだろうか。全部の表記に対応しようにも、後の祭りである。これまでにオプトアウトの入力をした人の分をどうするのか。サーバにあるのは表1のどれか一つ(さらなる他の値の場合もある)の値であるわけで、元の値(MACアドレス)に戻す事はできない(すべてについて)わけだ。*3

真っ当な対処は、全ての利用者(この広告モジュールを埋め込んだ全てのアプリの全ての利用者)に、この過ちを周知し、既にオプトアウトした人はもう一度オプトアウトするように呼びかけるしかない。しかし、堂々とUDIDをMACアドレスで代替するような会社がそういうことをやってくれるとは考えにくい。

このまま放置したり、しれっと直して周知しなかった場合に、はたして、正しい対処を強制することはできるだろうか。米国ならば、FTC(連邦取引委員会)に通報すれば処置してもらえそうだが、日本ではどうなのか。

幸い、medibaはJIAA加盟社であり、mediba自身、この取組みがJIAAの「行動ターゲティング広告ガイドライン」に従ったものであることを宣言しているから、JIAAに通報すればよいかもしれない。JIAAの存在意義が試されることになるだろう。

と、そんなことをこのブログエントリに書こうと思い立ち、改めてmedibaのサイトを見に行ったところ、なんと、奇遇にも4月26日付で、medibaの方針が変更され、MACアドレスの利用が中止になっていた。

なんと、Android向けの広告モジュールで端末ID「Android ID」を利用していた件についても、5月で中止にするそうだ。これはめでたい。(加えて、ローカルストレージの使用も中止するようで、これもよいことだ。)

何がきっかけとなってこのような方針変更に至ったのかは定かでないが、この間に、AppleがUDID使用アプリの締め出しを開始し、GoogleのAdMobもUDID(のMD5値)の使用を中止していた。

Googleがこの方針をとったということは、そのうちAndroidにおいても同様の措置がとられるのではないか。

medibaは、今回の発表で、「ターゲティング広告を行わないSDKを配布」としていることから、アプリでのターゲティング自体をやめてしまうのだろうか。たしかに、AndroidやiOSにおいて、アプリ間にまたがった行動ターゲティング(アプリの利用状況をトラッキングした)を実現するには、端末IDを使用するしかなかった(又は、他の方法を用いても対策は不完全となる)。

従来の、Webのアドネットワークで行動ターゲティングが(オプトアウト手段の提供を前提に)許容されてきたのは、第三者cookieを用いていたからであり、第三者cookieは、広告サーバでしか取得できない値であることから(広告サーバ上で個人を特定することをしないのを約束として)「匿名のID」(他と共通に使えるIDではない)とされてきた。

スマホのアプリでは、この第三者cookie相当の機能がないため、同様のことが実現できなかったわけだが、今後、WebのIFRAMEのごとく、アプリの画面上に別のアプリの画面を部分的に重ねる機能をOSが提供してくれるとか、あるいは、アプリの画面の上にWebブラウザの画面の一部を重ねて表示させる機能が実現されれば、Webのアドネットワークと同等のことが可能になるのではないか。そうだとすれば、行動ターゲティング広告への道が絶たれたわけではないだろう。

なお、改訂された4月26日のmedibaの文書でも、誤った不適切な記述がある。

画面キャプチャ
図5: 現時点でも書かれている誤った記述

Android IDを使用している現時点では、medibaの言う「端末識別情報」に、(cookieの他に)スマホの「端末ID」が含まれているわけだが、これを「これらの情報は、いずれも個人を特定する情報は含まれず、第三者が個人を特定することはできません」とするのは誤りである。cookieについては正しいが、「端末ID」を指して「第三者が個人を特定することはできません」というのは嘘である。

未だに何が問題とされているのかわからないままなのだろうかと残念なところだが、5月になれば、Android IDの使用中止に伴って、この記述も消え去るのだろう。

そのほかにも、「「オプトアウト」(ターゲティング広告の無効化)について」を見ても、このオプトアウトが、単に広告表示の停止のことを言っているように読めて、トラッキングの停止(行動履歴情報の収集の停止)をしてくれるようには読めないところにも問題がある*4

さらに付け加えておくと、今回、iOS版について端末IDを用いた行動履歴収集を中止したわけだが、これまでに収集したデータを廃棄したのかが明らかにされていない。中止したのなら廃棄したらよいだろうし、少なくとも、オプトアウトしたのにそれが(上記の原因で)正しく機能せず、誤って収集してしまっていた人達の分の行動履歴ついては、廃棄すべきだろう。廃棄しないのであれば、オプトアウトが機能していなかった事実を告知しなければならない。

*1 スマホが登場する前、一般的なPCの世界では、MACアドレスのこうした利用は御法度であった。AppleがわざわざUDIDを作った(といっても、UDIDはMACアドレスとシリアル番号とIMEI(後にECIDに変更)のSHA-1ハッシュ値にすぎない)のは、MACアドレスをそのまま使うのは憚られるためであっただろうと思われる。MACアドレスは、LAN(Wi-Fiを含む)のアクセス制限に使われることがあるので、そのための値を勝手に取得することはセキュリティ上許されないとする考え方があるのだろう。

*2 しかも、使用されていた「sha1.js」のコード(現時点でもWebに置かれたままのようだ)は、「http://www.webtoolkit.info/javascript-sha1.html」からパクって著作者出典表示を削除したという酷いものであった。

画面キャプチャ
パクられたコードの冒頭部分

*3 medibaの広告モジュールの側で、MACアドレスを様々な表記方法に変換した上でそれぞれのハッシュ値を送信するようにし、どれか一つでも一致すればオプトアウトされていると判断するようにする策が考えられるが、送信すべき値の組み合わせは、少なくとも1万2千通りほど(2^12*3)あるので、現実的でない。

*4 JIAAの「行動ターゲティング広告ガイドライン」では、第5条で、「広告提供事業者は、利用者に対し、広告提供事業者が行動履歴情報を収集することの可否、広告提供事業者が行動履歴情報を利用することの可否を容易に選択できる手段を、自社サイトの分かり易いページから簡単にアクセスできる領域で提供する。」としており、可否を選択できるべきは、「収集」と「利用」であり、広告の非表示のことではない。

本日のリンク元 TrackBack(0)

最新 追記

最近のタイトル

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|
最新 追記