高木浩光＠自宅の日記

■ 武雄市長、会見で怒り露に「なんでこれが個人情報なんだ！」と吐き捨て

「日本ツイッター学会（自称）」会長兼「日本フェースブック学会（自称）」会長の、武雄市長（佐賀県武雄市）が、武雄市の市立図書館で、CCC（カルチャー・コンビニエンス・クラブ）と提携して、Tポイントカードを導入するとの構想を発表した。

• 武雄市とカルチュア・コンビニエンス・クラブ株式会社の武雄市立図書館の企画・運営に関する提携基本合意について, CCC カルチュア・コンビニエンス・クラブ株式会社, 2012年5月4日
• ツタヤ運営企業に図書館委託 佐賀県武雄市, 共同通信, 2012年5月4日
• 図書館の運営、ツタヤに委託 佐賀県武雄市, 中国新聞, 2012年5月4日

  図書館の利用カードはCCCのポイントカード「Tカード」へ切り替える。Tカードは若い世代に普及しており、図書館を使わない人が多いとみられる若年層を呼び込む狙いがある。本を借りた人へのポイント付与も検討する。

午前の発表と夕方の記者会見の録画がUSTREAMで公開されている。

• 武雄新図書館構想発表記者会見, 2012年5月4日11時
• 武雄市とカルチュア・コンビニエンス・クラブ株式会社の武雄市立図書館の企画・運営に関する提携基本合意について, 2012年5月4日17時

夕方の会見では、USTREAM/Twitterからの質問も受けてもらえるとの情報があったので、早速、私からも以下の4点の質問を出した。

1. 図書カードをTポイントカードに置き換えるとのことですが、Tポイントカード以外を選択することはできるようにされるのでしょうか。
2. Tポイントカードで図書を借りたとき、借りたという情報はCCCに提供されるのでしょうか。
3. 図書館で初めてTポイントカードを作ることになる市民に対して、Tポイントの利用規約への同意は、図書館を利用する市民の全てに強制することになるのでしょうか。
4. 武雄市長は、Tポイントの利用規約「T会員規約」で、利用者の購買履歴が、記録されてCCC以外の事業者に提供される規約になっている事実をご存知ですか。（はい/いいえ）

これを会場で拾って頂くことができ*1、以下のように扱われた。（2つ目のUSTREAM映像の39分57秒あたりから。）

質問代読者：CCCさんのカードの契約と図書館法との整合性はこれから検討することになると思うが、何点かそこらへんに関して質問が来ています。まず一つ目ですが、図書カードをTポイントカードに置き換えるとのことだが、Tポイントカード以外を選択するということはできるのでしょうか。

武雄市長：？・？・？

質問代読者：ようするに今の図書館カードのまんまでもいいんでしょうか。

武雄市長：（略）基本的には来年の4月1日までにね、作業の遅れとかない限り、Tポイントカードに僕は完全に移行したい、というふうに思っています。

質問代読者：（略）では二つ目ですが、Tポイントカードで図書を借りたときに、借りたという情報はCCCに提供されるんでしょうか。

武雄市長：（CCC担当者を見つめる）

CCC担当者：そこはまだ決めていません。

武雄市長：ああ、ただね、ひとこと言うと、これね、今までね、これ個人情報だって名の下にね、全部廃棄してたんですよ。なんで本をね、借りるのが個人情報なのか、って僕なんか思いますので。じゃあどこまでいくかは別にしてね、で、僕はそれを元にしてリコメンドを出したいんですよ、リコメンドを。例えば、杉山さんがこういう本を借りましたとしたときにね、今度借りたときにピッと4月20日までに返してくださいと出るじゃないですか、今度のお奨めはこの本ですとかって、いうふうにしたいんで。

映像1：武雄市長が「何で本をね、借りるのが個人情報なのか」と声を荒げる様子*2

質問代読者：そこはあれですよね、市民の同意の上でですよね、

武雄市長：そうですもちろん市民の同意の上です。ですので、そういう意味で僕はもう、元々、何を借りたかっていうのは、なんでこれが個人情報だ！って思ってるんで、それも、まこれね、文科省と調整が必要とするかもしんないんでね、ただまあ僕の意見は意見として伝えていきたいと思いますし、で、これは市民の皆さんに対しての同意、同意が必要ですこれは。これは出してくれるなとかっていうことについてはそれは、ちゃんと、ね、配慮する必要があるだろうなと思います。

映像2：武雄市長が「何を借りたかっていうのは、何でこれが個人情報だ」と吐き捨てる様子*3

CCC担当者：今のところ補足なんですが、我々ですね、あの、CCCとして、個人の情報の履歴をですね、どこかに出したりってことは一切やっていないです。これは過去もやっておりませんので、ちょっとそこは誤解ないように、お伝えしたいなあと。

武雄市長：あ、うちも出してませんので。うん。CCCさんと一緒です。

CCC担当者：たぶん、やるとすればですね、より人気のある商品は何なんだとかですね、こういう、女性の方を含めるとこういう品揃えの方が喜ばれる、みたいな、新価値を高めるための、データのマーケティングでデータベースとして使用するということは、有り得るかなあというふうに思ってますが、個人の方がこうこと借りてるみたいなとかですね、世の中の方にお伝えするみたいなことは一切やりませんので。そこはよろしくお願いします。

質問代読者：三つ目です。図書館で初めてTポイントカードを作ることになる市民に対して、Tポイントの利用規約への同意は、図書館を利用する市民の全てに強制することになるのか。

武雄市長：（CCC担当者を見る）

CCC担当者：そこはですね、その問題はあるなと思ってまして、規約をそれぞれ作った上で整理をしていかないといけないなあというふうに思っています。で、窓口でそれをどうとるのかというオペレーショナルな部分はこれから詰めることになります。

質問代読者: えーと、Tポイントの利用規約で、今のでだいたいご質問の答えは共通すると思うんですが、Tポイントの利用規約で、利用者の購買履歴っていうのはCCC以外の事業者に提供される規約になっているっていうのが現在の規約ですけども、これをご存知かどうかということと、それについてどうされるのかと、いうことは、まあ、検討中ということですかね。

CCC担当者：そうですね。

どんな本を借りたかが個人情報でないとは斬新な市長だ。しかもそこを、このように怒りをぶつけるようにして言ってしまうというのは、どのような気持ちの背景があるのだろうか。

■ 「個人情報」定義の弊害、とうとう地方公共団体にまで

現行個人情報保護法の「個人情報」の定義に不備があることを、これまでずっと書き続けてきた。「どの個人かが（住所氏名等により）特定されてさえいなければ個人情報ではない」（のだから何をやってもよい）とする考え方がまかり通ってしまいかねないという危機についてだ。

2003年からはRFIDタグ、2008年からはケータイIDによる名寄せの問題を中心に訴えてきたが、当時、新聞記者から説明を求められるたび、最後には「被害は出ているのでしょうか」と、問われたものだった。当時は悪用事例（不適切な事例）が見つかっておらず（表沙汰になるものがなく）、これが問題であるという認識は記者の胸中にまでしか届かなかった。

それが、昨年夏から急展開。スマホアプリの端末IDを用いた不適切事案が続々と出現し、それぞれそれがなぜ一線を越えているか説明に追われる日々になった。スマホの端末IDの問題は米国でも顕在化したことで、AppleがUDID廃止に動き、この問題への理解はようやく広まった。今では、この業界で堂々と「個人が特定されていなければ個人情報でない」を持ち出す人は少なくなったのではないか。

近ごろでは、さらに進んで、「統計情報なので（無断で収集しても）問題ない」という言い訳が聞かれるようになってきた。例えば、4月27日のNHK総合テレビ「情報LIVEただイマ！」でも、以下の説明がなされていた。

• 不況ニッポンの救世主！？クーポン新時代, 情報LIVEただイマ！, NHK総合テレビ, 2012年4月27日

  不思議！？グッドタイミングで届くクーポン

  （略）行動履歴とは、私達が通販サイトのどのページで、何を買ったのかという、いわば「ネット上での足跡」です。通販サイト運営側などには、私達の行動履歴が蓄積されていきます。この行動履歴を分析する事で、ユーザーが便利に感じるサービスを提供できると言うのです。（略）

  ただし、（略）番組で紹介した行動履歴の分析は個人を特定出来ないようにグループ化したデータを分析しています。個人情報保護法に触れたり、個人のプライバシーを侵害する情報の分析は紹介していません。

これは言っていることがおかしい。「個人を特定出来ないようにグループ化」したというのに、いったいどうやって、その個人に届けることができるというのだろう？

行動履歴を収集する事業者の間で、「個人を特定できない暗号化をしています」とか、「個人を特定できないよう統計化しています」といった、根拠不明な宣言が目立つようになってきた。それらは本当に個人特定ができないものなのか？

そしてとうとう地方公共団体の首長までもがそれを持ち出すようになってしまった。

「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものですので、匿名の貸出情報の公開は個人情報には当たりません。 RT @(cont) tl.gd/hadesn

— 武雄市長 日本ツイッター学会長　樋渡啓祐さん (@hiwa1118) 5月 7, 2012

• 図書館貸出情報の扱い、ご安心ください！, 武雄市長物語, 2012年5月6日

  ユーストでも言いましたが、「貸出情報は個人情報には当たらないというのは僕の持論」。皆さん、個人情報ってどういうものなのか、一度まとめてみますね。（略）

  そうなんです。法令においては、「特定の個人が識別することができるもの」となっているんですね。

  では、論点の図書館の貸出履歴が、個人情報に当たるかというと、ちょっと具体的に言うと、「樋渡啓祐が「深夜特急」「下町ロケット」「善の研究」を5月６日に借りた。」この情報が外部に出るとこれは個人情報の関係法令の適用に当たる、これは当然。

  僕が言っているのは、「５月６日２０時４０分、４２歳の市内在住の男性が、「深夜特急」「下町ロケット」「善の研究」」を借りた。」ということそのものについては、個人が特定できないし、仮にこれが外部に出ても法令に照らし、全く問題がない、これが僕の見解であり、図書館の貸出履歴は、これをもとに、個人情報に当たらないって言っているんです。

これを「リコメンドにあてたい」とのことだが、個人を特定できないようにしたのに、どうやってその個人にリコメンドするのか。

たとえ法令上の個人情報に該当しない（という解釈が可能）としても、まずはそれを個人情報（と同等）とみなしたうえで、それをどう保護するか、どう利活用するかを検討するべきところを、どうしてこうも真っ先に「個人情報でない」としてしまいたがるのだろうか。ルールの箍が外れた時点で、恣意的にどうとでもできてしまいかねない危うい事態となってしまうではないか。

真面目に取り組んでいらっしゃる事業者の方から個人識別性について質問を受けたことがあるが、そのとき私は、「いっそのこと（法の言う）個人情報と同等にみなして扱えばいいのでは？ それで何か困ることがありますか。」と答えたことがある。（実際、既にそのようなプライバシーポリシーを掲げている事業者もある。）

総務省も、2年前の「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」の第二次提言で、個人識別性と行動ターゲティング広告の関係について、

配慮原則の対象となる情報は、特定の端末、機器及びブラウザ等（以下「端末等」という。）を識別することができるものとする。対象情報は、個人情報保護法上の個人情報であるか否かを問わない。

利用者視点を踏まえたICTサービスに係る諸問題に関する研究会第二次提言, 総務省, 2010年5月26日

とした上で、「配慮原則」として、(1)広報、普及・啓発活動の推進、(2)透明性の確保、(3)利用者関与の機会の確保、(4)（以下略）を挙げている。

このような捉え方は、米国の消費者プライバシー権利章典でも以下のように、スマホの端末IDに紐付けられた履歴情報などを明確に「personal data」と位置付けており、今後の主流となっていくはずだと思う。

The Consumer Privacy Bill of Rights applies to commercial uses of personal data. This term refers to any data, including aggregations of data, which is linkable to a specific individual. Personal data may include data that is linked to a specific computer or other device. For example, an identifier on a smartphone or family computer that is used to build a usage profile is personal data. This definition provides the flexibility that is necessary to capture the many kinds of data about consumers that commercial entities collect, use, and disclose.

しかし、日本の個人情報保護法上は、端末ID等は、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」に該当しないとされており、「個人情報」ではないことになってしまう。（総務省の「第二次提言」は単なる提言にすぎない。）

このように狭く規定された定義は、10年前にこの法律が制定された際に、民間の事業の自由に配慮したためと言われている。これは、行政機関個人情報保護法ではこの部分が「他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの」と「容易に」の要件がなく、広めに定義されているのと対照的である。行政機関はそれだけ責任が重いということでもあろう。

対して、地方公共団体ではどうかというと、それぞれの独自の個人情報保護条例に従うことになるわけだが、「個人情報」の定義が自治体によって異なり、大別して3種類存在する*1ことが判明している。

照合可能型

「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの（他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。」（千代田区の例）
（行政機関個人情報保護法と同等のもの）（多数派）

容易照合型

「生存する個人に関する情報であって、特定の個人が識別され、又は識別され得るもの（他の情報と容易に照合することができ、それにより、特定の個人を識別することができることとなるものを含む。）をいう。」（千葉市の例）
（民間と同等としたもの）

照合除外型

「個人を対象とする情報であって、特定の個人が識別することができるものをいう。」（武雄市の例）
（照合性の括弧書きが欠如している）（少数派）

武雄市の定義は、照合によって「特定の個人を識別することができることとなる」場合を含むとの括弧書きが欠けているため、民間向けの「個人情報」定義よりもさらに狭く、民間よりもフリーダムなものになっている。この定義を採用している地方公共団体は他にもあるが、全国でもかなりの少数派のようである。

こんなバラバラの個人情報保護条例でいいのか？という問題提起が、昨今、番号制度に係るシンポジウムの席などで、鈴木正朝先生から度々指摘されている。鈴木先生の著書にはこれについて以下のように述べられている。

個人情報保護法制において、個人情報概念は、行政規制の対象（保護の対象）となる情報の範囲を画定する基本用語であると同時に、法の適用の有無を決する重要な機能を担っている。個人情報の定義がこのように微妙に異なっていることに積極的意義は見出しがたい。自治体クラウド、医療クラウド、その他官民にわたる広域的な情報ネットワークを流通する個人情報を法的に規律するうえで阻害要素の1つになっている。基本概念は統一し、必要があれば保有個人情報などの別の用語で調整することで十分に対応可能であろう。法技術的な問題であるが、その背景には個人情報保護法の理論的基礎のあいまいさがある。

（略）

自治体クラウドの場合は、47都道府県と1747の市区町村ごとに異なる個人情報保護条例に対応していかなくてはならない。合計1794に分立した地方議会ごとに個人情報保護条例が制定されている現状は、さながら国内におけるデータ越境問題であり、ベンダ等に対してその法的対応コストを過剰に強いている面がないわけではない。

（略）本格的な情報ネットワーク時代に入り莫大な情報化投資が予想される今日、再度根本から問い直す必要がある。

（略）それぞれの主体の中で個人情報が完結的に取り扱われるという前提が崩れ、官民シームレスに情報が流通し得る分野が登場してきた今日、個人情報保護法制上の基本用語の統一はもとより、その法理論の統一を図っていかなければならない。

「クラウド・コンピューティングの法律」第5章「個人情報保護法制とクラウド」, 鈴木正朝, 2012年2月発行

照合除外型がなぜ生まれてしまったのかは不明である。何らかの配慮があって民間よりフリーダムなものに規定したのか、それともミスの部類なのか。

そもそも、市区町村に個人情報保護条例を独自に規定して運用するだけの専門性のある人材がいるのか怪しいという話も、プライバシー法制研究者の間では度々語られている。

そういう状況で浮上してきたのが、今回の、図書館の貸出履歴の扱いである。

個人情報保護法上の扱いは別として、日本法において、パーソナルデータやプライバシーデータの保護は、その情報の取得手段ごと、また、その情報の種類ごとに継ぎ接ぎで、部分的に特別に保護されている状況となっている。

取得手段ごと

• 電気通信事業法、電波法、有線電気通信法による通信の秘密の保護
• 刑法168条の2（不正指令電磁的記録に関する罪）によるスパイウェアからの保護
• 不正アクセス行為の禁止等に関する法律による不正アクセス手段からの保護
• 他……（未整理）

情報の種類ごと

• 刑法第134条（秘密漏示罪）による医療情報の保護
• 他……（未整理）

網羅的でないが上記のように整理して、取得手段で見てみると、電気通信事業法では、どんな情報であれ盗聴した時点で違法であり、その内容が特定の個人が識別されるものか否かは関係ない。「DPI広告」について総務省の第二次提言が整理したように、もし利用者の同意を得てDPI広告をやるというのであれば、「個別かつ明確な同意である必要がある」*2とされているし、不正指令電磁的記録の罪の観点からも、スマホアプリがそれに該当するときは、盗む情報に特定の個人が識別される情報が含まれているかは関係なく、欺瞞的なアプリ実行のさせ方が問題となる。

また、これらでは、取得の手段が違法である限り、いくら取得したデータを統計化するなどしてプライバシーに配慮した情報に加工して活用すべく努力したとしても、許されるものではない。

対して、図書館の貸出履歴はどうなのかというと、図書館法には貸出履歴の秘密に関する規定はないのだという。

図書館法に規定がないとなると、「同意があればやっていい」というときの「同意」はどの程度のものになるのか。通信の秘密においては、「個別」かつ「明確」な同意である必要があるとされ、「ホームページ上の周知だけであったり、契約約款に規定を設けるだけであったりした場合は、有効な同意があったと見なすことは出来ない」とされているが、図書館の貸出履歴においても同様のことを求めることができるのか。

少なくとも、民間の購買履歴を扱っているTポイントカードでは、利用者の同意は「個別」かつ「明確」なものでは全然なく、単に契約約款に規定があるだけであり、人々のほとんどは、何が行われているのか知らないまま、Tポイントカードを店で提示しているのが実態と思われる。*3

類似の話は、公共交通機関における乗車履歴について2月27日の日記で書いた。鉄道事業法に乗車履歴の秘密に関する規定はなく、国土交通省告示の「国土交通省所管分野における個人情報保護に関するガイドライン」にも乗車履歴に関する特記事項は見当たらない。これは、乗車履歴が事業者側で記録されるようになったのが、Suicaが登場して以降の最近のことであるため、追いついていないのではないか。

一方の図書館はといえば、長い歴史があるわけで、なぜ法令に規定されていないのか私にはわからないが、「図書館の自由に関する宣言」というものがあるらしいことを、（それまで関心がなく知らなかったが）一昨年になって知った。ここで次のように宣言されている。

第3 図書館は利用者の秘密を守る

読者が何を読むかはその人のプライバシーに属することであり、図書館は、利用者の読書事実を外部に漏らさない。ただし、憲法第３５条にもとづく令状を確認した場合は例外とする。

図書館は、読書記録以外の図書館の利用事実に関しても、利用者のプライバシーを侵さない。

利用者の読書事実、利用事実は、図書館が業務上知り得た秘密であって、図書館活動に従事するすべての人びとは、この秘密を守らなければならない。

図書館の自由に関する宣言, 日本図書館協会

これは法令ではなく協会の宣言にすぎないわけだが、業界の自主的ガイドラインとして機能し、それがこれまで非常に良く機能していたために、図書館法にあえて貸出履歴の秘密の保護を規定するまでもなかったということだろうか。

そうした、いわゆる「soft law」（法的拘束力を持つ「hard law」ではない）による規律というものが、果たして日本で機能するのかが問われるところ、今回の武雄市の事案では、首長が以下のように主張している。

• 図書館貸出情報の扱い、ご安心ください！, 武雄市長物語, 2012年5月6日

  僕はね、一言も法令を無視するとも「図書館の自由に関する宣言」を無視するとも言っていないんですね。そもそも、この図書館の自由に関する宣言がまたくせ者。「図書館の自由に関する宣言」「図書館員の倫理綱領」に反する、という意見も見られましたが、中身そのものも僕は話にならないと考えている。まぁこれはいろんな人のいろんな考えがあるでしょう。問題はこの宣言の立ち位置。この宣言は日本図書館協会という図書館関係者の「部分社会」（法学用語）の宣言で、一般社会には法規性は何らないんですよね。

「ビッグデータ」が叫ばれ、こういう状況までもが出てくるようになった今となっては、もはや、立法措置によるちゃんとした法規制が急務ではないだろうか。特に、武雄市の個人情報保護条例は民間よりもフリーダムなものになっている点でまずい。

海外の図書館のことは私は門外漢でわからないが、専門家によると、図書館や読書について特別にプライバシーを保護する規制が見られるとのこと。

ちなみに武雄の図書館Tカード読書プライバシー問題、『デジタルコンテンツ法制』3章でも触れた通り米では電子書籍を含む読書プライバシー法(SB602、カリフォルニア)が制定されるなど、国際的に読書履歴は普通の個人情報よりずっと規制厳しいです。 takagi-hiromitsu.jp/diary/20120504…

— Naoto Ikegaiさん (@ikegai) 5月 7, 2012

個人的には図書館Tカードみたいな官民連携はどんどん進めてほしいと思うけど、これはさすがに穏当に進めるには相応の制度的措置が必要な領域かなあと思う。書籍じゃないけど連邦法ではVideo Privacy Protection Actもご参照。 en.wikipedia.org/wiki/Video_Pri…

— Naoto Ikegaiさん (@ikegai) 5月 7, 2012

なお日本ではあまり話題になってないけど米国の読書プライバシー問題は最近ではグーグルブックサーチで盛り上がったのでした。多分CDTのこちらが一番論点が明確かな。カリフォルニア読書プライバシー法制定(2011)はこの騒動の影響。 cdt.org/copyright/2009…

— Naoto Ikegaiさん (@ikegai) 5月 7, 2012

ちなみに先の米ビデオプライバシー保護法(1988)は今でも結構重要で、最近だとフェイスブックのビーコン騒動ではシステムに乗ったビデオレンタル大手のブロックバスターが同法違反で訴えられたりしてます。結局破綻しちゃいましたが。 computerworld.com/s/article/9078…

— Naoto Ikegaiさん (@ikegai) 5月 7, 2012

米国では最近ではこういう「情報別」プライバシー立法の機運が強くて、ビデオの他にも読書情報、位置情報、電力情報などなど。最近はFTCが顔写真含む生体認証に注目中。この傾向が続くと（EU系のオムニバス方式に対置される）「セクトラル方式」という呼称自体少々再考が必要になってくるかも？

— Naoto Ikegaiさん (@ikegai) 5月 7, 2012

P.S.

私にできることはここまでです。ここから先は私の役割ではないと考えています。必要だと思われる方々で行動して頂くほかありません。昨年夏以来、次々と登場する事案に、私的な時間のほとんど全てを費やしてきましたが、そろそろ限界を感じています。「もしここで自分が書かなかったら」「そのままスルーになってしまうのではないか」そういう想いでこれまで走り続けてきました*4が、いったいいつまで続くのでしょう。私個人の行動ではなく、社会の仕掛けによってこれまでの各種問題が解決されていくようになっているべきです。欧州や米国に見られるような仕組みが早く日本にも確立されることを願ってやみません。

関連：「［解決への道］プライバシーコミッショナー制度を確立せよ - 法制度面から見たビッグデータ時代のプライバシー」, 日経コミュニケーション, 2012年3月号

■ 流出パスワードの紹介は改正不正アクセス禁止法第5条に注意

20日ほど前のこと、Twitterのものらしきパスワードが5万5千件ほど流出したそうだということで、「自分のものが含まれていないか確認しよう」という呼びかけが、Twitterやまとめサイトで展開されていた。この呼びかけは、「自分のメールアドレスとIDを調べることで、流出リストに自分が含まれているかどうか確認できます」として、晒されたID・パスワードのリストを紹介し、見てみることを奨めるものであった。このような行為は、5月1日に施行された改正不正アクセス禁止法の第5条に違反する虞れがあるので注意が必要である。

不正アクセス禁止法は、今年3月に国会で改正案が成立し、5月1日から改正法が施行されている*1。他人の識別符号を提供する行為は、「不正アクセス行為を助長する行為の禁止」として改正前では4条に規定されていたが、これが5条に移されて、内容が以下のように変更された。

改正前：

（不正アクセス行為を助長する行為の禁止）
第四条 何人も、アクセス制御機能に係る他人の識別符号を、その識別符号がどの特定電子計算機の特定利用に係るものであるかを明らかにして、又はこれを知っている者の求めに応じて、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。ただし、当該アクセス管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得てする場合は、この限りでない。

改正後：

（不正アクセス行為を助長する行為の禁止）
第五条 何人も、業務その他正当な理由による場合を除いては、アクセス制御機能に係る他人の識別符号を、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。

変更点は以下の3つである。

• 「その識別符号がどの特定電子計算機の特定利用に係るものであるかを明らかにして、又はこれを知っている者の求めに応じて」との要件が削除され、禁止行為の範囲が大幅に拡張された。
• 「業務その他正当な理由による場合を除いては」との要件が加えられた。
• 「当該アクセス管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得てする場合は、この限りでない」との但し書きが削除された。

改正前では、どこのアクセス制御機能で使えるID・パスワードなのか不明な場合は禁止対象でなかったのが、改正後では、どこかのアクセス制御機能で使える（行為者の認識においてもそうだろうという）ID・パスワードであれば禁止対象となった。これは大幅な変更であり、すべての人が注意を要する。

パスワードの流出事件はこれまでにも何度もあり、その都度セキュリティ関係者の間で、流出したID・パスワードのリストのURLが紹介されるという事態は起きていた。その場合でも改正前4条に違反する虞れはあったが、当該アクセス管理者が対策処置（当該パスワードの変更やアカウントの削除）をとった後であれば、それはもはや当該アクセス制御機能における識別符号ではなくなる*2ので、そのような場合には、流出したパスワードを誰かに紹介する行為は合法であり、正当なものとしては、主に、パスワードにはどんなものが多く設定されているかその実態の分析と周知のためなどに、そうした情報共有が行われることがあった。

今回のケースでも、Twitterのアクセス管理者が即座に対応をし、以下のようなツイートをしていたことから、「既に対策はとられている」という理由をもって改正前4条ならば違反にならないという考え方も可能であった。

まだ社内で調査中ですが、一部のアカウントにパスワードリセットが行われたようです。スパムアカウントだけで、一般のユーザーさんには影響がないと思われますが、ご心配の方はパスワードの変更をされてください。ご心配をおかけして申し訳ありません。support.twitter.com/articles/24192…

— twjさん (@twj) 5月 9, 2012

• 昨日の「パスワード流出」というニュースについて, Twitter Blog, 2012年5月10日

  流失したとされているアカウントには、Twitterからパスワードのリセットのリクエストをかけました。大半はスパムアカウントとして停止されているもので、普通にTwitterを使われている方々のアカウントはこのリストには含まれていません。

しかし、今回は、改正法施行後に起きた。改正後5条では、その識別符号がどこかのアクセス制御機能で使えるもの（行為者の認識においても）であれば、提供行為は禁止される。

今回晒されたID・パスワードには、Twitterだけでしか使われていないとは言えないものも含まれていた。つまり、Twitter公式ブログでは「大半はスパムアカウント」とされ、多くのID・パスワードが乱数で機械的に生成されたもののようだとする説もあったが、実際のリストを確認してみたところ、そのようなものばかりではなく、実在しそうなメールアドレスと人が使いそうな普通のパスワードの組のものもかなりの量が含まれていた（図1）。

図1: 晒されたID・パスワードのリストに普通のものも含まれていた様子

このようなID・パスワードは、Twitter以外の様々なWebサイトその他で、アクセス制御機能の識別符号として使われている可能性がある。これらが実際にそのようなもので、そのような認識でこれらを提供すれば、不正アクセス禁止法第5条違反ということになる。

ここで、「提供しているのはPastebinに貼付けた奴で、自分はそこにリンクしただけだ」という釈明が通るかという論点がある。ここには2つの論点があり、1点目は、リンクで閲覧を誘導する行為が提供に当たるのかという点、2点目は、公開状態のものをさらに提供する行為も禁止されているのかという点である。

2点目について、逐条解説書（改正前に書かれたもの）に、第2条第2項の識別符号の定義の解説において次の記述がある。

識別符号であるID・パスワードがハッカーによりホームページで公開されて第三者に知られてしまっている場合など、利用権者等でない第三者が当該識別符号の入力による特定利用ができる状態があったとしても、アクセス制御機能により特定利用が制限されていることに変わりはない（略）。ただし、ID・パスワードが広く知られてしまっている状態をアクセス管理者があえて放置していて、誰でもそのID・パスワードを用いて特定利用することができるようになっている場合は、当該特定利用については、アクセス制御機能による制限がないと言わざるを得ないと解されよう。

逐条 不正アクセス行為の禁止等に関する法律〔補訂〕, p.61, 立花書房, 2001年

つまり、例えば今回のケースで言えば、Twitter運営者があえて放置している場合には、もはやその識別符号による「アクセス制御機能による制限」はないということで、公開状態になっているID・パスワードを（TwitterのID・パスワードであることを明らかにして）さらに誰かに提供しても、それは（改正前では）違法とならないという考え方が有り得た。

しかし、「アクセス管理者があえて放置していて」というのは、当該アクセス管理者がその状況を認識していることが前提であって、今回のTwitterのケースであれば、「TwitterのID・パスワードだぞ」と名指しされたからこそ認識できるわけであって、Twitter以外の他のサイトで、同一のID・パスワードが利用されている場合に、それら他のサイトの全てのアクセス管理者が、この流出の事態に気付くということは考えにくい。したがって、改正後5条の観点からは、当該識別符号が使われている全てのアクセス管理者について「アクセス管理者があえて放置していて」という状況は考えにくい。

この点でも、「流出パスワードの提供」という行為のうち改正前では合法であった場合が、改正により合法でなくなっている。

このように、今回の改正で、他人の識別符号の提供行為の禁止は大幅に拡張されている。そのようなものまで処罰対象とするのは過剰な規制ではないかという意見もあるかもしれない。

しかし、今回の法改正の趣旨は、法の制定から12年以上が経過した今日では、ID・パスワードを登録するサービスの数が大幅に増え、人々は同じID・パスワードを複数のアクセス制御機能に使い回して登録せざるを得ない状況になったという情勢変化に対応したものである。

実際、3年ほど前から、不正アクセス事件の原因として、他のサイトで流出したID・パスワードが入力されているのではないかとの疑いがもたれるようになっていた。

• iTunesストアの不正アクセス被害で問題にすべきポイントは何か, 高木浩光＠自宅の日記, 2010年2月17日
• 「おまえがパスワードを流出させたんだ」と決めつける迷惑な人々, Web屋のネタ帳, 2008年9月10日

このような疑いはこれまで憶測でしか語ることができず、検証が行われたこともなかったが、今回の法改正に際して警察庁が調査を開始しており*3、ひとまず以下の結果が出ている。

• 侵入、100回に4回成功 不正アクセス「ログイン攻撃」 警察庁調査, 朝日新聞2012年3月10日夕刊

  大量のIDとパスワード（PW）の組み合わせを次々に自動入力してシステムへの侵入を試みる「ログイン攻撃」の実態を、警察庁が調べたところ、100回に4回もの頻度で侵入されていたことがわかった。同庁は、他人になりすました取引やメールの盗み見などに悪用されている恐れもあると見て、不正アクセスの実態把握に乗り出す。

  調査は昨年、ゲームやショッピングなどのサイト運営企業14社に実施した。うち8社が、1カ月間に約265万回の攻撃を受け、約10万回不正侵入されていた。

  （略）警察庁幹部は「有効だとわかったIDとPWは、売買され、悪用される」と見るが、実態はわかっていない。（略）同庁幹部は（略）「同じPWなどを使い回す人は多く、1社が黙っていれば被害は広がる。情報は攻撃対象や手口を分析し対策にいかす」と説明している。

今後この調査が進めば、どこかで流出したID・パスワードのリストが「ログイン攻撃」（「大量のIDとパスワードの組み合わせを次々に自動入力してシステムへの侵入を試みる」）に使われている事実が立証されるかもしれない。

「同じパスワードの使い回しをする奴が悪い」という考えの人もいるだろうが、私はそれに同調しない。自己防衛策として「パスワードを使い回ししないようにすると良いですよ」とするアドバイスは結構だが、「パスワードの使い回しをしてはならない」ことを前提とした社会になるべきではない。同じパスワードを使い回す自由がある。

このような状況に鑑みて、今回の法改正は、当初の目玉であったフィッシング行為の禁止（7条）の他に、識別符号の不正な流通を防止する禁止規定も設けたのである。このことについて、警察庁の「不正アクセス禁止法改正Q&A」は次のように説明している。*4

• 不正アクセス禁止法改正Q&A, 警察庁, 2012年4月

  Q5 改正法により禁止・処罰範囲が拡張される助長罪（第5条）について教えてください。

  A 改正前は、他人のID・パスワードを、そのID・パスワードがどのウェブサイト（のサービス） に対するID・パスワードであるかを明らかにして、又はこれを知っている者の求めに応じて、無断で第三者に提供する行為を禁止・処罰の対象としていました。

  しかし、近年、一人の人間が利用するコンピュータのサービスの数が増加しており、同一のID・パスワードを多数のサイトで使い回す例が一般化しています。その結果、提供されたID・パスワードがどのウェブサイト（のサービス）に対するものかが明らかでなくとも、多数のID・パスワードを入力すれば一定程度の割合で不正ログインに成功する場合があることから、今回の改正により（略）他人のID・パスワードを提供する行為が全て禁止され、違反者は（略）こととなりました。

今回の改正では、識別符号の不正な流通を防止するため、提供の他に、取得と保管も禁じている。

（他人の識別符号を不正に取得する行為の禁止）
第四条 何人も、不正アクセス行為（第二条第四項第一号に該当するものに限る。第六条及び第十二条第二号において同じ。）の用に供する目的で、アクセス制御機能に係る他人の識別符号を取得してはならない。

（不正アクセス行為を助長する行為の禁止）
第五条 何人も、業務その他正当な理由による場合を除いては、アクセス制御機能に係る他人の識別符号を、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。

（他人の識別符号を不正に保管する行為の禁止）
第六条 何人も、不正アクセス行為の用に供する目的で、不正に取得されたアクセス制御機能に係る他人の識別符号を保管してはならない。

不正アクセス行為の禁止等に関する法律 最終改正：平成二十四年三月三十一日法律第十二号

このように、他人の識別符号を取得する行為（第4条）や保管する行為（第6条）も禁止されているが、これらはいわゆる「目的犯」であり、不正アクセス行為の用に供する目的がなければ違法でない。「不正アクセス行為の用に供する目的」とは、自分自身が不正アクセス行為に及ぶ際に使うつもりがある場合や、自分以外の誰かが不正アクセス行為に及ぶ際に使われるであろうことを期待している場合など、そのような目的がある場合を指す。

したがって、今回Pastebinに晒されたリストを閲覧したとしても、（閲覧しただけで取得には当たる*5が）それだけでは（不正アクセス行為の用に供する目的がなければ）4条違反でないし、閲覧したリストをハードディスクに保存したとしても、それだけでは（不正アクセス行為の用に供する目的がなければ）6条違反ではない。（加えて、6条では、保管が違法となるのは「不正に取得された」他人の識別符号に限られている*6。）

単純所持罪ができたわけではないので、不正アクセス目的取得罪とか、不正アクセス目的保管罪と言うべきものだろう。*7

今回の騒動で、Pastebinに貼られた識別符号を閲覧した人、保存した人はかなりの人数にのぼると思われるが、不正アクセス行為の用に供する目的がなければ違法でないので、そこを心配することはない。

しかし、提供（第5条）は違う。第5条は目的犯ではない。不正アクセス行為の用に供する目的がなくても、単純に他人の識別符号を（利用権者やアクセス管理者以外の者に）提供したら、それだけで違法である。

このことは、改正前4条でも同様で、「不正アクセス行為を助長する行為」として禁止されている。不正アクセスを助長する行為は慎むべきとして単純に禁止されているのである。「悪気はなかった」は通用しないのであるが、罰則は軽めで、懲役刑や禁固刑はなく、30万円以下の罰金とされている。

5条違反であっても、12条1項2号に規定されている通り、「相手方に不正アクセス行為の用に供する目的があることの情を知って識別符号を提供した」場合の罰則は、1年以下の懲役又は50万円以下の罰金となっており、目的犯である4条、6条と同じ重さに規定されている（そうでない単純提供の場合は第13条の規定が適用される）ように、不正アクセス目的の有無で罪の重さが差別化されている。

そのことからも改めて認識させられるように、相手方に不正アクセス行為の用に供する目的があることの情を知っていなくても、他人の識別符号を提供するのは、罰金刑のある違法行為なのである。

このことに気付かずに、ついつい、晒されているID・パスワードをさらに広めてしまう過ちを犯してしまいがちな予感がするので注意したい。

なお、これが禁止されてしまうと、従来行われてきたような、パスワード流出の事実を通報したり、注意喚起することができなくなってしまうのではないかとの懸念が出てくるわけだが、5条では、（改正前4条にはなかった）「業務その他正当な理由による場合を除いては」との要件を設けて、違法となる範囲を狭めている。

「業務その他正当な理由」とは何なのかだが、刑法改正のときの「正当な理由がないのに」の要件は何ら限定するものにならないという刑法学者の見解とは違って、このような法定犯（行政犯）の「業務その他正当な理由による場合を除いては」という条文はちゃんと意味を持つのだそうだ。警察庁の「不正アクセス禁止法改正Q&A」は次のように説明している。

• 不正アクセス禁止法改正Q&A, 警察庁, 2012年4月

  Q6 改正により「業務その他正当な理由による場合」を除いて他人のID・パスワードを提供する行為が全て禁止された（第5条）ということですが、「業務その他正当な理由による場合」とはどのような場合を言うのですか。

  A 「業務その他正当な理由による場合」とは、社会通念上、正当と認められるような場合をいいます。例えば、

  • 情報セキュリティ事業者が、インターネット上に流出しているID・パスワードのリストを契約している企業に提供する行為
  • インターネット上に流出している他人のID・パスワードを発見した者が、これを情報セキュリティ事業者や公的機関に届け出る行為
  • ID・パスワードとしてよく用いられている単純な文字列を、ID・パスワードとして設定すべきでないものとして示す行為

  等は、不正アクセス行為を防止する目的で行われるものであり、「業務その他正当な理由による場合」に該当します。

  また、

  • 情報セキュリティに関するセミナーの資料等において、ID・パスワードのインターネット上への流出実態を示すために実際に流出したID・パスワードのリストを掲載する行為

  等も、流出実態の危険性を訴えることや対応策を検討することを目的に行われるものであるので「業務その他正当な理由による場合」に該当します。

この手の解説に出てくる例示は、確実なものだけが書かれているものなので、これらに該当しないケースはどうなのかという疑問はいっぱいあることだろう。

たとえば、流出しているパスワードを発見した者が、「情報セキュリティ事業者や公的機関」以外（たとえば報道機関に）に通報するのはどうなのかとか、不正アクセス行為を防止する目的で、知り合いのアクセス管理者に（そのアカウントをロックしたりパスワードリセットした方がいいと奨めるために）流出パスワードのことを個人が（情報セキュリティ事業者でない者が、契約なしに）親切で教えてあげるといった行為はどうなのか。

少なくとも、いくら不正アクセス行為を防止する目的を標榜していても、「自分のID・パスワードが流出していないか確認しよう！」と不特定多数に流出パスワードを広める行為は、除外されにくいのではないか。そのような目的では、パスワードまで知らせる必要はなく、IDだけを知らせるとか、IDを隠したまま該当の有無を知らせるだけで足りる。