最新 追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 3438   昨日: 4212

2012年07月03日

LINEがこの先生きのこるには

先々週、テレビ東京のワールドビジネスサテライトで、最近流行の「LINE」が特集されていたのだが、経済系の番組であるにも関わらず、「元カレが出て嫌」、「知らない人が出て怖い」という街の声をとって伝え、電話帳アップロードの件にも触れるなど、負の面も扱っていて、とてもよい番組であった。

番組を見た後、久しぶりにTwitterを「LINE 知らない人」で検索してみたところ、以前にも増して大量のツイートが出てきたのだが、そのほとんどが、「芸能人のマネージャですが」という詐欺spamが来たという報告であった。ちょうどこのころ、LINEに対して大量のspamが発生していたようだった。そして、LINEの運営元はspam防止に動いたようだった。

LINEは、かつて、電話帳を無断でアップロードする仕組みだったため、その点が批判され、しかしながら直ちに対処されて、オプトイン方式となり、批判の声が解消したという経緯がある。

私は当時は別件で忙しかったので見ておらず、電話帳送信の件に乗り遅れてしまったのだが、その後も、自分のプライベートな電話で試すには、電話帳に登録してある他の人達に迷惑がかかりかねず、怖くてテストできずにいた。

しかし、spamが現に大量発生しており、かつ、以下の指摘が出たことから、電話帳が空の別の電話を併用して恐る恐る試してみた。

確かにその通りで、自分の電話の電話帳に任意の電話番号を登録して、LINEで電話帳アップロードをすると、その電話番号の相手のLINEに、私のことが「知り合いかも?」として出現する。

画面キャプチャ 画面キャプチャ
図1: 任意の電話番号の相手のLINEに自分「テスト1」を「知り合いかも」として出現させた様子
(左の画像の端末を操作して、右の画像の端末に出現させた)

図1は、左の画像の端末(端末A)で「テスト1」の名前をLINEに登録し、端末Aの電話帳に端末Bの電話番号を設定(通常の電話帳アプリで設定)し、LINEの設定画面で「友だち自動追加」を有効に設定した(左の画像)ところ、端末BのLINEで「知り合いかも?」(右の画像)に「テスト1」と表示された様子である。

ここで、端末Bの利用者が「知り合いかも」に表示された「テスト1」について友だち登録の操作をしなかったとしても、端末A側はその段階でチャット(「トーク」)で端末Bに呼びかけることができるのが仕様のようだ。

spamはこうして送られているのであろうが、まあ、spam自体は、通常のメールやSMSだって送れるのだから、それ自体が欠陥ということにはならないのだろう。このような動作がLINEの仕様だということなのだろう。

ところで、このとき端末Aでは、登録した電話番号の相手が自動的に「友だち」に登録される。友だちリストには、以下の図のように、電話帳に登録したときの名前(ここでは「実験用 仮名」)が表示されていて、相手の氏名はわからないようになっている。

画面キャプチャ
図2: 図1の攻撃では相手の氏名はわからないようになっている様子

しかし、別の電話番号(知り合いの電話番号)で試してみたところ、登録した電話番号の相手がプロフィール写真を設定していた*1ため、その写真がこちらに出てきた。

画面キャプチャ
図3: 任意に指定した電話番号の相手のプロフィール写真を閲覧できる様子

これはいいのだろうか?と考え始めていたちょうどそのとき、同じタイミングで同様の実験をされていた方からTwitterで以下の報告が出てきた。

なるほど、PC版のLINEからだと、相手がLINEに登録している氏名が表示されるようになっていると。それはそうだ。なぜなら、PCには電話帳がないのだから他に表示しようがない。

ちなみに、PC版のLINEというのは今年3月になって登場したもので、これは、1台の電話と同期して使うようになっていて、同期は、メールアドレスとパスワードの登録によって行うようになっている。以下、実験したときの様子である。

画面キャプチャ 画面キャプチャ 画面キャプチャ
図4: PC版でログインできるようにするために電話側のLINEでメールアドレスとパスワードを設定する様子

画面キャプチャ 画面キャプチャ
図5: PC版LINEにログインすると相手の氏名を閲覧できてしまう様子

図5のように、PC版LINEを使うと、(電話側で任意の電話番号で指定した)相手の氏名を閲覧できてしまう。

ここで、明らかに問題があると言えるラインを越えたと思ったので、Twitterで以前からLINEについて精力的に活動なさっていた、LINE開発元NHN Japanの舛田淳氏に直接、疑問点をぶつけてみることにした。

疑問点としては、上記の件(以下の◆↓)の他に、以前からTwitterでしばしば話題になっていた、電話番号は解約と契約によって再利用されているため、番号の使用者が変わることによって、知らない人が「知り合いかも?」に出てくる現象の問題点についても問いかけた(以下の 法

そうしたところ、以下のように快くお返事を頂いた。

メールでのご回答は当日のうちに頂いた。(迅速なご回答恐れ入ります。)

舛田氏のTwitterを拝見するとLINEの発表会イベントが近く開催される様子だったので、それまで様子を見ることにしていた。そして7月3日、そのイベントのUstream録画映像を見て、これはやはり今のうちに書いておかないといけないと思った。

頂いたご回答は以下のものであった。論点となる部分を強調表示にしている。

高木浩光様

NHN Japanの舛田でございます。
(挨拶部略)

------------------------------- 

ご質問

「友だちへの追加を許可」を有効にした場合、自分の電話番号が他の人に使われていた過去がある場合には、その人の関係者が「知り合いかも」にリストアップされることとなり、これは、ソーシャルグラフの漏えいと思いますが、何とかなりませんでしょうか。

ご回答

そのようなケースの場合、前提として、「知り合いかも?」に表示される「その人の関係者」は、電話番号での「友だち自動追加」を許可している状態となります。

「友だち自動追加」を許可した結果、自分の「友だち」に追加された他のお客様の「知り合いかも?」に自分が表示されることはヘルプにてお客様へご説明させていただいております。(http://line.naver.jp/iphone/help/ja「知り合いかも」に表示される人はどういう人ですか?)。

また、言うまでもなくLINEには、お客様の電話番号を以前使用されていた方の情報は表示されません

また、プロフィール情報は、ご質問△硫鹽にございますとおり公開前提でお客様が任意に登録された情報でございます。

したがって、LINEの仕様が原因で判明するのは、現在自分が使用している電話番号を電話帳に登録しているお客様がいること
及び、そのお客様が任意に登録した公開プロフィール情報だけだといえます。

この部分についてはご指摘いただいた「漏えい」という表現は適当ではないと弊社としては考えております。

--------------------------

ご質問

自分の電話の電話帳に任意の電話番号を登録し、LINEで「友だち自動追加」で同期ボタンを押すと、友だちリストにその人が登録されるわけですが、このとき、相手方の顔写真が表示され、また、PC版のLINEでは相手方の氏名が表示されるのですが、これは仕様でしょうか。つまり、「あなたのプロフィールの写真と名前は、電話番号によって検索できる公開状態になる」というのが仕様ですかということなのですが、仮に仕様だとして、利用者はそれを理解しているのでしょうか。なんとかなりませんでしょうか。

ご回答

ご指摘の点は仕様でございます。

ただし、そのような表示となるためには「相手方」が「友だちへの追加を許可」していることが必要です。

この仕様は、「設定」>「友だち自動追加」>「友だちへの追加を許可」画面の表示やヘルプhttp://line.naver.jp/iphone/help/ja「自分の電話番号を持つ相手に、自分を表示させないようにするには?」)でお客様にご説明しております

また、プロフィール情報が他のお客様に公開されることは、利用規約2条3項に明示されております

さらに、お客様は、ご自分のプロフィール情報を任意に登録、変更、削除できます。

これらの点から、ご指摘の仕様についてはとくに問題ないものと考えております。

なお、PC版のLINEで、「相手方」が、お客様の電話帳に登録されている名前ではなく、「相手方」がプロフィール情報として登録した名前で表示される理由は、お客様の電話帳に登録されている「名前」をPC版では呼び出すことができないためです。

(「友だち自動追加」を許可しても、お客様の電話帳に登録されている名前は弊社に送信されません。利用規約2条2項)。

--------------------------------

ご質問

電話番号からLINEのプロフィールを取得する操作を繰り返せば、LINEが保有している全利用者のプロフィールと電話番号を対応付けるデータベースを誰でも構築できてしまうはずです。これは電話番号が公開されているのに等しく、LINE初回利用時に表示される「電話番号は登録のために必要ですが公開されません」との約束に矛盾するのではないでしょうか。したがって、このような仕様は避けられるべきだと考えますが、なんとかなりませんでしょうか。

ご回答

ご指摘いただきました行為については、弊社ではスパム行為と判断し、そのようなことは出来ないよう施策を既にシステム側で講じております。また、現在、不特定多数の電話番号を電話帳に登録し、「友だち自動追加」により不特定多数のお客様を「友だち」にした上で、迷惑メッセージを送信していると思われるスパムアカウントへの対策もとっております。具体的な対策内容の開示は新たなリスクにもなってしまいますので開示させていただくことはできませんが、スパム行為の判断基準値(随時アップデート)を設け、通常利用では考えられない活動をとったアカウントに対して、アカウントの削除だけでなく、LINEへの再登録できなくさせる処理を行っております。

なお、お客様は、「友だちへの追加を許可」しないことで上記スパム行為を回避できます。

--------------------

以上、3点、ご回答させていただきました。

全体を通じていえることでございますが、ご指摘いただきました点について、このように長文でご説明しなければならないという点において
お客様へのご説明がまだまだ十分ではないのだと感じております。

今までもお客様からのご意見ご提案をいただきながら改善を進めてまいりましたが
今回ご指摘いただきました内容をもとに、さらにお客様に対する説明や注意書きの強化や仕様の改善を検討・実施してまいります。

この度は、弊社サービスへのご質問、ご指摘ありがとうございました。
引き続き、どうぞ宜しくお願い申し上げます。

===============================================
(署名部略)

まず、△療世砲弔い董

ご回答では、「プロフィール情報が他のお客様に公開されることは、利用規約2条3項に明示されている」とのことだが、利用規約の当該条項は以下のようになっている。

第2条(情報の取扱い)

当社は、利用者が登録したご自身のLINEのプロフィール情報(名前、ID、アイコン用画像、ステータスメッセージ)を以下の目的のために取得します。利用者は、本サービスを利用するために名前(実名である必要はありません)を登録する必要があります。なお、IDを除くプロフィール情報は他の利用者に公開されます。また、IDは、利用者がID検索を許可した場合に、他の利用者から検索可能となります。

(1) (IDを除くプロフィール情報について)本サービスにプロフィール情報として表示するため。
(2) (IDについて)ID検索を許可した利用者のID検索を可能とするため。
(3) ご本人確認や不正利用防止のため。

NAVER LINE 利用規約, NHN Japan株式会社, 2012年4月26日改訂版

ここで問題となるのは、「他の利用者に公開されます」という表現が、普通の利用者にどう受け止められるかである。

日本語として「公開」という表現は曖昧になっていて、「一般公開」という意味に受け取る人もいる一方で、特定の相手に対してだけ「開示」することを「公開」と言う人もいて、「公開」と書いただけでは「友だちへの公開(開示)」の意味と受け取る人が少なくないのではないか。

Twitterやfacebookではこういうことは問題とならないわけだが、Twitterは、明らかに一般公開が前提のサービスだから誰も勘違いしないし、facebookも、(現時点の仕様においては)名前と写真は一般公開になるのは当然のこととして理解されているだろう。

対して、LINEはどうか。LINEは、「無料通話」「無料メール」と宣伝されており(図6)、SNSではなく、1対1の通信を基本とするサービス(電気通信事業の届出が必要なサービス)として受け止めている人がほとんどであろう。

画面キャプチャ
図6: LINEが電話、メールのアナロジーで宣伝されている様子

このことから、LINEでは(Twitterやfacebookとは違って)、利用者は、自分の氏名や写真が一般公開されるとは予見できないのではないか。

このことは、「利用規約の文言に改善の余地がある」というレベルの話ではない。規約やFAQなど読まなくても、利用者が誤解なく理解して利用できるように、アプリを作っておくべき(Privacy by Design)である。

その点、現状のLINEアプリの設計は悪い。以下は、LINEを初めて使用するときに現れる画面の流れである。

画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ
図6: LINEの初期登録手順

問題は、名前と写真を登録させる手順の以下の画面である。

画面キャプチャ
図7: LINEがプロフィール設定を求める画面

ここには、登録した情報が一般公開されるとの説明はない。

利用規約には「実名である必要はありません」と書かれているが、この画面では「友だちがあなただとわかるように名前と写真を登録してください」と促しているので、実名で登録する人が大半であろうし、また、写真に自分の顔写真を載せる人も大半(Twitterのように猫やアニメ絵を載せる人は少数)だろう。

Twitterは公開の場であるのが明らかなので、警戒してニックネームを載せたり、アイコンを猫やアニメ絵にしている人が多く、facebookでは実名を載せることが強制されるが、そういうのが嫌な人はfacebookを使わないようにしているだろう。

そのような人達が、LINEにおいては、電話やメールの代わりだと思って、公開されないことを期待し、実名を載せ、顔写真を載せてしまっているのではないか。このことが危惧される。

解決策は、図7の画面で、ここで登録する情報は一般公開される旨を、きちんと説明することしかないのかもしれない。

「一般公開」と書いたとしても、それによって何が起きるのか、真の意味での理解ができない人も多いと思われるので、以下のように書くべきではないか。

「ここに登録した名前と写真は、電話番号から検索して誰でも閲覧できるようになります。」

こうしてアプリを改善できるとしても、これまでに既に登録して、公開されていないと思っている人達を、どうするのだろうか。

また、舛田氏からの回答では、「この仕様は、「設定」>「友だち自動追加」>「友だちへの追加を許可」画面の表示やヘルプでお客様にご説明しております。」とのことであったが、その画面がどうなっているかというと、以下の図の画面である。

画面キャプチャ
図8: LINEの設定画面「友だち自動追加」

舛田氏は、△量簑蠅蓮◆嵳Г世舛悗猟媛辰魑可」をONに設定している場合にだけ起きるといい、要するに、利用者の同意があるとおっしゃりたいのだろう。

そもそも、ここに2つのON/OFF設定があるのだが、この2つの違いがわかるだろうか。片方が、電話帳をアップロードする機能で、もう片方が、自分の電話番号をアップロードする機能なのだが、私は、この画面を見ているだけでは確信を持って理解することはできず、空の電話帳の電話で実験をしてみるまで納得ができなかった。

下の「友だちへの追加を許可」をONにすると、△了象が起きるようになるわけだが、説明文は、「あなたの電話番号を保有する他のユーザー」云々と書かれていて、嘘が書かれていることにはならなくても、普通の人は、これを読めば、自分の知り合い(自分の電話番号を電話帳に登録している知り合い)のことだと思うだろう。

下のチェックボックスをONにしようとすると、以下の図9の警告が出るようになっている。誰でも任意の電話番号でつながってしまうことがリスクとして論点となっているわけだが、この警告文でそのリスクが理解されるだろうか。

画面キャプチャ
図9: 「友だちへの追加を許可」をONにしようとしたときに現れる警告

図8の画面の説明は、「何をするための機能か」という視点で書かれているが、「これを有効にすると何が起きるか」という視点で説明しなければ、利用者の同意があるとは言えないのではないか。図9の警告はそのためにあるはずだが、何をするのかしか書かれていない。

改善するとすれば、この警告で、たとえば以下のように書いてはどうか。

「この設定を有効にすると、誰でも電話番号を入力することであなたを友だちに登録できるようになります。その結果、知らない人から「トーク」でメッセージが来る可能性があります。また、知らない人に、あなたの名前と写真と「ひとこと」のプロフィールを閲覧されるようになります。」

「ヘルプ」も同様であり、以下のように書かれているが、これでは、何が起き得るのかは予見できない。

プライバシー管理について

・自分の電話番号を持つ相手に、自分を表示させないようにするには?

あなたの電話番号を持つ相手の端末で、あなたが自動的に友だちに登録されることがないようにする手順は以下の通りです。

1.「設定」 > 「友だち自動追加」
2.「友だちへの追加を許可」をオフにします。

設定すると、あなたの電話番号を持つ相手の端末で、自動的にあなたを「友だち」に追加されなくなります。

ただし、一度「友だち」になった関係は解除されないので、既にあなたを表示している相手の端末では非表示になりません。

ヘルプ | LINE(ライン), NHN Japan株式会社

「自分を表示させないようにするには?」とその方法が書かれているが、何のためにそのような設定を要する場合があるのかが説明されていない。「あなたの電話番号を持つ相手の端末で」というのが、どういうときに起きるのか、普通の人たちには予見できないのだから、それを説明するのが責務であろう。

次に、の点について。質問を再掲すると以下である。

電話番号からLINEのプロフィールを取得する操作を繰り返せば、LINEが保有している全利用者のプロフィールと電話番号を対応付けるデータベースを誰でも構築できてしまうはずです。これは電話番号が公開されているのに等しく、LINE初回利用時に表示される「電話番号は登録のために必要ですが公開されません」との約束に矛盾するのではないでしょうか。(略)

冒頭のワールドビジネスサテライトの番組でも言われていたように、自分の電話番号や電話帳の他人の電話帳をアップロードすることに不安が広がっているわけであるが、運営側は、「電話番号は公開されない」という説明をしている。ワールドビジネスサテライトの番組中でも、LINEの舛田氏は以下のようにコメントしている。

Q: ちょっとセキュリティ面で心配があるんですが。

A: 電話帳情報というのは非常にセンシティブな情報だと思ってますので、取り扱いに対してもかなり注意しておりますね。たとえば、我々が電話番号をサーバに上げるときには、必ず暗号化しておりますので。

ここで言う「暗号化」というのはハッシュ化のことを指しているのだろう。運営側としては、友だちのマッチング処理さえできればよいので、生の電話番号は不要でありハッシュ値で事足りるという配慮(Privacy by Design の一つ)なのだろう。

しかし、電話番号のような値域の狭い(日本国内の携帯電話番号は3億個分しかない)文字列をハッシュ化しても、総当たりによって簡単に元に戻せてしまうので、「やらないよりはまし」という程度の意味しかない。

また、電話番号というのは、誰でもいつでも無差別に電話をかけることが可能なものであることは、昔から皆に知られていることなので、電話番号そのものが漏れないようにすること自体にはあまり意味がない。求められていることは、「誰それの電話番号は何番か」ということが漏れないようにすることである。

LINEの仕様は、前記△猟未蝓任意の電話番号について「この電話番号は誰のものか」を調べることが可能というものであるから、それをある程度繰り返すことによって、ある程度の確率で、「誰それの電話番号は何番か」は判別できてしまうということになる。

それに対して、運営側の回答は、「ご指摘いただきました行為については、弊社ではスパム行為と判断し、そのようなことは出来ないよう施策を既にシステム側で講じております」というものであった。

たしかに、3億個分の日本の携帯電話番号の全値域について利用者氏名を取得する行為は、spam防止措置と同様の方法によって防止できるかもしれない。しかし、ある程度の量を取得されることは、防止できないのではないか。

たとえば、携帯電話の電話帳に1000件のランダムな電話番号を登録し(このくらいの数は今日では普通であろう)、それぞれに対応する仮名を登録しておく。これを携帯電話のLINEでアップロードすると、数十件ほどが、LINE利用者として「友だち」リストに登録される。このとき、その表示名(電話帳に登録の仮名が表示される)から、どの電話番号のものかが判別できる。また、それぞれの写真が表示される。次に、PC版のLINEを起動すると、LINEに登録の氏名と写真が得られる。携帯電話のLINEに表示された写真と、PC版のLINEに表示された写真を突合することによって、どれとどれが対応するかが判別できる。つまり、

  • 電話帳の電話番号 ←→ 仮名 ←→ LINEに登録の写真 ←→ LINEに登録の氏名

というリンクによって、電話番号と氏名が結びついて漏れることになる。

1回で数十件ほどが漏れるわけだが、単発のそれを阻止するわけにはいかない。一人で何回分以上か繰り返すことは防止できるだろう。少なくとも、たとえば電話が10台あれば、10回分は阻止できない。数百人から数千人分くらいの漏えいは防止できないのではないだろうか。

防げないのであれば、利用者に事実を周知して、理解の上で使ってもらうほかない。

図7の「利用登録」の画面で、以下の説明をしてはどうか。

「ここに登録した名前と写真は、電話番号から検索して誰でも閲覧できるようになります。また、ここに登録した氏名からあなたの電話番号を誰かが検索できるようになる可能性があります。」

次に、,療世砲弔い董質問を再掲すると以下である。

 嵳Г世舛悗猟媛辰魑可」を有効にした場合、自分の電話番号が他の人に使われていた過去がある場合には、その人の関係者が「知り合いかも」にリストアップされることとなり、これは、ソーシャルグラフの漏えいと思いますが、何とかなりませんでしょうか。

これについて、頂いたご回答は、以下の2点を挙げて「「漏えい」という表現は適当ではない」という。

  • 「「友だち自動追加」を許可した結果、自分の「友だち」に追加された他のお客様の「知り合いかも?」に自分が表示されることはヘルプにてお客様へご説明させていただいております。」
  • 「LINEには、お客様の電話番号を以前使用されていた方の情報は表示されません。」

たしかに、「自分の電話番号の過去の利用者が誰か」ということが、LINEで直接判明してしまうわけではない。しかし、その人の知り合い(その人の電話番号を電話帳に登録している人)である複数の人(数人から数十人)がLINEの「知り合いかも?」に現れるわけだから、それらの何人かに「トーク」で語りかけて尋ねることによって、「自分の電話番号の過去の利用者が誰か」は調べることができてしまうだろう。

仮に、「自分の電話番号の過去の利用者が誰か」は不明なままだとしても、その人の知り合いとして表示された数人から数十人の人達は、それぞれが互いに知り合いである可能性は十分に高いと思われる。

このことは、過去の利用者がどういう職種の人で、どのようにその電話を使っていたかによるだろう。たとえば、多くの報道関係者の電話番号を登録している人の場合、それぞれの報道関係者は知り合いではないかもしれない。対して、学生や、電話を仕事に使っていない人の場合には、電話帳に登録されている人々のほとんどが互いに知り合いである場合が少なくないだろう。

このような事態を指して、私は「ソーシャルグラフの漏えいと思います」と述べた。*2

舛田氏の回答にある、「したがって、LINEの仕様が原因で判明するのは、現在自分が使用している電話番号を電話帳に登録しているお客様がいることと及び、そのお客様が任意に登録した公開プロフィール情報だけだといえます。」というのは誤りである。

解決の方法にはどのようなものがあるだろうか。

技術的に対策できないとすれば、事実を利用者に周知して、了解の上で使ってもらうしかない。舛田氏の回答では、「ヘルプ」で説明しているとのことだったが、どうだろうか。ヘルプの当該部分は以下である。

友だちについて

・「知り合いかも」に表示される人はどういう人ですか?

LINEを利用しているユーザーであなたの友だちではないかと思われる以下のユーザーが表示されます。

- 同じグループに参加している、あなたの「友だち」でないユーザー
- あなたを友だちに追加している、あなたの「友だち」でないユーザー

表示されているユーザーを削除(ブロック)したい場合は、そのユーザーの項目をスワイプすると「ブロック」ボタンが表示され、ブロックすることができます。

ヘルプ | LINE(ライン), NHN Japan株式会社

これで利用者に何がわかるというのだろうか。

利用者側でできる自衛策としては、電話番号を手放すとき(電話を解約するとき)はすべての知り合いにその旨を伝えて、自分の電話番号を電話帳から削除するように知らせることであろうか。しかし、その必要性を理解している必要があるのは、LINE利用者だけではない。電話番号を手放す側がLINE利用者でない場合(LINEの存在すら知らない場合を含む)も、この知らせが必要であるわけで、あまりにも現実的でない話である。

そして7月3日、LINEの発表会イベントがあり、以下のように報道で大いに盛り上がっている。

「LINEが急成長できた理由」について考察するブログやツイートも散見されるが、LINEが急成長できた理由は、今回ここで示したような危うさがあるにもかかわらず、それに気付かない人達が無警戒に使用し始めているのに、そこを誰も注意喚起することなく、社会がそろって座視してきた結果にすぎないのではないだろうか。

facebookやTwitterのように、氏名や写真が公開になることが明らかなアプリであれば、使用しない人もいるわけで、「無料電話」「無料メール」と宣伝されていたからこそ安心して利用登録した人がいるはずだ。成長速度の差はそこにあったのではないか。

しかし、今回発表された今後の方向転換により、LINEがfacebookやTwitterのように公開型のサービスに移行していくとすれば、これまでに利用登録している人達はどうなるのかという重大な課題にブチ当たることになる。

この点について、発表会イベントの録画映像を視聴していたところ、以下の趣旨の発言があった。

  • ソーシャルグラフには、バーチャルな繋がりと、リアルの繋がりがあり、リアルの繋がりとは、本当に身近な知り合いとの繋がりのことであり、その繋がりこそが消費者のエンゲージメントを作る鍵となる。
  • LINEは、バーチャルな繋がりではなく、リアルの繋がりを大事にする。

つまり、LINEは、facebookやTwitterのようなオープンな場へと方向転換するつもりはなく、これまで通り、電話番号で繋がるという閉じた世界を維持していくということのようである。

また、会場からの質問に対して以下の応答もあった。

Q(日本テレビ): 今のLINEは、電話番号とか端末単位でアカウントが存在しており、個人単位になっていないが、このあたり、今回のサービスを始めるにあたって変えていくお考えはあるか。

A(舛田氏): いえ。引き続き、LINEの特徴というのは正に電話番号、端末に紐付いたアカウントだと考えているので、この、「タイムライン」であるとか「ホーム」という機能を導入しても、同じようなアカウントの方式を採っていきたいと考えている。

ということは、上で示した問題点が、今後も引き続き継続するということになる。

しかも、現時点では、氏名と写真、電話番号が問題となっているだけなので、上に示したように、利用者に「名前と写真は公開されます」「電話番号から氏名が検索されます」と説明して理解を求めれば済むかもしれないが、今後、「タイムライン」、「ホーム」という新機能が導入されたときに、それらもリスクに曝されることになるのではないか。

つまり、「リアルグラフ」に基づいて身近な知り合いにだけ開示しているつもりの、「タイムライン」に書いたプライベートな情報が、ちょっとしたミスや、悪意ある者による騙しによって、あるいは任意の他人の電話番号を入力するだけで、容易に漏れてしまうという事態が起きるようになってしまいやしないだろうか。

このことは、Twitterやfacebookのように、いろいろな手段で繋がる仕組みの場合には、日頃から知らない人が「知り合いかも?」に出てくるので、自然に警戒できるのに対し、基本的に電話帳の電話番号からしか繋がらないはず(と利用者には見える)LINEの仕組みでは、人々は無警戒となる虞れがある。

電話番号での繋がりを主とするするこのような方式は、急速に利用者を獲得できるのかもしれないが、 銑の点で危ういものであり、今後も燻り続けいつか爆発するのではないかと心配である。

*1 ここでは、LINEを使用していることを実名で公言している知り合いの電話番号で試しており、また、ここで表示された写真は公知の画像である。

*2 この問題は、facebookやTwitterにも同様に起き得るのかもしれないが、まだ試していないのでわからない。

本日のリンク元 TrackBacks(6)

2012年07月15日

ポイントカードはお持ちですか? によくある風景

昨年、「ポイントカードお持ちですか」が話題になっていたときに、「そろそろ誰か四コマ漫画で説明して」とツイートした件が、ikeyasukiさんによってコミPo!化された。す・ば・ら・し・い! 転載のお許しを頂いたので以下にどどーんと紹介。

コミPo! 画像

コミPo! 画像

コミPo! 画像

コミPo! 画像

コミPo! 画像

コミPo! 画像

店員はわかっているのだろうか。

本日のリンク元 TrackBack(1)

2012年07月22日

個人情報の地方自治が信用ならないワケ

5月のこと。この件スラッシュドットに取り上げられた際、私の非公知情報が市役所職員から漏らされているとのコメントがあった。何事かと見に行ったところ、以下のもの(翌日削除)であった。

画面キャプチャ
図1: 私が三田市役所に問い合わせた内容が漏らされた様子

発言者の氏名の部分をクリックすると、勤務先が兵庫県の三田市役所となっていた。

画面キャプチャ
図2: 当該発信者の勤務先が三田市役所となっている様子
たしかに私は1年ほど前、三田市役所に電話したことがある。三田市だけでなく他の自治体にも同じ内容で問い合わせをした。それは、以下の報道を受けて、実態がどうなっているのか、自宅研究のため、各自治体に取材を試みたものであった。*1

新聞紙面のスキャン画像
図3: 朝日新聞2011年7月27日夕刊「全国自治体から58自治体へ 図書館利用者情報7735件漏洩 大部分公表せず」
朝日新聞社データベース事業センターの許諾のもと転載(承認番号:A12-1044) ※朝日新聞社に無断で転載することを禁止する

漏洩元のうち岐阜県飛騨市は、情報が流出した一人一人に事情を説明して謝罪し、記者会見で事実を公表した。

しかし、他の13団体は「不特定多数の目に触れておらず漏洩ではない」(海陽町)、「他自治体からさらに外部へは流出していない」(渋谷区)、「すぐに削除された」(愛知県尾張旭市)などとして具体的な措置はとらなかった。

すべての自治体は独自に個人情報保護条例を持ち、「正当な理由」のない個人情報の提供を禁じる。条例は(略)本人以外から個人情報を得ることを禁じている。総務省は各自治体の判断を尊重するとした上で、「省庁で同じことがあれば漏洩として対処する問題だ」とした

個人情報の問題に詳しい慶應義塾大学の新保史生准教授(情報法)は「この問題は個人情報保護条例が定めた漏洩に当たる。本の書名など個人の思想・信条に関わる情報も含んでおり、事態を知りながら対処していなかったとすれば、プライバシーの侵害になる可能性が高い」と話す。

「全国自治体から58自治体へ 図書館利用者情報7735件漏洩」, 朝日新聞2011年7月27日夕刊

この事件の経緯は、記事中にもあるように、さらに前の年の2010年11月に遡る。

日経コンピュータの2010年11月30日の記事「流出した個人情報は約3000件、図書館システム問題でMDIS社長が陳謝」にあるように、漏洩を引き起こした三菱電機ISは、「インターネットへの個人情報流出」だけを「流出」とし、それ以外の、他の図書館への漏洩事案を「存在」と呼び分けていた。

同社の最終的な発表文「弊社図書館システムに生じた問題について(お詫び)」においても、「流出件数は3図書館分の約3,000名です」とし、それ以外の漏洩事案を「各図書館システムに存在する他館の個人情報」と表現し、「これらの個人情報は外部へ流出していないことも確認しました」と発表していた。

同社の発表(11月30日)の8日前(11月22日)に、飛騨市が「飛騨市の図書館システムに係る個人情報の流出等の経過と対応について」(リンク切れ)を発表していたにも関わらず、三菱電機ISはこれを流出に含めなかった。

飛騨市以外の自治体が公表しなかったのは、業者の言い分を丸呑みして、公表の必要性を十分に検討しなかった疑いがある。

そこで、この記事に挙げられた自治体のいくつか*2に電話して、個人情報保護条例を所管する部局につないで頂き、以下の点についてお尋ねしたのであった。

  1. 個人情報保護条例を所管する部局は、この事実を把握していたか。
  2. (把握していた場合)条例所管部局は対応の判断に関与したか。
  3. (関与していた場合)条例所管部局が公表しないと判断した理由は何だったか。
  4. 条例上の漏洩に当たると報道されているが、これから公表を検討する気はあるか。
  5. 条例所管部局とは別に、たとえば情報システムを管理する部局で、情報漏洩発生時の対応マニュアルが整備されていて、漏洩が起きたら公表することが規定されていないか。
  6. このような事故が発生したときに、条例所管部局と情報システム管理部局が連携して対応する体制になっているか。

三田市の場合は、概ね以下のようなやりとり*3となった。


Q: 個人情報保護についてお尋ねしたい。先週7月27日の朝日新聞夕刊に「図書館利用者情報7735件漏洩」という記事が出ていて、兵庫県三田市も漏洩していたという記事が出ているが、この件についてお尋ねしたい。

A: 記事を把握していないので、まず新聞を確認する。
(折り返し電話)
A: 記事を確認した。図書館にも事情を聞いて当時の状況を把握した。

Q: 三田市の個人情報保護条例として、条例違反に当たる行為があったのではないか。

A: たしかに条例には罰則規定もあるが、委託業者に悪意があったのかどうか。悪意がなかったということであったとしても、通常の業務の範囲内であると図書館も言っているが、今後このようなことがないようにとの指導はしているとは思う。直ちに条例違反になって罰則が適用されるものには当たらないのでは。

Q: 罰則適用の有無は悪意というより故意の問題だと思うが、いずれにせよ、記事で専門家は「この問題は個人情報保護条例が定めた漏洩に当たる」とコメントしているし、総務省も「省庁で同じことがあれば漏洩として対処する問題」としている。
(ここで、事故の詳細を把握しておられないようだったので、当時起きていたことの詳細を説明)
罰則はともかくとして条例違反ではないか。

A: 個人の見解を言うべきでないので、課の組織として回答したい。頂いた情報を条例に照らしてこの事例が情報漏洩に当たるか検討したい。

Q: ご参考までにお伝えすると、尾張旭市にも問い合わせたところ、尾張旭市の場合は、個人情報保護条例所管部局は、朝日新聞から取材があって初めて事実を把握したとのことで、事故発覚当時は図書館の原課が独自に判断したもので、条例所管部局には報告がなかったとのこと*4。報告がなかったことは問題があるので改善するそうだが、改めて条例所管部局として判断するとこれは漏洩ではないとのこと。しかし、新聞では専門家は「この問題は個人情報保護条例が定めた漏洩に当たる」とコメントしているし、総務省も「省庁で同じことがあれば漏洩として対処する問題」としているわけで、専門家や総務省が間違いなのかと問うと、「間違いだとは言っていない」とのことで、しかし自分達は条例違反ではないと思うという会話になった。これは変ではないかと思う。自治体の自主性ということで個人情報保護が各自治体の主体性にまかされているわけだが、はたしてこれでよいのか。自分のところで起こした事故を自分自身で律することができるのか。条例違反でないことにしてしまえば対処しなくてよいわけで。小さい自治体では職員も個人情報保護の趣旨をよくわからないまま対応してしまうのではないか。国の省庁ではごまかせないのでこういうことにはならない。市町村単位で個人情報保護を自主的に自律してやっていくというのは無理があるのではないか。そのような問題提起をしたいと思い、今回の事故の各自治体にお尋ねしている。

A: たしかに自治条例であるが個人情報ということでどの自治体にも当てはまることでもある。現実に各自治体で一つ条例を持っているのだから解釈について立場をわきまえてしっかりと運用していかなければならないと思う。

Q. 条例はどこも似た書きぶりになっている。基準は同じはずではないか。飛騨市は公表をしている。三田市はどうか。

A. 事実確認をし、課で検討して、後日連絡する。

(11日後)

A: 先日の件について回答する。前回、総務課で把握していないと答えたが、前任者は図書館から報告を受けて把握していたことが判明した。条例上どうかについては、事業者の責務違反で条例違反ではある。昨年11月に発覚したときに重く受け止め、公表の点も含めて市として協議した。結果として公表しないという判断となった。その理由は、業者から詳細な報告を提出させたところ、三田市のデータについては速やかに削除したとのこと、また、再発防止策を業者から提供を受けたこと、また、実際にインターネット上等の外部への流出はなく実損はなかったこと、これらを判断して公表しなかった。

Q: 外部への流出はなかったからとのことだが、新聞記事にも書かれていたように、「この問題は個人情報保護条例が定めた漏洩に当たる」「省庁で同じことがあれば漏洩として対処する問題」とされている。自治体は正しく条例上の判断ができていないのではないかという観点でお尋ねしている。外部への流出がなかったというが、図書館から外に出たら外部であるというのが専門家の見解である。条例には「実施機関」との用語があって、実施機関というのは市役所の全体ではなく市のいくつか分割された部局を指すと思うが、たとえば図書館の情報が教育委員会から外に出て市長の手に渡ったら、それは外部流出であるはずだ。外部というのは実施機関からの外部という意味だというのが専門家の見方である。事業者がたとえ業務上必要性があっても許可を得ずに自社に持ち帰っただけでも外部漏洩である。外部流出はあったのでは? 外部流出はなかったと言ってしまうと、条例の趣旨に反するのでは。

A: そう言われると……。たしかに外部流出の定義から言えばそうかもしれないが、本当に市民に実損があったのか。岡崎図書館みたいにインターネットに出てしまったら誰でも見られる状態にあるというのは、本当に損失を与えていると判断できる。もしそうであれば当時の判断も違うものになっていただろう。誰でも見られる状態には出ていないということで実損はなかったと判断を下している。

Q: 民間が対象の個人情報保護法では、公表することになっている*5し、みなさん公表なさっている。公表する基準は、漏らされた一人一人に連絡がつく場合は、連絡すればよいので公表しなくてもよいが、連絡先がわからなくてあるいは非常に人数が多くて無理な場合には、公表するようにとなっている。つまり、公表する趣旨は、被害に遭った人あるいはこれから被害に遭うかもしれない人に対して、事実を通知することによって、本人が何らか対処できるようにというのが趣旨である。今回はどうだったのか。本人に連絡することは検討しなかったのか。

A: データが10年以上前のデータだったと聞いている。情報は個人名と電話番号と予約の本の情報だったそうだが、10年以上前であるし、住所もわからず、電話番号もどうなっているかわからないということで、一軒一軒当たるというのは不可能だと聞いている。

Q: 全ての人の電話番号が変わっているということもなかろうが。

A: おっしゃる通りだが、市としては一軒一軒当たるという手法はとらなかったということになっている。

Q: データを市は入手できたのか。

A: 業者が削除したと言っているのを確認したと図書館から聞いているが、データを入手できたかは把握できていない。

Q: 業者が消してしまったので連絡できなくなってしまったというのが本当のところではないか。

A: そこは確認していないのでわからない。

Q: 一人一人に連絡できないのであれば、流出の事実を公表することによって該当する人が知り得る状態にするというのが、一般法の個人情報保護法の趣旨*6ではないか。自治体の個人情報保護条例には、事故があったときにどうするべきということは何も規定されていないようだが。

A: 業者が不適正に個人情報を扱っている疑いがあるときの手続きは書いてある。説明又は資料の提出を求めるであるとか、その後に不正だと判断した場合には公表という手続きが、個人情報保護条例上は規定している。

Q: そうなの?

A: うちの条例上は規定している。

Q: それは第何条か?

A: 57条以下。60条の公表。今回はそこまでする必要がないという市の判断になった。

Q: いやいや、この60条、事業者が58条の規定による説明又は提出を拒んだり、勧告に従わなかったときに、その事実の公表となっている。今の話とは違うのでは。

A: はいはいはいそうですね。んーんーんー、まあまあまあ。漏洩したどうこういう話ではまあたしかにないですけどね。

Q: 民間は公表をしているし、中央官庁も法で規定されてはいないが事故があれば公表することになっているようだ。自治体の場合は、条例に規定されていないわけだが、別途ほかの何かの規定で、事故があったときに市民に伝えるとする規定はないのか。

A: 条例以外にはない。公表基準を決めているものはない。

Q: 別の自治体で聞いた例では、個人情報保護の観点からの規定はないが、情報システムの安全管理の観点から、情報システム上の事故があった場合の対応規定があって、事故の事実の公表が規定されているという例があった。

A: 自分の不勉強かもしれないが、情報の部局にはセキュリティポリシー等の規定を定めてはいる。例規という形ではないが。その中にもしかすればそのような規定があるのかもしれない。確認していないが。

Q: なぜそのように分離してしまっているのか。そのような規定があるのなら、その点から公表するべき事案だったのではないか。

A: んー。

Q: なぜ情報システムの安全管理の話と、個人情報保護条例が、趣旨としては重なっているはずなのに、バラバラになっているのか。

A: そうですねー。……。たしかにそのへんの連携はできていない部分もあるのかな。あー……。うー……。システム絡みということならば、うちは総務課と情報のシステム課が別々になっているので。そのへんがしっかり連携をとっているのかと言われると、ご指摘の通り今後は十分留意していかないといけない部分かと思う。

Q: そうすると、このような外部への流出があったときは公表してしかるべきだったのではないか。岐阜県の飛騨市は公表している。

A: 出たという事実だけを公表すること、そのことも大切なこととは思うが、現実問題として市民に損害を与えたかというのも一つ大きな要件ではないかと個人的には思う。

Q: 民間では、たとえば電車でノートパソコンを忘れたというときまで公表するのはどうしてなのか。大学の事務室からパソコンを盗まれたときも、関係者全員に手紙を送ったりしている。盗んだ犯人は個人情報を盗んだのではなくパソコンを転売するために盗んだのだろうと思われるが、それでも公表する。今回、外部流出と言っても、業者の社内にあり、他の図書館の手に渡っていたということで、不特定多数ではなく誰も見ていないから被害はないとおっしゃるが、しかしこれどうして発覚したかというと、どこかの図書館の職員がファイルをダブルクリックしたら印刷されて出てきたという事案だったわけで、流出したものは数年前から出回っていた*7わけで、もしかしたら見た職員は他にもいたのではないか。他所の市町村で。そこを考えないといけないのに、業者の言い分を丸呑みして、「そうかそうか、公表する必要はないね」と、そういう判断がされたのではないか。

A: もしそういう判断だとすればたしかに安易な部分はあるかもしれないが、これは、最終的に上の方を交えての判断であり、しっかりと議論した中での判断だと聞いている。

Q: これ、審査会はないのか。

A: 個人情報の審査会はあるが、この件について審査会にかけたという経緯はない。

Q: そうすると当事者だけで判断しているわけか。当事者は問題がなかったことにしたいという思いがあるだろう。

A: 問題があるからこそ上の方にも報告してそういう判断に至った。

Q: 「インターネットからは流出してなくて他の図書館に出回っていたが職員が見ることもなかった」といった事実を添えて、つまり、判断した根拠も含めて公表すればよいのでは。

A: 当市としては公表してないという結果を今日はご報告したが、おっしゃることは十分にわかったし、今後については、図書館だけでなくシステムについては事業者に対して委託しているところが大部分なので、そこはしっかりと意識してやっていかないといけないと、個人的には感じている。問題点は重々理解したつもりだ。そこも踏まえて今後、留意して条例の運用を行っていきたい。

Q: ありがとうございます。私の意見としては、基礎自治体が何千もあって、それぞれ独自にこういう問題にあたるというのは荷が重いのではないかと思うが、どうか。

A: 現実問題として各自治体ごとに自治条例ということで個人情報保護条例を設けており、その流れ自体は間違っていないと思う。統一したものを日本国中持っておかなければならないという部分については、どうでしょうか、現に条例が各市町村に設けられている事実からすると難しいと感じる。

Q: 審査会は、何のためにあって、こういうときに開かれていないということについてはどうか。

A: 審査会の運用は、個人情報の開示請求が出てきて処分をうったときに不服がある場合とか、条例上当市が運用する個人情報の取り扱いについて疑義が生じたときに審査会を開き、諮問をして答申を頂くことになっている。

Q: 事故があったときに、審査会で判断するようにはなっていないということか。

A: 現実、そうだ。

Q: なるほど勉強になった。


このようなやり取りをしたのだったが、1年後、この担当者は、facebookで「ご意見として聞かせていただきました。ただ、これからの地域主権という時代のなかで地方自治体がどんどん主体的に条例を策定していくべきなのにそのご意見はちょっと受け入れ難いなあと思ってました。」と書いたわけである。

ちなみに、別の自治体、長岡京市への問い合わせでは以下のようになった。


Q: 長岡京市個人情報保護条例に違反した行為があったのではないか。

A: 条例上、特段抵触するようなことは見当たらない。

Q: 25条だが。

A: そうだ。個人情報ファイルの提供。条例は、正当な理由がないのに個人の秘密が記録された個人情報ファイルを提供した場合となっている。受託者も当然適用されるが、契約に違反してプライバシーを侵害した場合の話だ。

Q: プライバシーの侵害ということは条例には書かれていないが。

A: 書いていない。しかし、これは刑罰である。今回は過失であったから、これをそのまま適用するということは困難と判断した。

Q: 委託先の業者に故意がなかったからということか。

A: 正当な理由がないということには当てはまらないということだ。

Q: え? 正当な理由があったということか?

A: いや、正当な理由というか、外部へ流出させたこと自体は事実があるが、その行為が過失にかかる部分が多いので、この条例をそのまま適用することはできないという解釈をしている。

Q: さきほど、正当な理由がないのにという点を挙げられたが、正当な理由があったのか?

A: いや、正当な理由はない。自分の利益につなげるとかとかいうことがあれば当然これは該当するが、今回はそうではない。

Q: 自己の利益云々というのは、26条のことではないか。混同していないか。

A: 26条はファイル情報以外のことだ。25条はファイルとして一括して情報が流出するので、2年以下の懲役又は100万円以下の罰金となっているのに対し、ファイル以外のもについては1年以下の懲役又は50万円以下の罰金となっている。

Q: 26条は「個人情報を」であり、1件でもということであるのに対し、25条は「個人情報ファイル」と、データベース丸ごとのことである。26条は1件でもと厳しい規定であるが、その代わりに「自己若しくは第三者の不正な利益を図る目的で提供又は盗用」と要件も狭くなっている。今回の業者に利益を図る目的はなかったからというが、それは26条の方の話であって、25条には、不正な利益を図る目的という要件はない。幅広く、正当な理由なく提供したら該当するのが25条のはずだが。

A: はい。なので、今回のものは、正当な理由がないとまでは言えない、業務の範囲の一環での過失であるということ。

Q: 過失はわかるが、正当な理由があったということか?

A: 厳密に言えば、正当な理由はない。業務上のミスである。よって、この条例をこのまま適用するのは困難である。業務としてやること自体が正当な理由にかかる。業務の執行の中で過失があった。

Q: 長岡京市の判断として、個人情報保護条例上、委託業者が過失で流出させた場合、「正当な理由がないのに」で落ち、違法性の構成要件を満たさないということか?

A: そうだ。

Q: 今回の新聞記事では、個人情報保護法の専門家が、個人情報保護条例が定める漏洩に当たるとしているが。

A: 漏洩には当たると思うが。

Q: それは25条違反ということではないか。罰則の適用に当たるかどうかは、刑法38条により、故意のないものは罰しないことになっているわけで、故意がなければ罰則は適用されないが、条例違反事実があったことは事実ではないか。

A: 外部へ流出したのは事実である。

Q: 個人情報保護条例違反自体があったことと、処罰に値するかというのは別である。前者についてお尋ねしているのだが、それも当たらないということか。「正当な理由がないのに」に該当しないからということか。

A: そういうことだ。

Q: 個人情報保護法の専門家は、25条違反を指して言っていると思うが。

A: 我々の条例の解釈では今述べた通りなのでご理解頂きたい。

Q: 記事には総務省のコメントもあり、「省庁で同じことがあれば漏洩として対処する問題だ」とあるが、この点についてはどうか。

A: コメントする立場にない。国がそうだから地方自治体もというわけではない。これらは別の問題である。独立しているので。参考にはするがイコールではない。

Q: 国はやっているが自治体はしないということか。

A: しないとは言っていない。参考にして取り入れる部分があれば当然足並みを揃える必要はあると思う。今の段階でどうこう言うことはできない。

Q: 自治体には基準がないのか。

A: ない。漏洩の範囲をどう定めてそれをどう適用するのかというマニュアル的なものは持っていない。国に指針があるのなら参考にしたい。どういう対処が必要なのかがわからない。

Q: 公表しなかった点についてどうか。

A: 外部に出て他の人の目に触れたという事実がないので、公表していない。

Q: 飛騨市は、不特定多数の目に触れておらず、そちらと同じ条件であるにも関わらず、公表したようだが。

A: 公表については、漏洩は事実であるが、それによって特定の個人のプライバシーを侵害するに至らなかったということで、公表する必要はないと判断した。

Q: 条例違反の事故があったならば公表するのが当然ではないかと私は思うのだが、条例違反でもないと。

A: そうだ。先ほど述べたとおり。

Q: つまり、「正当な理由がないのに」に該当しない、つまり、正当な理由があったということか。

A: はい。

Q: 誰の目にも触れていないとおっしゃるが、流出先の自治体の職員が見つけたとある。それはどうなのか。

A: 自治体の職員だから、個人情報に対する守秘義務も発生する。そこから先は漏洩していない。

Q: 他所の自治体の職員が見ただけであれば、よいと?

A: そうだ。そこまでで止まっていればという解釈だ。

Q: 他所の自治体の職員が見たとしても、それはプライバシー侵害に当たらないということか?

A: そうだ。そういう解釈をしている。

Q: 自治体職員のような守秘義務のある者が見たのであれば、自分のところの職員でなくても、見ても構わないということか。

A: 構わないとは言っていない。

Q: プライバシー侵害には当たらないと。

A: そういうことだ。漏洩した個人の方に対してアクションを起こしたりできないのだから。アクションを起こせたら別だが、守秘義務がかかるので。そのように解釈しているのでご理解頂きたい。

Q: よくわかった。ありがとうございました。


このとき私は、これはとんでもない条例運用がまかり通っていると思った。「正当な理由がないのに」で落ちるとするのは法令解釈の誤りであるし、他の自治体の職員が見ただけなら当該職員がアクションを起こさない限りプライバシー侵害でないというのには魂消た。

このように、昨今のいろいろな事案を見ていると、インターネットなどで誰でも閲覧できるに至った場合しか漏洩ではないしプライバシー侵害でもないという発想が、かなり蔓延していると感じる。

これは、5月のカルチュア・コンビニエンス・クラブ(CCC)と武雄市の会見でも感じたことで、CCCの担当者はそのとき以下のように述べていた。

CCC担当者:今のところ補足なんですが、我々ですね、あの、CCCとして、個人の情報の履歴をですね、どこかに出したりってことは一切やっていないです。これは過去もやっておりませんので、ちょっとそこは誤解ないように、お伝えしたいなあと。

(略)

CCC担当者:たぶん、やるとすればですね、より人気のある商品は何なんだとかですね、こういう、女性の方を含めるとこういう品揃えの方が喜ばれる、みたいな、新価値を高めるための、データのマーケティングでデータベースとして使用するということは、有り得るかなあというふうに思ってますが、個人の方がこうこと借りてるみたいなとかですね、世の中の方にお伝えするみたいなことは一切やりませんので。そこはよろしくお願いします。

収集した情報を「世の中の方にお伝えする」つまり一般公開するなんて話は、アウトオブ論外であって、そういうことが問題にされているのではない。CCCに提供されて「マーケティングでデータベースとして使用する」ことこそが、プライバシー侵害、情報漏洩となり得るのに、そのことがどうにも理解されていない。

この点、本人の同意があれば、それらが否定されるというのだろう。7月6日に武雄市の個人情報保護審議会が出した「条例上問題ない」とする答申でも、図書館システムからCCCのポイントシステムへ情報提供することについて、本人の同意があれば条例第8条の適用により問題なしと判断したのだそうだ。

ところが、その一方で、CCCは、本人同意について以下のように考えていることが、先週明らかになった。

つまり、カードを本人が提示したことをもって本人同意だというのだ。現実にほとんどの人が、何が行われているのか理解せず、店員ですら「商品名は送っていない」と事実に反する説明をしてしまうのが実態であってもだ。このことを、審議会はどのように検討したのだろうか。

審議会は答申で、「図書館利用情報の適正な管理について」として、CCCと協定書を締結することを促したとのことで、「個人情報について厳格な取扱いが明文化されていること」としたというのだが、佐賀テレビの報道によると、記者会見で審議会会長は、協定書の必要性について「漏えい等がまかり間違ってもあってはならないので」と、漏洩のことを問題にしている様子だった。

画面キャプチャ
図4: 佐賀テレビ2012年7月6日放送「Tカードの情報提供『同意があれば問題なし』」より

また漏洩の話か。ここで言う「漏洩」は何を指しているのか。「厳格な取扱い」とは何なのか。

協定書で明確にすべきは、CCCに提供する「T会員番号、使用年月日、使用時刻、ポイント数」の情報を、CCCが、ポイント払い出しのためのみに使用するのか、それとも、マーケティングでデータベースとして使用するのか(図書館の利用頻度をマーケティングに使うのか)である。マーケティングでデータベースとして使用することを協定書で禁止するか、さもなくば、利用者にその事実を説明しなければ有効な同意があるとは言えない。

ところで、冒頭の話に戻ると、三田市職員によってfacebookに書き込まれた発言は、翌日の昼ごろに削除された。というのも、午前中に三田市の市役所に電話して、「私のことを書かれているが、これは内規か何かに違反していないか?」と尋ねたのであった。

夕方に携帯電話に連絡があり、当人に削除させた旨の報告と、お詫びの言葉を頂いた。私としては、「実質論としては、私にとってはたいした被害とは思っていないが、形式論として、これは三田市の内規か何かに抵触しないか。既に他の人達が『これはアウト』等とあちこちで書いているが?」と尋ねたところ、これから上司と検討するとのことだったので、「検討結果は私に報告してもらえるか」と尋ねたところ、電話してきた担当者はこれを渋り始め、驚いたことに、こう言い出した。

今回の書き込みには、氏名まで書かれておらず、個人を特定していない。

おいおい巫山戯るな。明らかに私のことが話題にされている場において「この方ですね」と書いて、個人を特定していないだと? あまりに馬鹿なことを言うので、多少強めに要求したところ、上司の方から連絡があり、その後、処分が決定されたときに結果の報告*8を頂いた。

これが、自治体の個人情報保護を所管する部局の対応である。

*1 その情報は、今このブログエントリが書かれるまで未発表だったもので、私から誰かに話したことはない。

*2 当初は全部に取材しようと思ったが、4か所に問い合わせた時点で疲れてしまった。

*3 話し方などを省いて、内容を端的に要約したもの。

*4 尾張旭市行政課法務文書係によると、これは尾張旭市の個人情報保護条例に違反する事故ではないとのことであった。新聞の専門家のコメントを指して間違いではないかと問うと、「間違いというより、いろいろな考え方があるのではないかと考えている」とのことだった。また、漏洩があった場合に個人情報保護審査会にかけないのかと問うと、「漏洩の場合に審査会にかけるようにはなっていない」とのことだった。

*5 正確には、個人情報保護ガイドラインによる。「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」によると、「事故又は違反への対処を実践するために講じることが望ましい手法の例示」として、「事実関係、再発防止策等の公表」が挙げられており、「二次被害の防止、類似事案の発生回避等の観点から、個人データの漏えい等の事案が発生した場合は、可能な限り事実関係、再発防止策等を公表することが重要である。」とあり、「ただし」として、「以下のように、二次被害の防止の観点から公表の必要性がない場合には、事実関係等の公表を省略しても構わないと考えられる」として、「影響を受ける可能性のある本人すべてに連絡がついた場合」、「紛失等した個人データを、第三者に見られることなく、速やかに回収した場合」、「高度な暗号化等の秘匿化が施されている場合(略)」、「漏えい等をした事業者以外では、特定の個人を識別することができない場合(略)」とある。ただし、省略した場合でも、「類似事案の発生回避の観点から、同業種間等で、当該事案に関する情報が共有されることが望ましい」とされている。これを、図書館の事案に対応付けると、「第三者に見られることなく、速やかに回収した場合」と言えるかが問題となる。この図書館情報流出事件は、数年間も流出した状態にあったものであるから、およそ「速やかに回収した」とは言えない。「速やかに回収」とは、流出の事実から速やかにという意味であって、気が付いてから速やかにという意味ではないだろう。また、「文部科学省所管事業分野における個人情報保護に関するガイドライン」では、「法違反又は法違反のおそれが発覚した場合の対応」として、「個人データの安全管理の違反があった場合は、二次被害の防止、類似事案の発生回避等の観点から、事実関係及び再発防止策等を、速やかに公表することが望ましい。」とだけ書かれており、例外がない。

*6 個人情報保護法第7条に基づく「政府の基本方針」によって、「事業者において、個人情報の漏えい等の事案が発生した場合は、二次被害の防止、類似事案の発生回避等の観点から、可能な限り事実関係等を公表することが重要である。」とされている。

*7 「三菱電機インフォメーションシステムズによる情報漏洩事件の時系列」参照。

*8 内規に従い処分したとのこと。処分内容については、被害の程度に鑑み、公表しないとのことであった。(この点についてはとくに異論はない。)

本日のリンク元 TrackBacks(2)

最新 追記

最近のタイトル

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|
最新 追記