最新 追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 3447   昨日: 4212

2013年06月20日

携帯電話販売店が本人同意を亡きものにする

去年10月のこと。携帯電話をiPhone 5に機種変更するために、auショップを訪れたのだが、そこで、大方予想していた通りの事態が起きた。

店員は「接続テストをする」と言って、私の買ったばかりのiPhoneを、「ポポペポパポパ」と何も言わずに操作し、「できました」と言って、私に渡した。iPhoneの画面を見てみると、ホーム画面が出ていて、既に使える状態になっていた。

画面キャプチャ
図1: 初期設定終了直後のiPhoneのホーム画面

つまり、iOS 6で初回使用時に行われる、Apple社に対して利用者が同意するという、以下の手続きが、すべて殺されたのだ。

画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ
図2: 位置情報をApple社が利用することへの同意の手続き

iOS 6において、Appleは、単に利用者に位置情報を提供するだけではなく、利用者らの位置情報を独自のサービスの目的で利用する*1ものであり、コンテキストからやや外れた利用となるため、このようにして、個別かつ明確な利用者同意を得るステップを組み込んでいるのである。

こういう仕組みは、過去の事件を経て、違法性をなくすために対応されたものであろう。それを、auショップの店員が破壊しているのである。

次に出てくるのは、利用規約とプライバシーポリシーへの同意であるが、ここは、まあ、読まない人が出てもしかたのないことが書かれているので、いいとしよう。

画面キャプチャ 画面キャプチャ 画面キャプチャ
図3: 利用規約とプライバシーポリシーに対する同意のステップ

その次に出てくるのは、Siriに関する同意のステップである。

画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ
図4: Siriに関する同意のステップ

これも、音声を録音して外部に送信するという(本人がボタンを押したときとはいえ)重大な処理をするものだからというのと、加えて、画面に書かれているように、連絡先データの一部(氏名、ニックネーム、続柄ほか)を送信するという、コンテキストから外れて通常利用者が予見できない情報送信をするものであるから、このように、利用者から個別に同意を得ているわけだ。

日本では、刑法168条の2(不正指令電磁的記録に関する罪)に抵触しないための措置とも言えるだろう。

そして、その次に出てくるのは、「診断データと使用状況データ」の送信についてである。これも、利用者に無断で行えばスパイウェアとの誹りを免れないものだ。

画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ 画面キャプチャ
図5: 診断データと使用状況データに関する選択のステップ

ここでは、「送信しない」を選べるようになっている。位置情報をオフにするのは現実的でないが、診断情報の送信を止めるのは、利用者に何ら直接的な不利益がないので、オフにする自由が認められているのである。

こうしたデバッグ情報の送信は、Windowsや、Mac OSにおいても、利用者の同意を得て送信するものとし、送信しないで済ますこともできるよう、何年も前から確立してきたやり方である。

店員から受け取ったiPhoneを見たところ、この「診断/使用状況」の送信設定は、「自動送信する」に設定されていた。

私は、iPhoneを受け取ってすぐ、店員に、「今、ポポペポパポパっと、私のiPhoneを操作しましたが、どう設定しましたか?」と尋ねたのだが、店員はしどろもどろで、何をどうしたと答えることができなかった。

これは重大な問題だろう。利用者を騙してこういう情報収集を行うアプリを頒布すれば、不正指令電磁的記録供用の罪に問われかねないところ、Appleはちゃんとこうして利用者を理解させて同意を得る仕組みを作り込んでいるのに、auショップの店員がそれを殺しているとなれば、販売業者が責任を負うということになるのではないか。

総務省は、昨年8月、「スマートフォン・プライバシー・イニシアティブ」という提言を発表して、位置情報や連絡先データなど、重要な情報の送信にあたっては利用者の同意を得るよう、業界に働きかけているところだ。

この提言の対象は、後からインストールされるアプリに限っているのではなく、端末製造者によりプリインストールされるアプリや、OS自体が持つ機能についても、同様の配慮を求めていて然るべきである。

私が訪れたauショップがたまたまそうだっただけかもしれない(他の携帯電話販売店でどうだかは確認していない)が、こういうことがもし常態的に行われているのであれば、総務省が指導してしかるべき事ではないか。

アプリ開発事業者に対してだけ義務が課され、携帯電話事業者は利用者に無断で何でもやり放題などということになれば、示しがつかないだろう。

追記(21日)

上に書いた「私が訪れたauショップがたまたまそうだっただけかも」の点、Twitterでの反応を見るに、自分もそうだったという声がある一方、自分は違ったという声もある。店によって違うのだろうか。

そして、案の定、「この画面に見覚えがない」という声が上がっている。

やはり、これは放置してはまずいだろう。

*1 具体的には、画面中の説明に、「クラウドソースの道路交通情報データベースを構築するため」、「位置情報のクラウドソースデータベースを補強するため」と書かれている機能がそれである。また、「位置情報サービスを有効にしているかどうかに関わらず、救助に役立つように緊急電話でiPhoneの位置情報が使用される場合がある」という記述もある。

本日のリンク元 TrackBacks(2)

2013年06月24日

書評:良いウェブサービスを支える「利用規約」の作り方

3月のこと。出版されたこの本を技術評論社より献本いただいた。

  • 雨宮美季, 片岡玄一, 橋詰卓司, 良いウェブサービスを支える「利用規約」の作り方, 技術評論社, 2013

第1章「3大ドキュメント超入門」として、利用規約と、プライバシーポリシーと、特定商取引法に基づく表示について書かれており、第3章には「すぐに使える・応用できるひな形」なるものが掲載されている。

プライバシーポリシーについて、第1章の超入門で、個人情報保護法における「個人情報」に該当しない「個人に関する情報」もプライバシーポリシーの対象とするべきだと書かれている*1点は良い。2012年8月の総務省「スマートフォン・プライバシー・イニシアティブ」を参照し、「今後の流れに大きく影響する可能性があります。」とあり、スマホアプリ対応の解説となっている。

しかし、3章の「すぐに使える」とされているプライバシーポリシーのひな形は、あまりに雑すぎて「すぐに使える」ものではない。

そのひな形には、「1. 収集する利用者情報及び収集方法」として、

(1) ユーザーからご提供いただく情報
(2) ユーザーが本サービスの利用において、他のサービスと連係を許可することにより、当該他のサービスからご提供いただく情報
(3) ユーザーが本サービスを利用するにあたって、当社が収集する情報

とあり、これらを分けて書いている点は良い。

しかし、(3)の「ユーザが利用するにあたって当社が収集する」では、どういうときに収集されるものなのかが不明だ。「1.収集する利用者情報及び収集方法」と言っているのに「収集方法」が説明されていない。

ここは本来は、「ユーザがアプリを使用したときに、プログラムが自動的に送信することにより、当社が収集することとなる情報」といった意味のつもりであるはずだ。英語圏のプライバシーポリシー(アプリに関する)を見ていると、「Automatically Collected Information」といった見出しを付けているものをよく目にする。

適当にググって拾ってみると、典型的には以下のようなフレーズである。

User Provided Information – The Application obtains the information you provide when you download and register the Application. When you register with us and use the Application, you generally provide (a) your name, email address, and other information; We may also use the information you provided us to contact your from time to time to provide you with important information, required notices and marketing promotions.

Automatically Collected Information - In addition, the Application may collect certain information automatically, such as the type of mobile device you use, your mobile devices unique device ID, the IP address of your mobile device, your mobile operating system, the type of mobile Internet browsers you use, and information about the way you use the Application.

ellisapps Inc. Privacy Policy, 2013年1月

このように、利用者が入力する情報とプログラムが自動的に送信する情報とを分けて書くことの意義は、前者は利用者が自覚的に行うものであり、言わば説明するまでもないことであるのに対し、後者は利用者が自覚できないもの(送信前に必ず同意確認のUIを設けている場合はともかく)であるからこそ、プライバシーポリシーでの明示が重要となるところにある。

「(3) ユーザーが本サービスを利用するにあたって、当社が収集する情報」では、そういう意味で重要なことが書かれているという趣旨が、読者に伝わらない。

おそらく、著者らは、依然として、Webサイト用のプライバシーポリシーを想定したままなのだろう。Webサイトにおいては、自動的に収集できる情報は限られているので、cookieのこと(とIPアドレスのこと)くらいしか書くことがなかった*2。しかし、アプリではそうではない。

総務省「スマートフォン・プライバシー・イニシアティブ」を受けて、モバイル・コンンツ・フォーラムが策定した「スマートフォンのアプリケーション・プライバシーポリシーに関するガイドライン」(2012年11月)においても、「アプリケーション・プライバシーポリシーのモデル案」が示されているが、その中で、以下のように、ちゃんと*3「アプリにより自動的に」ということが書かれている。

本アプリケーションおよび本サービスのご利用に際して、以下の利用者情報を以下の利用目的のためにアプリケーション経由で自動的に取得いたします。

スマートフォンのアプリケーション・プライバシーポリシーに関するガイドライン, モバイル・コンンツ・フォーラム, 2012年11月

今回の本は3月に出版されたのに、このモデル・ポリシーを参考にしていない疑いがある。

さらにイタダケないのは、前記(3)の中身である。以下のものが「すぐに使えるひな形」とされているのである。

(3) ユーザーが本サービスを利用するにあたって、当社が収集する情報

当社は、本サービスへのアクセス状況やそのご利用方法に関する情報を収集することがあります。これには以下の情報が含まれます。

  • 端末情報
  • ログ情報
  • Cookie及び匿名ID
  • 位置情報

これだけである。

まず、「端末情報」では何のことか全くわからない。これは前記で言う「your mobile devices unique device ID」のことを指しているつもりと思われる*4ところ、まるで端末の機種名か何か(前記で言う「the type of mobile device you use」)のことを言っているかのようだ。

この本の第3章は、見開き左のページにひな形を掲載し、右のページに解説が書かれているのだが、この部分の解説には、総務省「スマートフォン・プライバシー・イニシアティブ」の図表4-2が転載されているだけで、何の解説も加えられていない。

これは致命的に駄目であり、この本の宣伝文句を真に受けてこのまま使うような会社が続出すれば、社会にとって有害と言わざるを得ない。

同様に、「ログ情報」も何のログか全く不明であるし、「匿名ID」なるものも怪しい臭いを醸している。こんなフレーズが広まっては困るので、やめてほしい。

「Cookie」に至っては、何ら書いていないも同然である。cookieは入れ物の名前であって、入れ物の中身を説明しなくては意味がない。cookieで何をやっているのかを書くのがプライバシーポリシーの役割だ。そんなことすら2013年になっても理解されていないことに絶望する。

筆者らは、3名とも法務系の方のようなので、技術的なことがわからないままこの本を出してしまったのだろう。「すぐに使える」というより、すぐに出版したかっただけではないか。奇しくも、プライバシーポリシーの策定にこそ、プライバシー・エンジニアとの協調作業が絶対的に欠かせないことが実証された本と言えよう。

*1 「実際に、国外のウェブサービスはもちろん、国内のウェブサービスの中にも、プライバシーポリシーの対象を個人情報保護法の個人情報にとどめることなく、その他の利用者に関する情報も対象とする動きは徐々に広まっています。」と書かれている。

*2 「ブラウザの種類」「OSのバージョン」といったことはプライバシーポリシーに書く必要はなく、書けば他の重要な情報を目立たなくするばかりなのでで、書かない方がよい。書くなら、分けて、最後に書くべきものだろう。

*3 このモデルも、もうちょっと見やすくできないかなと思うので、理想的な例だと言っているわけではない。

*4 続くページで、この「端末情報」について、「以下の利用者情報については、その収集が行われる前にユーザーの同意を得るものとします。」の対象として例が載せられているので、端末の機種名とかではなく、端末識別番号のことを言っていると思われる。

本日のリンク元 TrackBack(1)

2013年06月25日

過大なポリシーが人々を麻痺させ本人同意を形骸化させる

ファミリーマートが公衆無線LANサービスを開始したが、その利用規約に、「履歴情報および特性情報の取得」として、とんでもないことが書かれていると、話題になっていた。

この利用規約は、インターネットから見られないようにされており、ファミリーマートに行って、そのWi-Fiアクセスポイントに接続してからでないと閲覧できないようになっている。(25日の時点でも。)

問題となる利用規約の記述は、「当社は、利用者様が本サービスをご利用になる際に、以下の情報(略)を取得し、管理し、利用します。」として、「本サービスにより閲覧されたホームページ」と書かれている点だ。

そこで、ファミリーマートお客様相談室に電話して(6月3日)、「本サービスにより閲覧されたホームページ」が何を意味しているか質問したところ、回答は「グーグルや、ファミリーマート、その他のサイト」というものであった。

つまり、この回答は、DPI広告のように、Wi-Fiアクセスポイントのルータ上で通信内容を傍受して、誰がどこのサイトを訪れているかを収集していることを意味する。

それが事実であるなら、通信の秘密侵害、電気通信事業法違反の疑いがある。そこで、お客様相談室に「違法ではないか」と訪ねたところ、折り返し回答を頂くことになった。翌日、電話があり、その回答があったのだが、それは「同意を得ているので違法でない」というものだった。

これは重大な問題だ。総務省の第二次提言(2010年)は「ディープ・パケット・インスペクション技術(DPI技術:Deep Packet Inspection)を活用した行動ターゲティングについて」として、以下のように指摘している。

通信当事者の同意がある場合には、通信当事者の意思に反しない利用であるため、通信の秘密の侵害に当たらない。もっとも、通信の秘密という重大な事項についての同意であるから、その意味を正確に理解したうえで真意に基づいて同意したといえなければ有効な同意があるということはできない。一般に、通信当事者の同意は、「個別」かつ「明確」な同意である必要があると解されており、例えば、ホームページ上の周知だけであったり、契約約款に規定を設けるだけであったりした場合は、有効な同意があったと見なすことは出来ない。有効な同意とされるためには、例えば、新規のユーザに対して、契約の際に行動ターゲティング広告に利用するため DPI 技術により通信情報を取得することに同意する旨の項目を契約書に設けて、明示的に確認すること等の方法を行う必要がある。

利用者視点を踏まえたICTサービスに係る諸問題に関する研究会 第二次提言, 総務省, 2010年5月

ファミリーマート側は、指摘されていることの重大性を理解していないだけではないかと考え、上記の総務省第二次提言の部分を読み上げて伝えたところ、2日後の5日に、お客様相談室の責任者から回答があった。

曰く、最初の回答で「本サービスにより閲覧されたホームページ」の意味を「外部のホームページ」と回答をしたのが誤りであり、これはファミリーマートのサイト内の閲覧のことであるとのことであった。

そうならば、ごく普通のWebサーバでのアクセスログのことであり、このような利用規約で同意を求めるまでもないことである。「本サービスにより閲覧」という表現をするのが間違いである。

「本サービス」との用語は図1のように「ファミリーマートのWi-Fi無料インターネット接続サービス」と定義*1されており、インターネット接続サービス全体を通じてのホームページ閲覧を指すことになるのは必然*2である。

画面キャプチャ
図1: ファミリーマートWi-Fiのサービス利用規約(序文)

社員ですら(お客様相談室がバックヤードに確認に行って出て来る回答ですら)間違うような利用規約に同意させて、いったい何の意味があるというのか。

それを伝えたところ、「わかりにくいということであればよりわかりやすい表現を検討していく。」とのお返事だったが、24日に改めて「規約はどうなったか」と尋ねたところ、お客様相談室の責任者は、「最初の回答が間違いだったので、違法ではない。」という反応であり、利用規約を緊急に直す必要性を認識していない様子だった。

25日現在、利用規約は改正されていない。

また、この問い合わせでは、MACアドレスの利用目的についても尋ねた。なぜなら、この利用規約では、取得する情報と、その利用目的が、独立に列挙されており、それらの間の関係が何ら示されていないからである。

画面キャプチャ 画面キャプチャ
図2: ファミリーマートWi-Fiのサービス利用規約(取得と利用目的)

この記述から論理的に導かれるのは、「MACアドレス」を「マーケティングに利用する」という意味である。「そうなのですか?」と訪ねたところ、初日の回答では、「同意を得ている」という回答だった。

2日後の回答では、この点についても訂正があり、「MACアドレスは無線LANの管理にのみ使用しており、MACアドレスをマーケティングの目的に利用することはない。」という回答であった。

そうであれば、MACアドレスを取得する事実など書く必要がない。無線LANにおいて接続元のMACアドレスを取得することになるのは、技術的に必然で、当たり前のことであり、書くまでもないことだ。こういうふうに不必要なことをダラダラと表示することで、本当に必要なことが利用者に伝わらなくなっている。

こういうアバウトな利用目的の記述が許されるのなら、「当社は、あらゆる情報を取得し、あらゆる目的で利用します。」と書けばオーケーであり、すべての事業者がポリシーをコピペで済ますことができるだろう。

当然、そんなことが許されるはずがない。こんなことすら2013年になっても理解されていないことに絶望するほかない。

*1 よく見ると日本語もおかしい。「当社は、当社が展開する店舗においてファミリーマートのWi-Fi無料インターネット接続サービス(略)の利用規約(略)を定め、本規約に基づき本サービスを提供します。」とあるので、日本語の構文上、「店舗において」は「利用規約を定め」に係る。なるほど。だから利用規約が店舗でしか読めないんだな。いや、そうではなく、ここは「当社は、ファミリーマートのWi-Fi無料インターネット接続サービス(略)の利用規約(略)を定め、本規約に基づき、当社が展開する店舗において本サービスを提供します。」と書くべきものだろう。どうしてそのくらいのことができないのか理解しかねる。

*2 このWi-Fiサービスでは、このWi-Fiに接続したときにしか閲覧できない限定コンテンツが独自のWebサーバで提供されており、ファミリーマートとしては、「本サービス」がその部分を指すつもりで「本サービスにより閲覧されたホームページ」と記したのかもしれないが、それは「インターネット接続サービス」ではないので「本サービス」ではない。

本日のリンク元 TrackBack(0)

2013年06月26日

動機が善だからと説明なく埋め込まれていくスパイコード

5月にこのニュースを見たとき、嫌な予感がしていた。

  • 父娘遭難、携帯の位置情報得られず 消防への提供ルール化 北海道地吹雪, 朝日新聞, 2013年5月22日

    北海道湧別町を襲った3月の地吹雪の中で父親が娘を抱いたまま亡くなった事故で、消防が父親の携帯電話の位置情報を携帯電話会社から得ようとしたが得られず、父娘の捜索を中断していたことが分かった。総務省は情報提供のしくみが整っていなかったことが原因とみて、位置情報をすみやかに伝えるルールを作り、全国の消防本部と携帯各社に通知した。

ルールを整備するのはよいことだが、この記事は、基地局レベルの位置情報ではなく、GPSレベルの位置情報を用いて救助しようという話になっていて、そもそも、キャリア(携帯電話事業者)に頼んだところで、どうやって端末のGPS位置情報が得られるの?という疑問を持った。

今月、改めてこの記事を読み直したところ、記事の最後にこう書かれていた。

<位置情報> 携帯電話の電波を中継する基地局から算出される。都市部は精度が高く、山間部は「基地局から北の方角に○キロの範囲」という程度になる。警察は携帯各社と個別にルールを作り、家出人捜索などで頻繁に照会している。全地球測位システム(GPS)はより詳細な情報を得られるが、提供を受けるには裁判官の令状が必要だ

父娘遭難、携帯の位置情報得られず 消防への提供ルール化 北海道地吹雪, 朝日新聞, 2013年5月22日

てっきり、キャリアに求めて得られる位置情報はすべて基地局レベルの位置情報だと思っていた。基地局レベルの位置情報は、キャリアが電気通信事業を営む中で付随的に常時得ている情報であるから、裁判官の令状があれば、持っている情報は出すことになるというのは、ずっと昔からの運用だった。

しかし、GPSレベルの位置情報は、電気通信事業とは無関係であり、常時得ているわけではなく、端末のGPS位置情報を得る機能を遠隔作動させない限り、どうともならない。それを、「提供を受けるには裁判官の令状が必要だ」と朝日新聞は報じており、どうやら、GPSレベルの位置情報がキャリアから警察に出されているらしい。

もちろん、携帯電話のGPSを使って、親が児童の居場所を探すサービスとか、友達同士で位置を知らせ合うサービスがあることは、昔から承知していて、2004年に以下の日記を書いている。

  • GPSで居場所が通知される携帯電話?, 2004年11月20日の日記

    小学一年生の児童が殺害されるといういたましい事件が起きた。これを伝える報道で、GPS付き携帯電話で犯人の位置が通知されたとしているものがあるが、これは部分的に間違っている。(略)

    じつは、2つの別々の方法で位置特定がなされていたようだ。

    ある情報筋からの話によると、今回、「母親が自分の携帯電話を操作して」位置を調べたというのは、 auの「EZお探しナビ」サービスを使ったものだそうだ。(略)

    同マニュアルの検索編「登録メンバー側での確認画面です」によると、「○○さんが検索しています。このままお待ちください。」と表示されて、「現在地を確認中」というプログレスバーとともに、GPSによる測定にしばらく時間がかかることが示されている。ここで中止ボタンを押すこともできるのだろう。

    引用

    これなら納得できる。

    (略)

    EZお探しナビは、常時使うものではないようだし、検索され始めたときに本人が中止させられるというのは、プライバシー的にはなかなかよい機能だ。子供に、自分の位置を知られることへの拒否の権利を意識させることができる。これはなかなかほどよい感じに設計された位置特定サービスかもしれない。

これは、利用者間のそういうサービスであり、そういうシステムが組まれているのだからいい。まさか、この仕組みを流用して、つまり、システムの内部に介入して、警察が、市民の端末のGPSを遠隔作動させているということなのか?

そもそも、あれから10年、スマホが普及した現在では、スマホでそんなことは許さないはずだ。スマホではどうなっているのかと、Twitterでつぶやいたところ、今はこうなっているという情報をいくつか頂いた。

それによると、ソフトバンクモバイルの場合は、「紛失ケータイ捜索サービス」を以下の方法で実現しているようで、「位置ナビLink」対応端末の場合、カスタマーサポートに電話することで、端末のGPSを遠隔作動させて、位置を教えてもらえるという。

つまり、警察は(裁判官令状があれば)、カスタマーサポートにこの遠隔操作を強制させることができるわけだ。

auの「ケータイ探せて安心サービス」も「お客さまセンターからの検索」ができるとある。申し込み不要で、「2010年秋冬モデル以降のケータイは、あらかじめ位置が検索できるように検索設定が「OK (許可)」となっております。」だそうだ。*1

NTTドコモも同様に、「お電話1本でコミュニケーターが失くしたケータイのおおよその位置をお伝えします」とあり、「GPS対応携帯電話ならGPSを利用した精度の高い位置情報を地図で確認できます」とある。

いつの間にこんなことになっていたのか。

緊急通報でGPS位置情報が自動的に通知されるようになった件なら、6年前、「日本版e911」が始まったと広く報道されていたので知っている。

  • ニュース - 携帯3社、GPS情報通知の「日本版e911」を正式発表, 日経PC Online, 2007年1月10日

    NTTドコモ、KDDI、ソフトバンクモバイルの携帯電話事業者3社は2007年1月10日、110番、118番、119番への緊急通報時に端末の現在地を通知する「緊急通報位置通知」システムを2007年4月1日に運用開始すると正式発表した(発表資料)。

    同システムは「日本版e911」と呼ばれているもので、緊急通報時にGPSまたは基地局により現在地を測位し、自動的に警察、海上保安本部、消防へ通知する仕組み。外出先などからの緊急通報で、通報者が現在地を口頭で明確に伝えられないような状況でも、通知された位置情報を基に各機関の指令台で現在地を確認できる。2006年1月に改正公布された総務省令(事業用電気通信設備規則)により対応が義務づけられ、各社が準備を進めていた(関連記事)。

これは何ら問題がない。自分で緊急通報の電話をかけたときにその端末のGPS作動するものであるし、そういう機能が始まったことは報道を通じて広く周知されている(かつ、公益性がある)からである。

ところが、今回知ったのは、この緊急通報位置通知システムも、技術的には、GPSは遠隔作動させられているのだという。つまり、緊急通報の電話をかけた端末が自発的にGPSを作動させるわけではなく、キャリアが、緊急通報の電話を中継するときに、端末に指令を飛ばして、GPSを遠隔作動させるのだそうだ。詳しくは、以下の資料に図解されている。

こんなことになっていたとは全く気付かなかった。2006年の総務省令「事業用電気通信設備規則」改正で義務付けられた緊急通報位置通知システムが、警察によって(裁判官令状によって)流用されているわけだ。

このことは、2011年の10月に一度話題になっていたそうで、Twitterで教えて頂いた。私はまったく気付かなかった。総務省の個人情報保護ガイドラインの改正で、これを正当化する条項が付け加えられ、それに対して日本弁護士連合会が反対する意見書を出しており、衆議院法務委員会でもこの件が取り上げられていた。

  • 電気通信事業における個人情報保護に関するガイドライン及び解説の改正案に対する意見募集の結果の公表, 2011年

    改正案に寄せられた御意見(個人)

    携帯電話が普及した今日において、犯罪捜査における移動体端末(とりわけ携帯電話)の位置探索の実施は効果が期待されることは既に報道等により明らかであり、今回その記述をガイドラインに明確に追加したことは良いことだと思います。しかしながらせっかく解説文に各種位置情報の取扱いについて明確に区分されているにもかかわらず、条文では「当該位置情報」との記載にとどまり、取扱いに関する記載が一切されておらず、位置探索として取扱う情報と取扱わない情報が明確に区分されていないことに問題を感じます。これでは国民は位置情報を漠然としたひとつの情報として取り扱う誤解も生じます。

    特にGPS情報は携帯電話網において事業上取得される位置情報ではないとの整理は他の位置情報と大きく区分していること、また位置登録情報は通信として扱わない情報であることは明確に定義すべきであり、現状の条文からではどれが探索の対象となるのかが判明しません。

    ましてGPS情報は携帯電話端末本体に蓄積された情報であり、これが外部から取得できる状況になれば将来的にアドレス帳や写真に至る保存情報の取得も可能になることも容易に推測できます。通信と何ら関係のない情報が通信機器から勝手に抜き出されることがまかり通れば、国民は通信に対する不審を抱く結果にもなるでしょう。

    以上のことから、ガイドラインには解説ではなくしっかり条文に定義を記載することを意見します。このことは位置探索とプライバシー保護のバランス関係について国民が理解する上においても必要なことです。(個人)

  • 電気通信事業における個人情報保護に関するガイドライン及び解説の改正案に対する意見書, 日本弁護士連合会, 2011年8月2日

    意見の趣旨

    1 総務省から今回提案されている「電気通信事業における個人情報保護に関するガイドライン」(以下「ガイドライン」という。)及びその解説の改正案は、電気通信事業者から捜査機関に対し、通常の検証許可状の要件の下で、GPSによる個人のピンポイントでの位置情報の提供を可能にするものであるところ、刑事訴訟法の改正によることなく、ガイドライン等の改正のみによって、市民のプライバシーを侵害するおそれの大きい捜査手法を事実上容認することは、相当でない

    2 仮に、GPSによる位置情報の提供を許容するとしても、国会における国民的議論を経て、その取得につき、一般の検証の要件と比して、より厳格な要件を定める刑事訴訟法の改正によってなされるべきである。

  • 衆議院会議録情報 第179回国会 法務委員会 第2号, 2011年10月25日

    ○大口委員 次に、少し前、交際している女性が交際相手の男性のスマートフォンにアプリをインストールしますと、GPSによる位置情報などが交際している女性に送信されるというカレログというアプリが話題になっております。GPSによる位置情報というのはピンポイントなんですね。これが他人に知られることについての国民の関心が高まっているということでございます。

    本年八月二日から三十一日まで、電気通信事業における個人情報保護に関するガイドライン及び解説の改正案に対する意見募集がなされました。ここで、このガイドラインの二十六条に新たに三項を付加して、当該位置情報が取得されていることを利用者が知ることができるときであって、裁判官の発付した令状に従うときに限り、電気通信事業者がGPSによる位置情報を取得することを認めるもので、そのようにして取得した情報は捜査機関に提供されることが予定されているようだが、まだこれについては改正はされていないようでございます。

    従来、携帯電話については、携帯電話会社が保有する基地局による位置情報というものがありました。それを捜査当局が、裁判官が発する検証許可状によって取得してきた。従来の基地局による位置情報は、都市部で半径約五百メートルの範囲にその携帯電話があるということしかわからないということに対して、GPSによる位置情報というのは、多少の誤差はありますけれども、ほぼピンポイントでその携帯電話の場所を特定できるということのようであります。

    (略)

    ○平岡国務大臣 (略)

    委員が御指摘ありましたように、今回のこのガイドラインの改正では、裁判官が発付した令状に従うということに加えて、利用者が知ることができるという要件が加わっているということでありますけれども、まさに、全く本人が知らないままにそういった情報がとられるということについて、私が個人的にというか総務副大臣として、それは非常に問題があるということなので、この要件をやはり加えなければいけないんじゃないかというような指摘に基づいてこのガイドラインがつくられ、そしてパブリックコメントに付されたというふうに記憶をしておるところでございます。

    ○大口委員 きょうは松崎総務副大臣にも来ていただきました。

    今回の二十六条の三項で、当該位置情報が取得されることを利用者が知ることができるときであって、裁判官の発した令状に従うときに限り、当該位置情報を取得するものとする、こうなっているわけでありますけれども、この当該位置情報が取得されることを利用者が知ることができるときであってという要件について、現在は、携帯電話の仕様では、携帯電話会社がGPSによる位置情報を取得する際には、携帯電話の端末の画面にその旨表示がされることになっている、そういうことを指していると考えられます。

    将来、携帯電話の仕様が変更されて、GPSによる位置情報が取得される際に、携帯電話の端末の画面にその旨表示がされないような仕様に変更になったような場合は、この要件を満たさないということで、検証の許可状があってもこの携帯電話はGPSによる位置情報を取得することはできなくなる、こういうふうに考えてよろしいですか。

ちょっと待って欲しい。「利用者が知ることができるという要件」というのは、これのことか?

引用
図1: 2004年11月20日の日記で引用した図

こんなの、鞄に入れていたりすれば、気付かないじゃないか。

これは、2004年11月20日の日記にも書いていたように、元々、本人が同意した相手に(もしくは親が児童に持たせて)、位置情報を自動的に提供する用途で設計されたもので、その場合であっても、位置情報の提供が起きていることを本人が自覚した方がいいだろうと、そういう配慮で設計されたものであって、それは、児童に持たせる場合には教育的配慮でもあっただろう。その目的としては、本人が気付かない場合があるとしてもプライバシー保護の意味を持つわけだ。

だが、警察が一方的に位置情報を取りに来るときは、そういう理屈は全く成り立たない。

今どきのスマホだと以下の画面が出るそうだが、「お母さん」の部分、警察が裁判官令状で遠隔作動させているときは、何と表示するつもりなのか? 令状の裁判官氏名でも表示するのかね?

図の引用
図2: Androidアプリ「ドコモ位置情報」の画面

そもそも、こんなアプリを勝手にインストールするのは、刑法168条の2、不正指令電磁的記録供用罪に当たるのではないか。キャリアの説明書、利用規約、約款を調べてみたが、あくまでも、「ケータイお探しサービス」「子ども見守りサービス」「今どこ検索」、「緊急通報位置通知」のために使うものとされていて、その他の目的で流用することがあるなどと、どこにも書かれていない。

キャリアの人ら、端末は自分たちの物だと勘違いしてるんじゃないのか。自分たちの制御下にあって、何をインストールしようが勝手だと。百歩譲って10年前の電話ならそれもいい。だが、自由にアプリをインストールできるスマホは、コンピュータなのであって、キャリアの管理下にあるわけじゃない。

いや、それどころか、総務省令事業用電気通信設備規則で義務付けた結果がこれなのだから、まるっきり、国が、スパイコードを国民の携帯電話に埋め込んでいる話じゃないか。

まさにこれは、「コンピュータプログラムに対する社会的信頼」という刑法168条の2(及び同3)の保護法益を侵すものであり、到底許されるものではない。

驚いたことに、上に引用した、2011年10月の衆議院法務委員会の質疑でも、同8月の日本弁護士連合会の意見書でも、総務省パブコメへの意見でも、誰一人、不正指令電磁的記録供用罪について指摘していない。この刑法改正が成立したのはその直前なのにだ。どんだけこの法律が理解されていないのか。

そして、今、北海道の地吹雪遭難事故をきっかけにして、消防等による救助のために、裁判官令状がなくてもこのシステムを流用できるよう、総務省個人情報ガイドラインの改正が検討されているそうだ。

遭難者を救護する必要がある。迅速にやらなければ命が危ない。命が何より大切。それはその通りだ。だが、別の用途でプリインストールしてあるアプリを、動機が善だからといって、説明することもなく、流用するというのは許されない。それは、「コンピュータプログラムに対する社会的信頼」を害するものである。

「救助のときは緊急避難に当たるから違法性阻却される」と言い出す人がいるかもしれないが、それは間違いである。

問題となる行為が、アプリを遠隔作動させて位置情報を取得する行為のことであるなら、その通り(プライバシー権より優先される)だが、そうではなく、不正指令電磁的記録の罪はアプリをインストールした時点が供用行為なので、その時点で緊急避難に当たる状況がなければならない。

このことは、刑法学者の園田先生もおっしゃっている。

しかも、今回の総務省個人情報ガイドラインで、これに関する規定が入ることになれば、キャリアは、今後、そういう用途で使われることを認識しながらアプリを実行の用に供することになる。そのとき、どういう用途で使うかを利用者に隠して(利用者が知らなくてもまわないと認容して*2)実行の用に供すれば、不正指令電磁的記録供用の故意があることになる(これまでは故意がなかったとしても今後は)のではないか*3

どうすればいいかは明白で、言われるまでもなくわかることだろう。救助のためにGPS位置情報を使う必要があるのなら、消防や警察に救助してもらうためのアプリを製作して、消防庁なりが公式サービスとして提供すればいい話*4だ。いつか消防にお世話になるかもしれないと望む人が、アプリをインストールするなり、機能を有効に設定するなりする。大多数の国民はそれを歓迎するだろう。*5

動機が善なら説明不要というやり口がまかり通るこの国は、本当に残念でならない。このまま行けば、2011年のガイドライン改正のときのパブコメに意見を提出していた「個人」氏が懸念した通りの未来がやってくるだろう。

「通信に対する不審」とうより、コンピュータプログラムに対する社会的信頼が害される。このことがあまりに理解されていない。

関連

*1 「暗証番号を他のお客さまと共有されている場合は、お客さまご自身からのみ検索ができるよう、必要につき利用者認証番号の設定、または検索要求を「NG (拒否)」に設定変更をしてください。」と書かれていて、あいかわず、auは無責任っぷりが酷い。問題を認識しながらあえてそうする会社。

*2 約款に追記すればいいというレベルではない。

*3 なお、不正指令電磁的記録供用罪の構成要件として、「不正な」の要件がこのケースにどう解釈されるかは、議論の余地がある。一つの考え方は、「不正な」の要件は、本人の意図に反して秘密情報が外部に持ち出されるプログラムである時点で「不正な」に該当する(その先にある持ち出す目的はこれに係らず、目的は可罰的違法性の評価に係るのみ)という考え方もできる一方で、本人の意図に反して持ち出した情報を何のために使うかの目的が正当であれば「不正な」に該当しなくなるとする解釈もあり得る。私は、現時点では、前者寄りの立場だが、詳しく説明する時間が今はない。

*4 昔の電話ならいざ知らず、スマホが普及した現在では、そういうアプリはキャリアでなくとも容易に開発できる。基地局レベルの位置もスマホのOSが把握しているわけだし、位置情報を常時定期的に消防庁に送るシステムにするのも良いと思う。救助を望む人が入れるアプリならそういったこともできる。

*5 そういうアプリが普及したとき、このアプリを有効にしていない人を列挙することが技術的に可能になるが、それを怪しい人物として警察がマークするような国になってはほしくない。

本日のリンク元 TrackBack(1)

2013年06月27日

Tポイントは何を改善しなかったか

さて、昨年9月に、「Tポイントは本当は何をやっているのか」を書いてからもう9か月経った。その後、この件がどうなったかを確認しておく。

まず、問題となった「T会員規約」だが、10月1日に(毎年恒例の)改訂があったが、文言が少し直された程度で、問題とされていた肝心の部分は、何ら修正されなかった。

第4条 (個人情報について)

2. 当社が取得する会員の個人情報の項目

(1)「お客様登録申込書」の記載事項及びT-IDお申し込み時の登録事項(変更のお申し出の内容を含みます)氏名、性別、生年月日、住所、電話番号、電子メールアドレス等
(2)ポイントプログラム参加企業における利用の履歴
(3)T-ID及びTカードの停止・退会状況その他第3条第2項に関する事項
(4)ポイントの付与又は使用等に関する情報
(5)クレジットカード番号
(6)その他の記述または個人別に付与された番号・記号その他の符号
(7)画像もしくは音声によりその個人を識別できるもの
(8)サービスご利用内容
(9)サイトへアクセスしたことを契機に機械的に取得された、お使いのブラウザの種類・バージョン、オペレーションシステム、プラットフォーム等のほか、閲覧履歴、購入の履歴を含むサービスご利用履歴
(10)お問い合わせなどの情報
(11)会員のコンピュータがインターネットに接続するときに使用されるIPアドレス、モバイル端末でのアクセスによる契約端末情報
(12)モバイル端末による位置情報
(13)新たなサービスご利用の際にご提供いただく一切の事項

3. 利用目的

(1)T-IDの入力またはTカードの提示により提供する、第1条第2項記載事項に代表される会員サービス(ポイントプログラムを含みます)の円滑な運営のため
(2)ポイントプログラムの変更等の場合に、後継プログラムへの引継やそれらに関連する業務を行うため
(3)会員のライフスタイル分析のため
(4)会員に対して、電子メールを含む各種通知手段によって、会員のライフスタイル分析をもとに、または当社が適切と判断した企業のさまざまな商品情報やサービス情報その他の営業案内または情報提供のため
(5)会員の皆様からのお問い合わせ、苦情等に対し適切に対応するため
(6)その他上記各利用目的に準ずるか、これらに密接に関連する目的のため

なお、個人情報の利用にあたっては会員が退会後も上記サ載の利用目的のために利用できるものとします。

「利用の履歴」が商品名を含むか否かは規約からでは読み取れない。後述するが、百歩譲って、もし、類似のサービスがどれもこれも皆同様に商品名を取っていて、それが当たり前な社会になっているのなら、こういう記述も許され得るかもしれないが、そういう事実はない。これをやっているのはTポイントだけであることが確認されている。

「ライフスタイル分析」も何のことだかわからないままだ。9月のときは、テレビ東京の番組に出たCCCの取締役執行役員が、事実に反する嘘の説明をしたと書いた。(以下一部を再掲。)

テレビ画面
テレビ画面
テレビ画面
テレビ東京「たけしのニッポンのミカタ!」2012年8月17日放送より
批評に必要な範囲で引用
Tポイントは本当は何をやっているのか, 2012年9月23日の日記

これは大嘘で、実際には、Tポイントプログラム加盟店で、会員がTカードを出したとき、その会員に最適化されたクーポンが、その加盟店のレジから出てくるようになっている。このことは、9月のとき、以下のように書いている。

これはおかしい。この番組でCCCの取締役執行役員が言ったことは、「履歴は統計的にしか使っていないし、B社の情報はB社に提供しているだけだ。」というものである。つまり、顧客情報分析の受託業務であるかのように説明されていた。仮にそういう契約であるなら問題はないが、実際はそうではないだろう。上記で示した6月に公式に得た回答は何だったのか?ということになる。6月の回答が間違っていて、実際はやっていないというのだろうか?

そういうわけで、再び、Tカードサポートセンターに問い合わせた。前回の担当者に問い合わせたところ、以下の回答が得られた。(8月25日)

前回お預かりしたご質問は、先日のテレビ放映で、ある企業、放映の際にはファミリーマートさんでしたが、そちらでの購買情報を弊社が取得してそちらのマーケティング分析したデータをそのままファミリーマートさんに提供するという放送内容だったが、その放送内容と、以前私から高木様にご案内したPOSクーポンの発券システムによる情報の取り扱いに関するご案内と、このテレビ放送の放送内容が矛盾するのではないかとのご質問であった。

また、そのテレビ放映は、ファミリーマート様の購買履歴を取得してマーケティング分析した上でお返しする、そのような情報の取り扱いのみだけしかさもしていないかのように放送がされているとのご指摘であったが、まずその点にお答えすると、先日のテレビ放送は、単に一例としてこちらからサービス、情報の取り扱いを放送させて頂いたにすぎず、あの放送内容が全て、サービスの全てということではない

次に、以前私から高木様にご案内したPOSクーポンの発券システムが、本当は行われいないのではないかとのご質問も頂いたが、間違いなく弊社で行っているサービスである。担当部署に確認の上での正式な回答であり、間違いではない。

また、このテレビ放映の内容が、POSクーポン発券システムの存在と矛盾しているのではないかとのご質問であるが、POSクーポンの発券システムは、収集した情報を弊社で一元的に管理しており、弊社から各加盟店企業に提供するわけではなく、POSの発券システムに情報を組み込ませているだけであるので、一方のアライアンス加盟店の情報を他方のアライアンス加盟店に提供することはしていないので、放送内容との矛盾はない。

まあ、そう言うだろうと思ったが、あのようなテレビの放送内容では、誰もが、顧客情報分析の受託業務であるかのように誤解するだろう。こうやってあえて人々を誤解させ、結果的に騙すことを厭わない。

Tポイントは本当は何をやっているのか, 2012年9月23日の日記

その後、ドラッグストアが、医薬品を販売したときにT会員IDに紐付けて販売した医薬品の品名をCCCに提供している件で、民間の医薬品監視機関である「薬害オンブズパースン会議」が、CCCとドラッグストアに対して、「Tポイントサービスに関する要望書」を提出するという事態になった。

  • 「Tポイントサービスに関する要望書」を提出 / 回答書受領, 薬害オンブズパースン会議, 2012年11月20日

    薬害オンブズパースン会議は、2012年11月20日、Tポイントサービスの運営主体であり、TSUTAYAを展開しているカルチュア・コンビニエンス・クラブ株式会社(CCC)、医薬品販売業者(ドラッグストア)としてTポイントの加盟店(ポイントプログラム参加企業)となっている5社、および個人情報保護法違反企業に対して勧告・命令・指導権限を有する厚生労働大臣、経済産業大臣、内閣府特命担当大臣(消費者庁)、消費者委員会に対し、「Tポイントサービスに関する要望書」を提出しました。

    (略)

    しかし、そのような´↓のしくみ自体、また、医薬品を購入した場合の情報の扱いについて、会員はその全貌を十分に理解していません

    特に、医薬品情報(医薬品の購入歴)は、患者のプライバシー権保護という観点からも、高度な法的保護を受けることから問題であり、法解釈上、刑法及び個人情報保護法に抵触し得ます。

    具体的には、第1に、ドラッグストアが患者の医薬品情報をCCCに提供する行為( 砲蓮医薬品情報を扱う「薬剤師」や「医薬品販売業者」が業務上知った秘密(患者の医薬品情報等)を漏らしたとして、刑法(134条、秘密漏示罪)に抵触する可能性があります。

    第2に、会員が十分に理解しないまま、会員の個人情報を第三者である加盟店との間で利用する行為(↓)は、個人情報保護法(23条1項)に抵触します。

    そこで、当会議は、CCCおよび医薬品販売業者に対しては、医薬品購入歴情報の抹消および加盟店契約自体の解消等を、各担当大臣に対してはCCCおよび医薬品販売業者たる加盟店がかかる情報抹消と加盟店契約解消等を行うよう勧告・命令・指導するよう、要望書を提出しました。

これが、11月24日の朝のNHKニュースで報じられたのだが、そのときの映像が以下である。ここでもまた、CCCの取締役が、「個人が分からない形で統計的に処理しており」、「統計的に処理させてもらっているだけで」などと、虚偽の説明を繰り返していた。

  • 利用者購入の医薬品データ収集 懸念の声, NHK総合テレビ おはよう日本, 2012年11月24日

    (略)

    医薬品の購入データを収集していたことが分かったのは、「Tポイント」を運営している「カルチュア・コンビニエンス・クラブ」で、加盟している5社のドラッグストアの店舗でデータを収集し、販売促進の目的などに利用していたということです。

    これに対し、医師や薬害被害者などで作る市民団体は今週、「医薬品のデータからは利用者の病気なども明らかになりかねず、厳格な取り扱いが求められる。十分な説明をしないまま利用するのは問題だ」として、中止を求める要望書を運営会社などに送りました。

    これについて、Tポイントを運営するカルチュア・コンビニエンス・クラブの北村和彦取締役は、「規約に基づき、同意を得て情報を提供していただいていると理解しており、データも適切に運用している。個人が分からない形で統計的に処理しており、こうした運用をしていることをしっかり説明していきたい」と話しています。

    (略)

    テレビ画面 テレビ画面 テレビ画面

この、「統計的に処理しているだけ」というのが嘘で、実際は、「ライフスタイル分析」をして本人にクーポンを渡すことをやっているということが、どのように重要かというのは、今まさに検討が進みつつある、以下の「パーソナルデータ」と関係がある。

この報告書は、個人情報保護法の「個人情報」に該当しない(つまり、特定の個人を識別することができるものではない)「個人に関する情報」全般を「パーソナルデータ」と呼び、そのうち、「実質的個人識別性」のあるデータについて、「保護されるパーソナルデータ」と位置付け、何らかの保護の措置をとっていこうという画期的な取組みであり、IT総合戦略本部の「世界最先端IT国家創造宣言」の中でも「年内できるだけ早期に着手する」とされている。

この報告書の目玉となるのが、p.33に書かれている、「本人の同意を得なくても、利活用を行うことが可能と整理できる」とされている米国FTCの3要件なのだが、FTCは、データを再識別化(re-identify)しないと約束し公表することを求めており、ここで言う「識別」は、単に特定の個人を識別という意味だけでなく、特定のコンピュータその他のデバイスを識別することも指している。

つまり、最終的に本人に到達することを予定している利用は、FTCでは「識別する」ことに当たるのであり、Tポイントのように、最終的に本人にクーポンを渡す事業は「識別」に当たる。そのとき、何をもって識別しているかは、Tカードであり、「その他デバイス」に含まれるのではないかと思う。

もっとも、Tポイントの場合、元々、会員情報として住所氏名を取得しているので、現行法の個人情報保護法が適用される状態にあるので、そのこと自体はCCCには関係ない。ただ、CCCは、昨年10月に「株式会社Tポイント・ジャパン」を設立し、Tポイントの運用をCCCから分離した。その意図は不明であるが、もし、会員の住所氏名をCCCだけが持ち、Tポイント・ジャパンはT会員IDに紐付けた履歴だけを持つ構成にして、「T会員IDに紐付けた履歴は個人情報に該当しない」と主張するつもりなのだとしたら、その場合において、今後、それが「保護されるパーソナルデータ」とみなされるかが問題であり、FTCに倣うなら、Tカードで本人に到達している以上、それは「識別」されるデータであり、「匿名化されているから自由に使う」というのは許されないものとなる。

そういう意味で、「統計的に処理しているだけ」というのが嘘で、実際は「ライフスタイル分析」をして本人にクーポンを渡すことをやっているという事実は、重要なのである。

また、このことは、「プロファイリングに基づく措置を受けない権利」(EU個人データ保護規則(案)20条)にも関係するかもしれない。

次に、CCCは、いつ公開したのか不明*1だが、www.ccc.co.jpのサイトに「Tポイントをご利用のお客様へ」というバナーを設け、「よくあるご質問」という説明ページを設けていた。

ここの最後のところに、「お客さまへクーポンをお届けする場合」の説明がある。クーポンについて説明を用意した点は評価できる。しかし、またもや内容に嘘が書かれている。

画面キャプチャ

Tポイントをご利用のお客様へ よくあるご質問, カルチュア・コンビニエンス・クラブ

「お客さま個人を特定しない方法により」などと言っているが、じゃあ、どうやって、クーポンを「お客さま個人」に渡すのかね? 「コーヒーを5回以上購入」は「お客さま個人」ごとに集計されるのだから、「お客さま個人を特定しない」わけがない。*2

いつまでこういう詭弁を日本の行政は許すのか? が、今、問われている。

ここの前のところにも、同様の詐欺説明が書かれている。

画面キャプチャ

Tポイントをご利用のお客様へ よくあるご質問, カルチュア・コンビニエンス・クラブ

「お客さま個人を特定できる情報は含まれていません」などと言っているが、「T会員番号」と共に履歴情報が渡されてくるのだから、当然、CCCは「お客さま個人」を特定している。

そもそも、CCCは会員の住所氏名を持っているのだから、個人情報取扱事業者なのであり、なぜここまでして、「お客さま個人を特定できる情報は含まれていません」などと嘘の説明をする必要があるのか。CCCにとって、「お客さま個人」を特定するためにT会員番号を使用しているのは明らかである。

おそらく、加盟店が個人情報保護法違反とならないことを言いたいのだろう。たしかに、現行の個人情報保護法の下では、情報の提供元にとって個人識別性がなければ、たとえ、提供先で個人識別性のある情報であっても、提供する行為について個人情報保護法は適用にならないというのが、日本では通説となっているのだが、そういう、保護すべきものは何かという理念から逸脱した馬鹿な解釈がまかり通ること自体、個人情報保護法の欠陥であって、改正されるべきものである。

ここは法律上の解釈の話をする場ではなく、「Tポイントをご利用のお客様へ」と、一般の客に向かって説明をする場なのに、現行法の欠陥を突いて「個人を特定できる情報は含まれていません」などと自慢していったい何がしたいのか。

ただ漠然と「個人情報は含まれません」と言っておけば、客は安心するとでも思っているのだろうか。そういうCCCの企業体質は以下の宣伝動画からも見て取れる。

「通るだけでいいんで」と騙す気満々。そして「大丈夫、僕たち間違ってないから」だそうな。これが公式だというのだから推して知るべしである。

Tポイント以外は何をやっていないか

Tポイントが商品名レベルの情報を収集していることについて、「そんなの他でもやっている」と誤解している人が多いようなので、他の共通ポイントサービスと、電子マネー、クレジットカードについて、運営会社に電話取材して確認をした。

電子マネーのひとつとして、Suicaについて、昨年8月、JR東日本の個人情報保護担当窓口に電話して尋ねた。

Suicaでは、駅の券売機で履歴を印刷できるのだが、自販機や売店の利用は「物販」と印字される。この「物販」について、印刷されない何らかの情報(商品名など)を保有しているのではないかと尋ねたところ、商品名はなく、店舗の端末IDのようなものがあるだけとのことだった。それは決済の利用目的でしか使っていないとのことであった。

これは予想通りである。決済という本来目的に必要な情報しか取得していない。

次に、共通ポイントのひとつとして、ローソンとゲオなどが加盟する「Ponta」について、昨年8月21日にPontaの問い合わせ窓口に電話して尋ねた。

Pontaの場合、商品名の記録、保有は、各加盟社で行われているとのことで、つまり、ローソンであればローソン、ゲオならゲオで商品名の販売履歴が管理されているということで、Pontaを運営するロイヤリティマーケティングは、商品名を収集せずに、ポイントの処理をしているとのことだった。

つまり、電子マネーと同じである。これもまた、ポイントサービスという本来目的に必要な情報しか取得していない。

これは大いに意外であった。Tポイントの後発であるPontaは、Tポイントと同じことをやっていると思っていた。何より、Pontaの利用規約に次のように書かれていたものだから、商品名をとっているものと思い込んでいた。

第2条(個人情報の収集、利用、提供・預託)

1.当社及びポイントプログラム参加企業は、本章第3条に定める利用目的のため、例えば、以下のような個人情報につき保護措置を講じた上で適法かつ公正な手段により収集・利用します。

(1) 属性情報 会員が所定の申込書に記載する等により申告した会員の姓名、生年月日、性別、年齢、婚姻の有無、郵便番号、現住所、電話番号、メールアドレス、職業、未成年者の場合、親権者の姓名と親権者等、会員の属性に関する情報(申込後に会員から通知を受ける等により、当社が知り得た変更情報を含みます。以下同じ。)

(2) 契約情報 入会日、入会店舗、会員番号、会員証の状況等の契約内容に関する情報

(3) ポイント情報 ポイントの付与、利用、残高、利用店舗、会員証の利用履歴等のポイントに関する情報

(4) Pontaカスタマーセンター等への問い合わせに関する情報 Pontaカスタマーセンター等への問い合わせの際の音声情報やEメールの情報

(5) 当社のWeb(当社のWebの広告主、広告サービス配信事業者等を含む)及びポイントプログラム参加企業のWebサービスを利用・閲覧した場合の、閲覧したページ、広告の履歴、閲覧時間、閲覧方法、端末の利用環境、クッキー情報、IPアドレス、位置情報、端末の固体識別番号等の情報

(6) モバイル端末による位置情報

Ponta会員規約, 株式会社ロイヤリティ マーケティング

ここの、「利用履歴」というのが商品名のことだと思ってしまったのだが、そうではなく、これは、あくまでも「会員証の利用履歴」であって、会員証を利用した事実(0ポイントのこともあるため)を指すもので時刻を含むものと説明された。

なるほど、言われてみれば、「会員証の利用履歴」と書かれていて、商品名が含まれると思う方がどうかしている。そう、私はすっかり、Tポイント会員規約の「利用の履歴」の表記に毒されていたのだ。

いかに、Tポイントの会員規約の表記が異常で、常識ハズレかということだ。

次に、クレジットカードのひとつとして、三井住友カードに電話して尋ねた。

クレジットカードが商品名を取得していないことは、以前からわかっている。クレジットカードの端末にそういう機能がないことは、関係業務に携わったことのある何人もの人から聞いていた。

しかし、三井住友カードの「お客様の個人情報の取り扱いについて(公表事項)」に、次のように書かれていることが気になっていた。

1.個人情報の利用目的について

(1) 利用目的 クレジットカード事業、キャッシング・ローン等の金銭貸付事業および包括信用購入あっせん事業における与信判断および与信後の管理(※) (なお、下記6もご参照ください)

個人情報
(c)お客様のクレジットカード、キャッシング・ローン等のご利用に関する申込日、契約日、ご利用店名、商品名、契約額、支払回数等のご利用状況および契約内容に関する情報

(2) 利用目的 クレジットカード関連事業における
 ・ポイント付与やカード付帯保険等の付帯サービスの提供
 ・新商品情報のお知らせ、関連するアフターサービス
 ・市場調査、商品開発
 ・宣伝物・印刷物の送付、電話及び電子メール送信等その他の通信手段を用いた営業活動
 ・クレジットカード利用加盟店等その他当社の提携する者等の営業に関する宣伝物・印刷物の送付、電話及び電子メール等その他の通信手段を用いた送信

個人情報
上記(1)(a)から(e)の情報

お客様の個人情報の取り扱いについて(公表事項), 三井住友カード

「商品名」とある。これについて尋ねると、次の理由から書いているとのことであった。

(1)の利用目的では、与信判断のため、実際に商品名を本人や店舗から聞き出すことがあり、それを想定しているとのこと。それは何ら問題ないであろう。

(2)の利用目的にも商品名が含まれている点について、宣伝物の送付が利用目的にあるわけで、実際に、クレジットカードでの買い物履歴に基づいて宣伝物を送ることがあるとのことだったが、商品名を取得しているかというと、店によっては、利用店名が得られた時点で商品名まで判るも同然な場合があるため、念のためこのように書いてあるとのことであった。なるほどである。

ただ、ここは、商品名と書かずに、直接的な事実のまま「利用店名」と書いておくべきではないかと、意見を述べておいた。

このように、尋ねた先は、Tポイント同様にサードパーティ型の情報取得*3の形態をとるところであるが、いずれの場合も、本来の業務に必要な情報だけが取得されていた。

これらは、コンテキストに沿った情報取得であり、仮に利用規約の説明が不十分だとしても、利用者に予見できる範囲の情報しか使用されておらず、ビッグデータに利活用されるとしても問題は(比較として)小さいと言える。

それに対して、Tポイントが商品名を取得するのは、本来業務に必要とは言えない、コンテキストに沿わない情報取得であり、利用者には意外であって、予見が容易でないものであるのだから、利用規約だけでなく、利用者に理解させるだけの十分な説明が必要とされると言うことができる。

*1 archive.orgの記録では、2012年8月27日が初出となっている。

*2 そもそも、ここで「お名前やご住所などお客さま個人を特定しない」などと、個人情報保護法の「個人情報」該当性を否定したところで、何の意味があるのかわからない。何を言いたいのだろうか。嘘くさい説明をして、何もかも信用されなくなるだけなのに。

*3 消費者から見て、商品を買う相手の店が履歴を取得する場合を「ファーストパーティ型」、買う相手の店以外の事業者が、複数の加盟店にまたがって履歴を取得する場合を「サードパーティ型」と呼ぶ。

本日のリンク元 TrackBack(0)

2013年06月29日

多賀城市図書館は個人情報保護条例改正なしにTポイントを導入できるか

5月下旬に、武雄市のCCC図書館店が、宮城県多賀城市に伝染しそうだという報道があった。

  • ツタヤ図書館、宮城にも 多賀城市が新設、運営委託へ, 朝日新聞, 2013年5月25日

    宮城県多賀城市は図書館を新設し、レンタル大手でTSUTAYA(ツタヤ)を展開するカルチュア・コンビニエンス・クラブ(CCC)に運営を委託する方針を決めた。同市は東日本大震災で被災しており、菊地健次郎市長は「人を呼べる拠点をつくりたい」としている。

    (略)多賀城市長は3月、武雄市を視察した。

    市によると、委託の形態や費用などについてCCCと交渉を進めている。CCC関係者によると、被災地への貢献も考慮して前向きに検討しているという。(略)

  • ツタヤに図書館の運営委託検討 宮城・多賀城市、全国2例目, 産経新聞, 2013年5月31日

    東日本大震災で被災した宮城県多賀城市が、新たに整備する市立図書館について、レンタル大手TSUTAYA(ツタヤ)を展開するカルチュア・コンビニエンス・クラブ(CCC)への運営委託を検討していることが、31日までに分かった。(略)

    市は駅前に移転させ、27年夏の開館を目指す方針で、CCCとの連携で利用率や認知度の大幅アップを期待。菊地健次郎市長は「民間の力を得て良質な文化のインフラを整備し、にぎわいのある市街地にしたい。ここ1カ月で結論を出す予定だ」と話している。

多賀城市は、武雄市同様にTポイントを導入するつもりなのだろうか。*1

武雄市の図書館で、Tポイントの扱いがどうなったかというと、ここでもまた相も変わらず、「個人情報は含まれない」などと、まやかしの説明が繰り返されている。

  • シリーズ武雄市TSUTAYA図書館(16) - 武雄市議会 平成25年3月定例会 石丸定議員一般質問, サーバ管理者日誌, 2013年3月13日

    (古賀教育部長) (略)どの程度の情報が行くのかということになりますけれども、4つございます。一つはTカードの番号でございます。それから、使用された年月日と時刻ですね。それから、ポイント数。この4つに限って提供するもので、本人が特定をされないということであり、かつ、本人の同意も得ているということで、 個人情報についてはしっかり守られるとこの様に考えております。

    この教育部長の答弁は、どう考えてもおかしいと思います。

    まず、個人とTカード番号の紐づけ情報。CCCがこの情報を持っていることは、間違いありません*1。そうでなければ、ポイント付与や利用といったサービスを受けることはできません。

    ところが、教育部長は、「Tカードの番号」を渡すにも関わらず、「本人が特定をされない」という答弁をしているのです

    「渡す側にとって個人が特定できなければ、たとえ相手が特定できようと個人情報でない」という強弁はあるかも知れませんが、その説明は「個人情報の流用が心配です」という人に対して、「それは個人情報ではないから安心して下さい」という、論点のずれた説明だと思います。

    (略)

    ところで、図書館利用者番号が分かれば、図書館としては個人が間違いなく特定できますから、 図書館利用者番号に紐づく情報は、図書館にとって間違いなく個人情報です。 (略)

  • 武雄市図書館のTカード番号で「本人が特定されない」のは本当か, dechnostick's blog, 2013年6月13日

    (略)

    図書館は自身の業務を図書館IDで行うはずだから、Tカードの利用者についてはTカード番号を図書館IDへ変換する操作が必要になる。この変換で必要になる表は図書館のみが保持していなければならない。なぜならこれがCCCにあるとすると、CCCが図書館IDとの対応を知っているということになるからだ。

このように、図書館が持っている利用者登録の情報と照合することで、T会員番号から特定の個人を識別できるにもかかわらず、武雄市の教育部長は、議会の答弁で、T会員番号をCCCへ送信することについて「本人が特定をされない」と断言してみせた。

こんなことが言えてしまうのは、武雄市の個人情報保護条例が全国にも珍しい欠陥条例だからで、これについては、既に昨年8月の段階で書いた通りである。結局、武雄市は欠陥条例を直さずに、図書館にTポイントを導入した。

  • やはり欠陥だった武雄市の個人情報保護条例, 2012年8月22日の日記

    5月8日に「「個人情報」定義の弊害、とうとう地方公共団体にまで」で、以下のように書いた。

    対して、地方公共団体ではどうかというと、それぞれの独自の個人情報保護条例に従うことになるわけだが、「個人情報」の定義が自治体によって異なり、大別して3種類存在する*1ことが判明している。

    照合可能型
    「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。」(千代田区の例)
    (行政機関個人情報保護法と同等のもの)(多数派)
    容易照合型
    「生存する個人に関する情報であって、特定の個人が識別され、又は識別され得るもの(他の情報と容易に照合することができ、それにより、特定の個人を識別することができることとなるものを含む。)をいう。」(千葉市の例)
    (民間と同等としたもの)
    照合除外型
    「個人を対象とする情報であって、特定の個人が識別することができるものをいう。(武雄市の例)
    (照合性の括弧書きが欠如している)(少数派)

    武雄市の定義は、照合によって「特定の個人を識別することができることとなる」場合を含むとの括弧書きが欠けているため、民間向けの「個人情報」定義よりもさらに狭く、民間よりもフリーダムなものになっている。この定義を採用している地方公共団体は他にもあるが、全国でもかなりの少数派のようである。

    「個人情報」定義の弊害、とうとう地方公共団体にまで, 2012年5月8日の日記

つまり、武雄市の個人情報保護条例は、行政機関個人情報保護法や個人情報保護法、普通の個人情報保護条例と違って、どういうわけか、「(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」との条文を欠落させてしまっているため、結果的に、教育部長が言うような詭弁が合法になっているのである。

さて、多賀城市は、これの真似をすることができるだろうか。

多賀城市の個人情報保護条例を見てみたところ、以下の条文となっており、行政機関個人情報保護法と同様の「照合可能型」になっている。

  • 多賀城市 個人情報保護条例

    第2条 この条例において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

    (1) 個人情報 個人に関する情報(事業を営む個人の当該事業に関して記録された情報及び法人その他の団体(国、独立行政法人等(独立行政法人等の保有する情報の公開に関する法律(平成13年法律第140号)第2条第1項に規定する独立行政法人等をいう。以下同じ。)、地方公共団体及び地方独立行政法人(地方独立行政法人法(平成15年法律第118号)第2条第1項に規定する地方独立行政法人をいう。以下同じ。)を除く。以下「法人等」という。)に関して記録された情報に含まれる当該法人等の役員に関する情報を除く。)であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

となると、武雄市のような詭弁は使えない。さて、多賀城市は、個人情報保護条例を改正(?)して、武雄市と同じ欠陥条例に変更するのだろうか。それとも?

ちなみに、武雄市では、教育部長が「本人の同意も得ている」と答弁しているが、実態はひどい運用がなされているとの報告がある。

多賀城市でもこういうやり方をするつもりなのだろうか。

なお、武雄市長に言わせると、「この図書館が嫌だったら、もうよその図書館行きゃあいいんですよ。」とのことだ。

*1 多賀城市長は、既にCCCに感化されたようで、6月6日の市の定例記者会見でこんなことを述べている。訂正:こちらは、岩手県陸前高田市の市長であった。

質問)市に伺いたいが、新しい図書館の建設の見込みはどのようになっているか。

教育長)新しい図書館は市民文化会館と博物館との複合施設として考えている。時期については未定である。場所は街の中心地と思っている。

市長)今教育長から報告があったが、まちづくり全体として私のほうからも話させていただきたい。実は先日、佐賀県武雄図書館の運営で最近有名なCCC(カルチュア・コンビニエンス・クラブ)に武雄市長も同席いただき、伺わせていただいた。現在のところ複合施設となっているが、話を聞く中で複合施設ぐらいすべてにおいて中途半端なものはないと言われた。これから図書館のまちづくりにおける役割を再度考えていかなければならない。ただ、子供たちに本を読ませればよいという考えではいけないと感じた。

多賀城市 陸前高田市 平成25年度第1回定例記者会見, 2013年6月6日

本日のリンク元 TrackBacks(3)

2013年06月30日

破綻している日本のデータプライバシー法制

Tポイントの履歴とWebのアドネットワークとの結合

一昨年の7月に設立されたオプトとCCCの合弁会社「株式会社Platform ID」の広告システム「オープンデータプラットフォーム「Xrost」」について書いておかねばならない。

Xrostは、Web向けの行動ターゲティング広告を提供しているが、通常のそれとは異なる手段で、T-SITEと連係している。これは、設立当初の報道から窺い知ることができたし、以下の書籍にも「リアル店舗での購買行動履歴に基づくターゲティング」と書かれている。

  • DSP/RTBオーディエンスターゲティング入門 ビッグデータ時代に実現する「枠」から「人」への広告革命, 横山隆治/菅原健一/楳田良輝, インプレスR&D, 2012年5月25日

    そして、Xrostの最も特徴的なオーディエンスターゲティングは、CCCが運営するT(ポイントカード)会員データベースを広告の配信対象とするものである。

    年齢、性別、居住地域などのグラフィックデータのほかにTSUTAYAでの購買データをマージして活用できる。DVDやCDのレンタルで有名なTSUTAYAであるが、実は書籍雑誌の販売数でも全国で1番の店舗網である。趣向が購買結果に結びつきやすい雑誌や書籍、DVDなどのレンタル・購買データによってターゲティングするという、従来にない手法が活用可能となってきた。現在はTSUTAYAのデータのみを活用しているが、今後はさらに80社以上あるTカードの提携から許諾を得て、それらの購買行動データをマージさせた活用に発展することも期待できる。

    リアル店舗での購買行動履歴に基づくターゲティングは、ネット上だけの行動履歴より大きな可能性がある。また複数業態の行動データをマージすると、人間の頭で連想的に関連づける(たとえば、韓流映画をレンタルしたユーザーに韓国旅行の広告を配信する)ということだけでなく、購買行動と相関のある行動データが発見できる可能性がある。それにより、新たな見込み客との接点の開発、メディア開発、コミュニケーション開発につながる可能性がある。

問題は、これが適法かという点と、利用者に説明されているか(利用者は理解できる状態にあるか)という点である。

Xrostが狙っているところは、いわゆる「O2O (Online to Offline)」のところで、リアルの履歴とネットの履歴をマージして、それぞれで使うというものと考えられる。

Tポイントカードに紐付けられた履歴が、どうやってXrostのWebのアドネットワークに反映されるのか。それは、T-SITEに(T会員番号を登録して)ログインしたときに、Xrostの広告サーバ用のcookie内ID(乱数で生成される行動ターゲティング用のIDを第三者cookieに格納したもの)と、T会員番号が紐付けられるからだ。その後は、CCCの履歴データベースと、XrostのWebの履歴データベースが、直接通信し合って、何らかの形でマージされる。

どこまでのことが行われているのか、各種規約を読んでもさっぱりわからなかったので、電話で問い合わせた。最初に問い合わせたのは、昨年5月のことで、Tカードサポートセンターに以下の点を尋ねた。

質問1
T会員規約の第4条「個人情報について」の第2項「当社が取得する会員の個人情報の項目」の(9)が、以下の条文となっているが、「サイト」とはどこのサイトのことか?

(9)サイトへアクセスしたことを契機に機械的に取得された、お使いのブラウザの種類・バージョン、オペレーションシステム、プラットフォーム等のほか、閲覧履歴、購入の履歴を含むサービスご利用履歴

これの回答は、「当社のグループ内のサイト(T-SITE、TSUTAYA Online、TSUTAYA DISCAS)を指す」との回答であった。

なぜこの質問を真っ先にしたかというと、ほとんどのTポイント利用者は、Webのアクセス履歴までもが、Tポイントに記録されるとは予想だにしないだろうからだ。もしそんなことをやっているのなら、Tポイントツールバーと同様の問題*1があることになる。

例によって例の如く「規約に書いてあるので利用者は同意している」と言われてしまうのか? と、まずその点が気になったので、この質問をした。その回答が、「任意のWebサイト」ではなく、「当社のグループ内のサイト」とのことであったので、もし任意のWebサイトのアクセス履歴をTポイントの履歴にマージしているなら、利用規約にないことをやっていることになる。

Platform ID社が何をやっているかについては、Platform ID社に聞いて欲しいと言われたので、そちらに電話したところ、文書で質問して欲しいと言われ、実は、そこで作業が頓挫していた。

そして、今年4月、Tカードサポートセンターに「Tポイントツールバー」のことについていろいろと質問して追求していた流れで、Xrostについても答えて頂けることになった。1回目の質問を4月20日にしたところ回答が5月18日にあり、さらに質問したところ回答が6月8日に、さらに質問した回答が6月22日にあった。これらの回答でわかったことは以下の通りである。

まず、Platform IDに関する記述は、Tサイトサービス利用規約にあり、第15条で以下のように書かれている。

第15条 行動ターゲティング広告で利用するCookieのポリシー

当社では、本サイト及び他のウェブサイト上でよりニーズにあった広告を利用者の皆様に配信する行動ターゲティング広告を利用者に対し配信するにあたり、株式会社Platform ID(以下「Platform ID社」といいます)が提供する行動ターゲティングサービスを一部使用しております。この行動ターゲティングサービスでは、Cookieを取得することにより、利用者の行動履歴情報を蓄積して利用しております。

さらにTログインIDと紐づけることによってさらに利用者にマッチした価値ある行動ターゲティングサービスを行います。

また、利用者の皆様に安心して行動ターゲティング広告をご利用いただくために、下記Platform ID社のリンク先ページにてポリシーを詳しく規定しておりますのでご覧下さい。なお、Cookieを利用した行動ターゲティング広告の配信を希望されない方は、同ページにて「オプトアウト」(配信停止)の処理を実行することができます。

Platform ID社 Cookieポリシー http://www.xrost.ne.jp/contents/policy/privacy.html

このうち、第1段落の記述は、ごく一般的なWebのアドネットワークの内容が書かれている。第3段落もそうである。問題は第2段落に、「さらにTログインIDと紐づけることによってさらに」と、さらっと書かれているわけだが、これは、手段であって、何が行われるのかは書かれていない。

Tサイトサービス利用規約は、第14条で以下のことが書かれており、

第14条 広告表示におけるCookie無効化:オプトアウトについて

当社では、上記の「Cookie」や「WEBビーコン」を元に、お客様のウェブサイト閲覧履歴を取得させていいただきます。このデータは、当社がサービス改善やお客様に関連ある情報を提供したり、第三者が提供する広告表示技術を用いたサービス(以下「ターゲティング広告」といいます)を利用する目的で使用しています。該当サービスで利用するCookie情報は、その他の目的や、お客様の個人情報の取得には一切使用しません。ウェブサイトの閲覧履歴は匿名そのままに保たれ、個人を特定できる情報は一切取得できない仕組みとなっています。

「ウェブサイト閲覧履歴」とあり「ターゲティング広告」に使うとある。これが、Xrostの件かと質問したところ、そうではないという回答だった。第14条は、T-SITEのWebサイトでの閲覧履歴を自社で使うこと(ごく平凡な話)について書かれたものだとのことだった。

そうすると、結局、CCCとPlatform IDの間でどんな情報のやりとりがあるのかは、規約に書かれていないことになる。そこで、単刀直入に以下の質問をした。

質問2
「TログインIDと紐づけることによって」、Platform ID社に対して、CCCは、T会員の属性情報、例えば、性別、生年月日、郵便番号等の情報を提供することはあるのか。ある場合、規約のどこに書いてあるのか。
質問3
「TログインIDと紐づけることによって」、CCCは、Platform ID社から、何らかの情報の提供を受けているか。ある場合、規約のどこに書いてあるのか。

これに対する回答は以下のものであった。 


回答2
Platform ID社がIDから個人を特定でいないよう、T-IDに紐づくお客様の認識コードを置換した上で、性別、生年月日など個人を特定でいない属性情報や購買情報を、Platform ID社が第三者配信するcookieと紐付けた形でPlatform ID社へ提供している。

なお、ここで言う、T-IDに紐づくお客様の識別コードは、弊社システム上でT-IDを識別するコード体系を表しており、Tカード番号とはまた別のものである。Platform ID社では、当該データを用いてオーディエンスターゲティング広告の精度を上げるために活用している。

具体的には、20代女性にファッションの広告を配信したり、アクション映画を好んでご覧になる方にアクション映画の広告を配信したりといった活用方法をとっている。なお、この場合であっても、Platfotm ID社が当該データを元にした広告商品を自由に販売できるわけではなく、販売先の訴求内容の精査や、当社が定めた審査基準の下、当社が承諾した案件のみ販売が可能となっている。

Platform ID社では、T-IDを識別するためのコードをさらに置換したものとcookieのみで識別し、保有しているため、個人を特定することはできない。当社からPlatform ID社への当該データの提供は、受領者であるPlatform ID社において個人識別性を有することがあり得ないことから、個人情報保護法に言う個人情報の第三者提供には当たらないと解釈している。

第三者提供時において、提供元と提供先のいずれを基準にして個人識別性を判断すべきかについては、現段階では複数の解釈があることは承知しているが、本人の同意なき第三者提供が禁じられている趣旨は、通常、個人データと他のデータとの結合、照合等が容易であり、本人の予想外の個人データが流出することによる、本人の予想を超えた権利の侵害の可能性を避けるものと理解している。この趣旨を鑑みれば、提供先において個人識別性を取得する可能性がなければ、その趣旨に反しないと解釈しているし、現にその旨を明記する岡村久道弁護士等の学説などもある*2。当社において、提供に先立ち、あえてT-IDを置換したコードを作成しているのは、提携先において個人識別性が獲得されることがないのを確実とするためのものである。

Tサイトサービス利用規約第15条で、「TログインIDと紐づけることによってさらに利用者にマッチした価値ある行動ターゲティングサービスを行います」と記載があるのは、以上の事象が表現されている。

回答3
広告主様からの依頼により、ターゲティングされたオーディエンスに対し、当社からダイレクトメールや電子メールを配信するといったサービスを販売する用途で活用するために、受取をすることはある。

Platform ID社では、オーディエンスターゲティング広告を販売するために、cookie情報を各種オーディエンス像にカテゴライズしている。当社では、広告主様からの発注があった場合のみ、Platform ID社より対象として該当する置換データを受領し、これに基づき当社が対象T会員様にダイレクトメールや電子メールを配信するサービスを提供している。このデータの流れは、広告主様からの発注時にのみ発生し、当社が受け取ったデータは、ダイレクトメールや電子メールが配信された後に削除しており、当社会員データベースへ保存や二次活用が行われないよう制御されている。

このことは、Platform ID社の「Cookieポリシーについて」第5条に書かれている。

ここまで詳しく答えてもらえるとは正直意外*3であった。性別や生年月日だけでなく、「購買情報」も渡しているということが明らかになった。

こういうことは、サポートセンターに尋ねなくても、規約でわかるようになっているべきだ。どこに書いてあるのかと質問したところ、その回答は、Tサイトサービス利用規約第15条の「さらにTログインIDと紐づけることによってさらに利用者にマッチした価値ある行動ターゲティングサービスを行います。」との文が、その記述であるとのことだった。

それは詭弁だろう。それは、何のためにという目的であって、何をするか、何を提供するかは書いていないのだから、誰にもわからない。

次に、回答2の方だが、この回答だと若干曖昧で、Platform ID社からCCCへ提供される「該当する置換データ」というのが何なのかわからない。これを確認したところ、その意味するところは、広告主からの発注でターゲティングした該当会員の抽出はPlatform ID側で行い、該当会員のコード(T-IDを置換したコード)のみを受領する(Web閲覧履歴は受領していない)ということだった。

それで、そのような受領が行われている事実はどこに書いてあるのかと尋ねたところ、「広告主のサイトでの記載を徹底しており、オプトアウトも可能となっている」という回答だった。しかし、そのようなサイトがどこにあるのかは不明だ。

加えて、CCCにおいてはT会員規約4条2項(9)での記載「(9)サイトへアクセスしたことを契機に機械的に取得された(略)のほか、閲覧履歴、購入の履歴を含むサービスご利用履歴」が、広告主から発注があったときにPlatform IDからCCCが取得することを明記していることに該当するという。

おいおい、その「サイト」って、1年前は「当社のグループ内のサイト」を指すという回答だったよね? とツッコミを入れたところ、既に回答が用意されていて、次の回答が読み上げられた。

「昨年5月に質問頂いたときは、「サイト」は当社のグループ内のサイト(T-SITE、TSUTAYA Online、TSUTAYA DISCAS)を指すもので、その時点ではその回答で間違いないものであったが今年1月より、Platform IDより受領したデータに基づき当社がT会員にダイレクトメールや電子メールを配信するサービスの提供を開始したため、現在は、T会員規約第4条第2項(9)のいう「サイト」とは、本件についてPlatform ID社より弊社への情報提供が行われる件を含めて明記している。昨年5月から、規約の意図するところが変更になっている。」

おいおい。これには苦笑しながら、「規約の意図するところが変更って、文章はかわってないじゃないじゃないですか。誰がわかるんですか、ということですよ。」と電話口で言ったところ、サポートセンターの担当者も、若干ウケながら「意見として伝えさせて頂く」とのことだった。

こんな記述で「規約に明記している」と主張するのははっきり言って詭弁であるが、実際のところ、これらは個人情報保護法の言う「個人情報」の提供、取得に当たらないため、書かなくていいという腹づもりではないかと考えられる。

そこで、次の質問もした。

質問4
「Platform ID社へ、T-IDに紐づく会員の識別コードを置換した上で性別、生年月日等の個人を特定できない属性情報や購買情報を提供する」と、個人を識別できないというが、Plartform ID社がそれを元に何らかの広告を実際にその会員個人の端末画面に出しているわけであるから、個人が特定されているのではないか。米国では消費者プライバシー権利章典で、特定の消費者やコンピュータその他のデバイスにリンクできるものを個人情報として扱っているのは、そのように端末画面に出ることを予定しているものだ。

これに対する回答はこうだった。

回答4
当社からPlatform ID社へ提供される当該情報は、受領者であるPlatform ID社において、個人識別性を有することがあり得ないことから、Platform ID社にとっては、日本における現時点で個人情報保護法にいう個人情報に当たらず、第三者提供に当たらないと解釈している。

まあ、想定通りの回答だ。

結局、日本のデータプライバシー法制は、米国から何年も遅れてしまっているのだ。米国では、こういうデータは、消費者プライバシー権利章典に基づくフレームワークのスコープ内とされるため、実際のところ何をやっているのか明らかにすること(透明性の確保)が求められる。しかし、日本では、このように「個人識別性がない」「個人情報に当たらない」として、利用規約にすら何ら説明しないでまま済ますことができてしまっている。

今回の取材で、XrostとTポイントの間で行われていることは、それなりに配慮されていて、重大な問題があると言われるようなこと(Xrost側で集められた任意サイトのWebサイト閲覧履歴の生データをCCCが取得して利用する等)は行われていないとわかった。

しかし、いつそれが始まってもおかしくない。なにしろ、CCCは、後になって「規約の意図するところが変更になっている」と言い出す会社なのだから。

こういうことを続けていると、こういう広告事業全体に対して人々の信頼を損ねることになる。日本の個人情報保護法はこういう状況を規律するのに全く追いつけておらず、かえって産業振興を阻害してると言えるだろう。

Tポイントツールバーにおける潜脱行為

(執筆中)(お蔵入り)

*1 Tポイントツールバーの場合は、全てのWebサイトの履歴を吸い出されるのに対し、Xrostの場合は、アドネットワークを張り巡らせたサイトの履歴のみなので、問題の大きさはツールバーよりはやや小さい。しかし、住所氏名に紐付けられたTポイントの履歴に、Webの履歴が記録されることの問題は、ツールバーと共通する。

*2 具体的にどこのことかと尋ねたところ、岡村久道「個人情報保護法新訂版」(2009年、商事法務)p.76 第4段落15行目以下に記載の部分のことだとの回答だった。

*3 昨年5月の時点でいろいろ聞いたときは、あまり詳しく教えてもらえない様子があり、企業秘密なので開示していないといった回答になるときもあった。

本日のリンク元 TrackBack(0)

最新 追記

最近のタイトル

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|
最新 追記