高木浩光＠自宅の日記(2016-04)

2016年04月06日

■ 行政機関法では再識別禁止がないから個人情報に当たるですって？（パーソナルデータ保護法制の行方その22）

これまで静かに憂慮されてきた論点が、昨日の衆議院総務委員会での答弁で、曲解された形で披露されるに至り、もはや座視できない危険水域に達していることが明らかとなった。

昨年の個人情報保護法改正で誕生した「匿名加工情報」は、その定義の解釈を巡って、今もこの分野の研究者の間で憂慮され続けている論点が残っている。それは、匿名加工情報が個人情報に該当しないとされる理由に、「法律によって再識別行為が禁止されていることにより、他の情報と容易に照合できないこととなり、個人情報に該当しなくなる。」とする理屈が、政府見解の一部として出てくることの問題である。この理屈がどう不味いのか、昨年の情報ネットワーク法学会での発表*1に続き、今年2月19日に、情報処理学会EIP研究会での発表があった。

藤村明子, 間形文彦, 亀石久美子, 板倉陽一郎, 匿名加工情報及び個人情報における容易照合性概念の整合性に関する考察, 情報処理学会研究報告, Vol.2016-EIP-71, No.3, 2016年2月

この論文（研究会報告）は、「容易照合性包含説」と「容易照合性非勘案説」に分けた上で、前者を、「政府説1（法的禁止説）」と「政府説2（立案担当者説）」に分けて比較し、政府説2の方がベターだが、政府説2でも問題が残ると指摘している。

論点は、匿名加工情報の定義にある「特定の個人を識別することができないように」の解釈について、他の情報と照合することによる識別の可否を含むのか否かについて、まずは含む（「容易照合性包含説」*2）とした上で、政府説1が、「安全管理措置義務（法36条2項）と識別行為禁止義務（法36条5項）という法的義務規定が法文上存在していることをもって照合することができないと結論付け、容易照合性の問題は生じないという主張をしている」とし、これには次の問題があると指摘する。

仮に、政府説1に沿って容易照合性を解するとなると、禁止義務が法文上存在さえしていれば容易照合性の問題が生じず、特定個人の識別性も排除できることになる。そうすると、データに何らの加工を施す必要がなくなるから匿名加工情報の作成に関する条文すら不要となってしまい、匿名加工情報の措置（法2条9項1号）や加工基準（法36条1項）といった規定が存在していることと相反する。

また、突合の問題に配慮されていない状態の匿名加工情報の流通を許せば、禁止義務の存在を知りながら識別行為を試みる不正も起こり得るという実務的な懸念もある。

ゆえに、容易照合性を論じるにあたっては、法的義務が存在していることと、対象となるデータが性質上突合できる状態にあること、という両者はそれぞれ分けて検討すべきであろう[5]。

政府説1に関する記述については、引用資料における扱いが本文ではなく欄外のコラムに過ぎない点、改正案への具体的批判などが展開される前に初期の国会で発言されたものに過ぎない点を考慮すると、立案担当者らの本来の意図はむしろ政府説2にあるといえそうである。

藤村明子, 間形文彦, 亀石久美子, 板倉陽一郎, 匿名加工情報及び個人情報における容易照合性概念の整合性に関する考察, 情報処理学会研究報告, Vol.2016-EIP-71, No.3, 2016年2月

ここに問題があることは、私も、2015年3月の情報法制研究会第1回シンポジウムと、6月の第2回シンポジウムで提起しており、要するに、「「してはならない」との規定によって「できるもの」該当性が否定されるというのは、法技術論的にありえない。」ということを指摘していた（資料p.12）。前掲の藤村らの論文では、「法的義務が存在していることと、対象となるデータが性質上突合できる状態にあること、という両者はそれぞれ分けて検討すべき」と指摘している。

この論点は、これまでに、「匿名加工情報は何でないか・中編（保護法改正はどうなったその3）」で少し触れつつ、以下の通り予告していたように、「匿名加工情報は何でないか・後編」で結論的な提言を書くつもりだった。

これをどう理解するか。「匿名加工情報にすれば（容易照合性が否定されて）個人情報でなくなる」という意味なのか。そうだとすると、「個人情報である限りは匿名加工情報になり得ない」というわけではなく、加工したものが元データとの照合により依然として個人情報に当たるものであっても、匿名加工情報に該当することにしてしまえば、再識別が法的に禁止される（改正後36条5項）ことから、容易照合性が消滅して、個人情報に当たらないことになる……と、そういう意味なのか。

当時、何人もの有識者（私が知る限り少なくとも5人）がそんな解釈はあり得ないと反発した。これまでの個人情報定義にあった「照合することができ」というのは、データの性質あるいは状態を言う要件であるはずなのに、法律で禁止されることがその該当・非該当に影響を及ぼすというのは、法解釈論上あり得ないという反発だった。

一方で、そのような解釈を導入せざるを得ない事情も理解できる面がある。この論点をどう整理すれば決着するかは、そう簡単なことではない。私には理屈の見通しがあるが、それについては本シリーズの「後編」で書くつもりだ。

匿名加工情報は何でないか・中編（保護法改正はどうなったその3）, 2016年1月31日の日記

ところが、ここに来て、この論点が新たな局面を迎えることとなった。今国会に提出された行政機関個人情報保護法の改正案について、昨日、衆議院総務委員会で質問があり、答弁に立った行政管理局が、この論点に関わる明らかに間違った答弁をしたのである。

衆議院総務委員会、2016年4月5日（衆議院インターネット審議中継 2:01:59より）

（総務省行政管理局長の答弁より要約）

「非識別加工情報」は、元の個人情報から氏名、住所を削除する、あるいはデータを入れ替えして作成するものであるが、元になったデータは、「非識別加工情報」を作った後においても、行政機関において保有されることになっている。また、「非識別加工情報」は行政機関においては、照合を行う必要がある場合もあり得る。したがって、他の情報と「非識別加工情報」と照合を禁止するという規定は置いていない。そうすると、これは理論上、行政機関の内部においては、「非識別加工情報」はこの作成の元となったデータと照合することは可能であるので、個人情報に該当することになる。

他方、個人情報保護法における「匿名加工情報」は、個人情報に該当しないということになっており、この2者を区別する必要がある。そのために別の名称「非識別加工情報」という名称を付しているというわけである。

他に混乱が生じないかとのことだが、他方、行政機関から外に出て行った場合は、民間事業者に提供された場合は、受け取る側の民間事業者にとっては、個人情報保護法が一律に適用になることになる。したがって、この情報は民間事業者が受け取った段階で「匿名加工情報」となる。したがって、個人情報保護法の規定に沿い照合禁止の義務もかかるので、他のデータと照合することはできない。民間事業者にとっては、法運用は統一されているので、混乱は生じない仕組みとなっておると考えている。

これは、3月6日の日記の脚注5で書いていた悪い予感（前回の日記の「残る瑣末な論点」の2つ目参照）が的中してしまったものだ。

つまり、行政機関等パーソナルデータ研究会の最終報告書で書かれていた、行政機関法では匿名加工情報が個人情報に当たるとする理由の、「加工に用いた個人情報自体などとの照合により特定の個人を識別することができることから」という部分*3が、てっきり、個人情報定義の「容易に」の有無の違いからくる意味で言っているものと思いきや（前回の日記参照）、そうではなく、「他の情報と照合を禁止する規定を置いていないから」との理由であることが、この国会答弁で初めて明るみになった。

これが「明らかに間違った答弁」であることを、書いておかねばならない。

この答弁は、論理が一部省略されているので解りにくいかもしれないが、「他方、個人情報保護法における「匿名加工情報」は、個人情報に該当しないということになっており」というのが、要するに、「個人情報保護法には再識別禁止の規定があるから、匿名加工情報が個人情報でなくなるのだ。」という前提を置いているということだろう。それに対して行政機関法には「照合を禁止するという規定は置いていない」ことから、その違いによって、行政機関法では匿名加工情報が個人情報になってしまうと言っている。

この論理展開自体もおかしいが、それはともかくとして、「個人情報保護法には再識別禁止の規定があるから、匿名加工情報が個人情報でなくなるのだ。」という前提には、前掲の通り研究者からの批判がある。

研究者からの批判は、再識別禁止の法的義務とデータが性質上突合できる状態にあることは別だというものだが、ここでは百歩譲って、「法律によって再識別行為が禁止されていることにより、他の情報と容易に照合できないこととなり、個人情報に該当しなくなる。」という理屈を、正しいものと仮定しよう。

「後編」で書くつもりだったが、この理屈が必要とされるのは、匿名加工情報の提供を受けた匿名加工情報取扱事業者において、受け取った匿名加工情報が、もし、元々保有している自社内の様々な個人情報と容易に照合することによって個人情報となってしまうなら、この制度の意味がなくなってしまうことに端を発する。ここに何らかの手当てをしなければならないのは確かであろう。個人情報保護法38条の「識別行為の禁止」規定が置かれたことによって、そこを気にしなくてよいとするのが、政府見解の本来の趣旨であったはずだ。

ところが、これが、匿名加工情報を作成した個人情報取扱事業者が、自社内で目的外利用するために、この制度を使おうという話が途中から出てきて*4、話がおかしくなり始めた。昨年3月の国会答弁で初めて表に出てきたこの解釈は、以下のものであった。

○高井分科員　（略）今度は、容易照合性という問題について、ちょっと専門的な話ばかりで大変恐縮なんですが。

今、現行法では、それ単体で個人情報とは言えないデータでも、他の情報と容易に照合することができて、それによって特定の個人を識別することができるものは個人情報に含まれるんだと。つまり、容易に照合できてしまえば個人情報になってしまう。

それは、例えば、個人情報のデータベースと、それから匿名加工した情報のデータベース、二つ分けて置いているんですけれども、実際に一人の人間がこれにアクセスするということは、企業であればあると思うんですね。やはり、もともと同じデータベースから端を発しているものですから、これが、一人の人でもアクセスしたら、それは容易に照合できることになるから、これは全て個人情報にみなされてしまうと、では、それを分けるために会社は担当者を二人置かなきゃいけないとか、非常に煩雑なことになると思うんですが、このあたりはいかがでしょうか。

○向井政府参考人　お答えいたします。

匿名加工情報は、先ほども申しましたが、特定の個人を識別することができず、復元することができないように加工する。一方、さらに、当該事業者も含めて、他の情報と照合して再特定化することを禁止しているというところでございます。

したがいまして、匿名加工情報は、そもそも、作成に用いた個人情報と照合することが禁止されておりますので、容易照合性は認められないと私どもは解釈しております。

したがいまして、この匿名加工情報におきましては、容易照合性の問題は生じず、個人情報には当たらないというふうに考えてございます。

第189回国会会議録平成27年3月10日衆議院予算委員会第一分科会第1号

質問者の高井分科員は、質問の趣旨を明確にしていない*5が、今から思うと、これは、個人情報取扱事業者が、自社内で目的外利用をするために匿名加工情報の制度を使うときに問題となることについて質問したもの*6だったのだろう。答弁に立った向井審議官は、その前提で答えており、「作成に用いた個人情報と照合することが禁止されておりますので、容易照合性は認められない」としていた。

この解釈が、昨日の行政管理局の答弁の前提に使われているのだろう。

だが、条文をよく見てほしい。匿名加工情報を作成した個人情報取扱事業者自身による「識別行為の禁止」（36条5項）は、以下の規定となっている。

（匿名加工情報の作成等）
第36条
5 個人情報取扱事業者は、匿名加工情報を作成して自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合してはならない。

そう、答弁では「作成に用いた個人情報と照合することが禁止されておりますので」と口にされていたが、条文では、「自ら当該匿名加工情報を取り扱うに当たっては」*7と、場面の限定付きなのである。*8

つまり、それ以外の場面では、自社内での元データとの照合は禁止されていないのであり、例えば、匿名加工情報を第三者に提供するときは、提供元において元データとの照合は禁止されないまま提供されるのである。（実質論としても、第三者提供時に元データとの照合を禁止しようが、しまいが、本人の権利利益への影響に違いはない。提供されるデータは同一なのだから。）

このことと、匿名加工情報を本人同意なく第三者に提供できる（特別の許可規定がないにもかかわらず*9）のが、提供される匿名加工情報が提供元において（提供元基準）個人情報に該当しないからとされていること、この2点を合わせて導かれる帰結は、匿名加工情報は常に提供元において加工の元データと照合しようとしても照合できないレベルに丸め加工がされる（匿名加工情報の加工基準がそのように規定される）ことが前提となっているということだ。

そうすると、昨日の行政管理局の国会答弁が前提としている、「個人情報保護法には再識別禁止の規定があるから、匿名加工情報が個人情報でなくなるのだ。」という見解は、単純に間違いだということがわかる。再識別禁止の義務が提供元にかかるのは、自ら利用する場合だけであり、それとは関係なく、匿名加工情報は個人情報でないのである。

行政管理局は、「行政機関法では作成した匿名加工情報の他の情報との照合を禁止する規定を置いていないから」云々と言っているが、民間部門においても（匿名加工情報の提供に際して）そのような規定はないのである。

去年の向井答弁「匿名加工情報は作成に用いた個人情報と照合することが禁止されておりますので」が、前提を省略して話したものであったにもかかわらず、その文脈に気づかない人たちによってこれを拡大解釈され、その結果、行政機関法の改正において、法案の立案に重大な狂いが生じてしまったということのようだ。

そもそも、行政機関法が、作成した匿名加工情報を他の情報と照合することを禁止する規定を置いていないのは、行政機関法では、去年の民間部門のときのように、自社内（自機関内）で目的外利用するために匿名加工情報の制度を用いる気など端からなかったからだろう。

昨日の答弁で、行政管理局が「「非識別加工情報」は行政機関においては、照合を行う必要がある場合もあり得る。したがって、他の情報と「非識別加工情報」と照合を禁止するという規定は置いていない。」と述べたのは、後付けで辻褄合わせのために作り出した虚偽の理由だろう。いったい、どういうときに、匿名加工情報を元データと照合する必要があるのか。そして、それがなぜ民間部門では必要とされず、行政機関だけで必要だというのだろうか。

昨日の答弁では、こんな発言もあった。

衆議院総務委員会、2016年4月5日（衆議院インターネット審議中継 2:10:28より）

恐縮でございますが、ちょっと個人情報保護法の解釈はちょっと私はよく存じ上げておりませんけども、

これには椅子から転げ落ちた。個人情報保護法の解釈をよく知らないと言って憚らない人たちが、行政機関個人情報保護法を改正するというのだ。

思えば、これまでに、行政機関パーソナルデータについて、2年弱にわたってウォッチしてきたが、行政管理局の言うことは徹頭徹尾出鱈目だった。なぜ外部の話を聞こうともせず事を進めるのだろうか。日本の法律がこんなにも杜撰な形で作られていくとは、嘆かわしくて涙が出る。

行政機関法にはグレーゾーンがないですって？, 2014年11月12日の日記
行政機関法では匿名加工情報が個人情報に当たるですって？, 2016年3月6日の日記
行政機関匿名加工情報取扱事業者に再識別禁止の義務はかかるのか, 2016年3月27日の日記
行政機関法では再識別禁止がないから個人情報に当たるですって？, 2016年4月6日の日記

*1 藤村明子, 間形文彦, 匿名加工情報における「特定の個人を識別することができない」容易照合性について, 情報ネットワーク法学会第15回研究大会予稿集, 2015年11月

*2 「改正法2条9項柱書の文言中に改正法2条1項1号の括弧書きに相当する記述がないのは、単に文言が省略されているに過ぎず、改正法2条9項1号の匿名加工情報が「特定の個人を識別することができない」かどうかを判断する場合においても当然に容易照合性を考慮に入れることが相当であるという見解」（p.2）とされている。

*3 以下の強調部分のこと。

なお、行政機関等が作成する匿名加工情報は、特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものであるが、加工に用いた個人情報自体などとの照合により特定の個人を識別することができることから、行政機関個人情報保護法・独法等個人情報保護法の個人情報に当たるものであると考えられる。

行政機関等が保有するパーソナルデータに関する研究会, 行政機関個人情報保護法・独法等個人情報保護法の改正に向けた考え方, 2016年3月7日, 13頁

*4 日経IT Pro, 「個人情報保護法改正案、「匿名加工情報」は社内利用にも適用」（2015年3月27日）参照。

*5 最初に読んだときは、Q14問題の一般論についての質問かと思い、匿名加工情報の自社内目的外利用の話だとは思わなかった。改めてよく見ると、「匿名加工した情報のデータベース」とあり、匿名加工情報に関する質問であることは示されていた。

*6 おそらく、匿名加工情報の自社内目的外利用を法案に入れ込んだ事業者の人たちからの要望による質問ではないか。

*7 「自ら当該匿名加工情報を取り扱う」の意義については、立案担当者らによる公式的な解説書（瓜生和久編著, 一問一答平成27年改正個人情報保護法, 商事法務, 2015年12月）において、Q27とQ29で次のように書かれているように、「自らこれを取り扱う」とは、「自社内で利用すること」を指している。Q29の回答にある「自らが当該匿名加工情報を取り扱う場合であっても」との文から、これが第三者提供を含まない意味であることは明らかであろう。

Q27 匿名加工情報は、どのような利用が想定されていますか。また、作成した匿名加工情報は、自社内で利用することはできますか。

A （略）また、匿名加工情報が基本的に個人の権利利益を侵害することがないという性質を有するものであることから、匿名加工情報を作成した個人情報取扱事業者（以下、「事業者」といいます。）が、自らこれを取り扱うことも認めています^（注1）。これにより、事業者は、その取得した個人情報を匿名加工情報に加工し、第36条に規定する一定の規律^（注2）に則りつつ、個人情報に比べて緩やかな規律の下で自社内でも利用することができます。

瓜生和久編著, 一問一答平成27年改正個人情報保護法, 商事法務, p.47

Q29 匿名加工情報を作成の元となった個人情報に戻すことは認められていますか。

A （略）また、この匿名加工情報は、これを作成した個人情報取扱事業者が自ら利活用することを制限していません（Q27参照）。そこで、匿名加工情報を作成した個人情報取扱事業者自らが当該匿名加工情報を取り扱う場合であっても、匿名加工情報の作成の元となった個人情報の本人を識別するために他の情報と照合することを禁止することとしました^（注）。

瓜生和久編著, 一問一答平成27年改正個人情報保護法, 商事法務, p.47

*8 質問もその場面についての問いだったのだから、答弁ではこの限定を省略して答えたものとみるべきだろう。

*9 2015年12月6日の日記「匿名加工情報は何でないか・前編」の「匿名加工情報は「個人データであっても第三者提供を許す」の形ではなかった」参照。

本日のリンク元 TrackBack(0)

2016年04月23日

■ 「食べログ」アプリの「ブックマーク」デフォルト公開で利用者の意図に反して特定個人識別される危険

「食べログ」は著名なサービスであるが、その利用者の多くは店を探す目的のみに使い、レビュー（「口コミ投稿」）を書く気は全くないという人がかなりの割合で存在すると推察される。私もその一人で、出先でGPSを使って近くの店を探すため、もっぱらスマホアプリ版の「食べログ」を使ってきた。

一昨年の2月まで、オレンジ色のアイコンだった旧版の「食べログ」アプリは、「ブックマーク」機能があり、これは、スマホにローカルに記憶しておくものであったため、ログインが不要であり、私も、ログインせずに、このローカルブックマーク機能を活用していた。このような利用者は、完全に匿名であり、閲覧するだけの利用であって、一切の情報の公開に関与していないという意識で「食べログ」を使っていただろう。

図1: 旧バージョンの「食べログ」スマホアプリ

これが、一昨年、白アイコンの新版「食べログ」アプリが登場し、旧版は使えなくなるから「ブックマーク」を「データ移行」手続きせよと強制する画面が出るようになった。当時の不評の様子がITmediaニュースにある。

「食べログ」iPhoneアプリのレビューが炎上　リニューアルで使い勝手激変, ITmediaニュース, 2014年2月17日

新アプリでは、ログイン不要で気になる店を記録しておける「ブックマーク」機能を削除。行きたい店・行った店を記録できる「行った、行きたい」機能を使うにはログインが必須になった。以前のアプリをログインなしで利用していたユーザーは過去の記録を引き継げず、レビューに不満をぶつけている。

このとき私は、「ああ、ログインユーザを増やしたいんだな。ブックマークを吸い上げてビッグデータの肥やしにしたいんだな。」と思い、「意地でもログインしてやるもんか」と、旧版のブックマークを放置して、新版アプリの「行った、行きたい」を使わず、ログインせずに使っていた。

しかし、ブックマークできない不便さに痺れを切らし、1年後の去年2月、ついに、ログインすることを決意し、アカウントを作成することにした。このとき、旧版のブックマーク移行機能はもう使えなくなっていた（エラーが出る）ので、「データ移行」の手続きは行わなかった。

アカウントの作成は、ID連携による他サービスからのログインができるとなっていたので、取り急ぎ、Facebookアカウント経由でログインした。図2は、その手順を、後になって再現したもの（2016年3月27日時点）である。

図2: ID連携でFacebookアカウントで食べログアカウントを作成する様子

これらの一連の画面の通り、「行った・行きたい」を利用しようとしている人に対して、それが公開状態になる旨の説明は一切ない。最初のログインを促す画面には、「ログインすると、「行ったお店」「行きたいお店」を食べログ上で管理できるようになります。「行った・行きたい」に登録したお店は、あとからエリアやキーワードで簡単に検索できます。」と説明されている。旧版アプリを使っていた利用者にとっては、旧版同様、自分だけのための機能としか見えない。

最後の画面で、「……のレストランガイド」という画面が出るが、「レストランガイド」というデフォルトの名称に若干の違和感を持つものの、「行った」「行きたい」は、旧版の「ブックマーク」と同様の機能だろうと思った。

そう信じて、私は、旧版に登録していた店を含め、どんどん「行った・行きたい」に店を登録していった。「行った」店も登録しておくのは、休業日・営業時間を確認するために便利だったからだ。

このリニューアルのときのカカクコムのプレスリリースを今になって確認してみても、「自分だけのお店リストを作成できます。」とあって、当然に非公開の機能と思わせる発表になっている。

『食べログ』、iPhoneアプリをフルリニューアル、操作性が大幅向上１タップで「現在地周辺のお店探し」が可能に！お気に入りや、気になるお店をまとめて自分だけのお店リストも作れます, 株式会社カカクコム, 2014年2月13日

② お気に入りのお店、行きたいお店をリスト化して検索できる
お気に入りのお店や行きたいお店を「行った・行きたい」に分けて登録して自分だけのお店リストを作成できます。登録したお店は、アプリのトップページからすぐに検索可能です。なお、PCサイトやスマートフォンサイトからも登録可能で、どこからでも同じ情報が閲覧・検索できます。

ところがある日、「行った・行きたい」に登録しようとしたとき、「非公開にする」というチェックボックスがあることに激しい違和感を覚えた。どういう意味なんだろうか？と。

図3: 「行った」の登録画面に「非公開にする」というチェックボックスがある様子（2016年3月27日時点）

この「非公開にする」というチェックボックスは、見えにくい場所にあるうえに、初めからチェックされているようにも見えるデザインであるため、「既に非公開という意味かな？」という誤解も与える。（実際には、チェックすると緑色になるもので、図3の画面の灰色のチェックボックスは、チェックされていない状態にある。）

しかも、この画面のUIは、この1年の間に何度か変更されている。画面キャプチャをとっていなかったのが悔やまれるが、1年ちょっと前、私がログインして使い始めたころには、「非公開にする」はなかったような気がするがどうだろうか。

今から数ヶ月前の時点では、「行った」の登録画面は、図3とは異なり、昼と夜を区別せずにスコアをつける方式（旧版の「ブックマーク」と同様の）だった。これが、最近になって、図3の画面のように、「口コミ投稿」と同じ、夜と昼に分けてスコアを付ける方式に変わった。このあたりで、「ああ、公開レビューと統合されたんだな。」とようやく気付いた。つまり、「行った・行きたい」のブックマーク機能が、いつの間にか、「行った」については、コメントなしの公開レビューと同等のものになっていたわけだ。

Twitterを検索して探してみたところ、ちょうどこのころに、少ないものの以下の声があった。

食べログの行きたい店リスト、デフォルトで公開設定になっているのか・・・こっそり非公開にしとこう、と思いながら知人のtwitterアカウント名のレビュアーがいないか調べてざっくり調べてみたけれど、めぼしい結果なし。
— だーい(*Д*) (@daaaaaai) 2015年5月3日
@daaaaaai 僕は、食べログは個人のメモ的な感じで使っていて、友達同士の繋がりは重視していないので、そのデフォルト設定はちょっとびっくりですね…
— mollifier (忍者) (@mollifier) 2015年5月3日
なんか食べログが改悪されてる……食べログの「行った/行かない」機能と「秘密メモ」機能が便利で、飲食店のブックマークとして使用していたんだけど、「行った」と「口コミ」が統合されたことで、「行った店の秘密メモ」は「非公開の口コミ」として保存しなきゃ行けなくなった。面倒……
— ベホイミさん@艦食娘完結！ (@BehoimiP) 2015年8月26日
え、待ってこれ。

食べログ、過去の秘密メモが勝手に「公開」に仕様変更されてない？？？
— Daisuke Nakazawa (@diceken) 2016年3月6日

こうした仕様変更の案内は一切目にすることはなかった。スマホアプリ版の「食べログ」を使っていると、そうした告知が目に入ってくることはない。

ここでようやく、「◯◯のレストランガイド」でググってみた。「食べログ」にログインしていないWebブラウザでだ。すると、私の「◯◯のレストランガイド」が出てきて、「行った・行きたい」がすべて公開状態になっていた。

幸い、「◯◯」は、私が「食べログ」アカウント作成時に付けたIDで、直ちに他人に知られるものではなかったので、私の秘め事が世間にもろバレ！と直ちに慌てふためくことではなかった。

しかし、いずれはバレる可能性があるので、全部非公開にしようと試みたところ、これがどうもよくわからない挙動だった。「非公開にする」にチェックを入れたのに公開状態のままだった記憶があるが、画面キャプチャをとっていないので定かでない。

設定画面で、丸ごと非公開にできないものかと、設定画面を見に行くと、図4のように、どこにもそういう機能はなかった。「公開設定」というメニューがあるが、これは、「フォロー中・フォロワー一覧」を非公開にするものでしかない。

図4: 設定画面に全体非公開の機能が存在しなかった様子（2016年3月27日時点）

「おいおいこれはヤバいぞ」と、すわブログネタかと色めき立ったが、自分のアカウントを非公開にできていないうちは書けないし、忙しくてそれどころではないしと、しばらく放置していた。

そこに転機が訪れたのは、今年3月27日のことだった。たまたま、Webの「食べログ」画面を訪れたとき、ログインしてみようという気になったので、ログインしたところ、図5の画面に、何やらお知らせが出ていることに気付いた。

図5: 「Facebook設定のご確認のお願い」との告知が出ている様子（2016年3月27日時点）

「Facebook設定のご確認のお願い」……とな？「ご確認のお願い」という時点で悪い予感しかしない。

これをクリックしたところ、以下の説明が出ていた。

図6: 「Facebook設定のご確認のお願い」の中身と、その設定画面の様子（2016年3月27日時点）

これはアカン。デフォルトが有効やないか。なーにが「この機能をご利用になりたい場合、以下で設定してください」だ。しかも、「Facebookでログインしていない方は、ご利用いただけません」ということは、私のように、Facebookアカウントでログインした利用者は、問答無用でFacebookの友達らに私の「食べログ」アカウントがバレて、「行った・行きたい」が全バレになってしまうということじゃないか。なーにが、「この機能をご利用いただくかどうか事前に設定いただけますので」だよボケが。「ご注意事項」って、ヤバいってこと自覚してるじゃねえか。「3月2日」付になっているが、27日まで気づかなかったぞ。

「食べログ」アプリの通知は許可していたが、通知による告知はなかった。いちおう、図7のように、目立たないところにある「その他」の画面にたどり着くことができれば、「食べログからのお知らせ」があって、そこに掲載されていたが、こんなところをいちいち見ている人は皆無だろう。

図7: アプリで「Facebook設定のご確認のお願い」を見る方法（2016年3月27日時点）

これは大変なことになると思ったが、じっくり書いている暇が全くなかったので、取り急ぎ以下のツイートをした。

食べログのちょっと前からの仕様変更とこれからの仕様変更がヤバい感じ（かつてのfacebookが起こしたのと同種の問題）だが、調べてまとめる時間がない……。EUや米国だったら監督機関による是正措置になりそう。
— Hiromitsu Takagi (@HiromitsuTakagi) 2016年3月27日
保全完了
— Hiromitsu Takagi (@HiromitsuTakagi) 2016年3月27日

すると、数日後、この「Facebook設定のご確認のお願い」の「お知らせ」が消滅していた。その後の状況からすると、どうやら、この時点で、関係者に問題点が理解され、対策が進められたようだ。

おや？先週あったこの「お知らせ」が今は消えてる。もう始まったのかな？（いや、始まってからも出しとくべきお知らせだよなあ。） pic.twitter.com/EwAxEQr8S0
— Hiromitsu Takagi (@HiromitsuTakagi) 2016年4月2日

図8: 「Facebook設定のご確認のお願い」が「お知らせ」から削除されている様子（2016年4月2日時点）

そして、4月14日ごろ、アプリのアップデートと共に、この新機能がリリースされた。

図9: 新機能が登場した様子（2016年4月14日時点）

このように、この機能は、本人が自らボタンを押して利用開始しない限り有効にならない仕様に変更され、かつ、ボタンを押したときに、「相手からも自分が見つけられるようになりますので、ご注意ください。」と警告が出るようになっていた。Facebookでログインしている私のアカウントでも、さらにFacebookで連携しない限りこの機能は有効とならないようになっていた。

これならOKだ。こういうのが「プライバシー・バイ・デザイン」である。

設定画面も改善されていた。（この点については私は何もツイートしなかったが、誰かが指導してくれたのか、それとも元々社内でもヤバいと心配している社員さんがいたのであろうか。）

図10: 改善された設定画面（2016年4月14日時点）

このように、設定画面直下に「プライバシー」のメニューが用意され、「アカウント公開・非公開」の設定が設けられ、「行きたい」全体を非公開にする設定がここに設置された。最初からこうなっていなければならないところだ。

これで一件落着……かというと、そうではない。ここからが本題である。

Facebook連携でのアカウント・バレは避けられたものの、依然として、自分の「行った・行きたい」が公開されているとは露知らず、旧版アプリの「ブックマーク」の延長として使い続けている人たちが、大量にいることだろう。

「行った・行きたい」が意思に反して公開されると何が問題か。アカウント名が誰だとわからない名前なら、誰だとわからないから問題ないじゃないかと思われるかもしれない。

では、私のアカウントを実際に見ていただきたい。以下は、本アカウントとは別に、このブログを書くためのデモンストレーション用のアカウントを新たに作成し、ダミーの「行った・行きたい」を登録したものである。

hiromichuさんのトップページ[食べログ]

地図からわかるように、東京都、茨城県、新潟県、愛知県、岐阜県、京都府、広島県に登録がある。それぞれを見ていくと、以下の特徴があることがわかる。

茨城県を見ると、筑波研究学園都市の南部で、ランチばかり利用した記録が多数ある。
東京都では、溜池山王駅の周辺で、ランチばかり利用した記録が多数ある。

図11: 特徴的な登録地点その1

このことから、産総研か環境研、気象研ないしJAXAあたりに勤務していて、溜池山王駅周辺にも勤務しているっぽいことがわかる。日付から、同時期に双方に行っていることもわかる。

新潟大の隣の店でランチし、夜に寿司屋に行っている。
名工大の近くの店を登録している。
岐阜県東濃地方でラーメン店を複数登録している。
目白駅の近くで昼・夜共に登録がある。
文京グリーンコートの近くに夜の登録がある。

図12: 特徴的な登録地点その2

私が、岐阜県東濃地方出身であること、名工大出身であることはWikipediaに掲載されているし、目白駅の近くに以前住んでいたことは2011年11月26日の日記で明かしているし、新潟大は、夏の集中講義に行ったことが鈴木正朝先生によってツイートされている。文京グリーンコートはJITEC関係として公開事項である。

このことから、私のアカウントを探そうとしている人からすれば、これがひとたび見つかれば、高木であることは相当な確度を持って確信できることだろう。

そして、その他に、墨田区の言問橋近辺に多くの昼と夜の登録がある。これは自宅に違いないという推定ができる。

図13: 自宅近辺が推定される様子

今回のこれは、デモ用にダミーの登録をしたものであり、自宅は言問橋近辺ではないが、本アカウントがバレていたら、自宅は特定されるところだった。

こうやって、非公表の事項がわかってしまうわけで、その他、京都駅近くのラーメン店、尾道のラーメン店に行ったのだなといったこともバレバレだ。今回は、本アカウントから公表しても平気な店を選んで登録したので問題ないが、本アカウントがバレていたら、いらぬ詮索をされてけっこうつらいところだった。デモ用アカウントでは、登録日はすべて3月27日になっているが、本アカウントでは、実際に行った日などが登録日となっている。

このように、疑いのアカウントが見つかると、確信を持たれてしまうだろうが、では、疑われるアカウントをどうやって見つけるのか、簡単には見つけられないだろうと思うかもしれない。しかし、各アカウントごとに、勤務地と自宅らしき場所を推定するアルゴリズムは作成できるだろう。クローラーで大量に集めたデータから、機械的にそれを分析して、あとは、勤務先等で検索していくことで、疑いのアカウントを絞っていくことはできてしまうのではないか。

むろん、「口コミ投稿」を書いている利用者の方々は、自ら公表しているのであって、特定され得ることも承知で使っているのだろう。だが、冒頭に示したように、旧版の「食べログ」アプリから移行組の「口コミ」無投稿勢にとっては、予期せぬことではないか。

カカクコムは、今月のFacebook連携の新機能リリースで、「プライバシー・バイ・デザイン」を実践してみせた。それは大変結構だ。しかし、この「行った・行きたい」がデフォルト公開であることの周知は、未だできていない。現在も、初めて使う利用者が「行った・行きたい」を使おうとしたときに出てくる画面は、図14のとおりであり、左の画面は、3月時点の図2と変わっていない。

図14: 初めて使う利用者が目にするであろう画面（現時点）

図14の右の画面には、「Facebookの友達と行った・行きたいお店を共有できます。」とあり、この点は先月と違うが、これがどういう意味かもよくわからない。以前とは違って、アカウント作成時にFacebook連携を選ぶと、Facebookの「友達」から探される状態になる（つまり、4月からの新機能が最初から有効になる）という意味なのだろうか？そうだとすると、これはよけいに誤解を招くものになっている。実際には、Facebookの友達だけでなく、一般公開の状態になるのである。

この類のトラブルは、かつてのFacebookで度々起きていたものと同種である。SNSサービスを提供する側からすれば、せっかく作ったのだから公開設定で使って欲しいという願いがあるのだろうし、作っている開発者は公開で当然という思い込みをしがちなのかもしれない。Facebookは、トラブルを繰り返した結果、米国連邦取引委員会（FTC）の厳しい監督下に置かれることになり、これまでにだいぶ改善されてきた。今では、プライバシー設定の画面が用意され、アカウント作成時にまずそこを確認するように促されるようになっている。

Facebook、プライバシー問題でFTCと和解, ITmediaニュース, 2011年11月30日

米Facebookは11月29日（現地時間）、同社サービスのプライバシー設定をめぐる訴訟で、米連邦取引委員会（FTC）と和解することで合意したと発表した。

合意の条件は、FTCが米Twitterや米Googleに提示したものとほぼ同じで、包括的プライバシープログラムの実施と、向こう20年間にわたる第三者機関による定期的（2年に1度）な査察の受け入れなどが義務付けられる。

「食べログ」も同様に、利用者への適切な案内が必要であり、誰かにそれを指導して欲しいところだ。しかし、残念ながら、日本にはそういうFTCが存在しない。今年1月、ようやく日本にも「個人情報保護委員会」が創設され、本来ならばこの委員会が、プライバシーコミッショナーとして、FTCと同様の役割を果たすことが期待されるところであるが、おそらく、そういうことはまだ5年は先のことになると思われる。

追記

地図の図（図11～図13）を追加した。

本日のリンク元 TrackBack(0)

高木浩光＠自宅の日記

2016年04月06日

■ 行政機関法では再識別禁止がないから個人情報に当たるですって？（パーソナルデータ保護法制の行方 その22）

2016年04月23日

■ 「食べログ」アプリの「ブックマーク」デフォルト公開で利用者の意図に反して特定個人識別される危険

追記

最近のタイトル

■ 行政機関法では再識別禁止がないから個人情報に当たるですって？（パーソナルデータ保護法制の行方その22）