高木浩光＠自宅の日記

■ ヤフーの信用スコアはなぜ知恵袋スコアになってしまったのか

毎度ここぞという絶好のタイミングで反面教師となってくださるヤフーさん、7月から「Yahoo!スコア」の提供を開始すると発表したことで、情報銀行界隈の識者の方々の怒りを買っているようだ。「ヤフーが情報銀行はやらないって言ってたのはこのことか」とのコメントがあるが、ヤフーからすれば、オプトインなんかじゃ誰も使わねえよそんなもん（ワナにひっかけて承諾*1とらねえとなとな）ということなのだろう。つぶしあえーという感じだが、ここで悲しいかな笑われてしまっているのは、ヤフーが信用スコアの「信用行動」に「知恵袋での活躍度」*2を投入してきたところだ。

• Yahoo!スコアで利用しているデータ, Yahoo! JAPANヘルプセンター

  ■カテゴリーと利用データ

  カテゴリー	利用データ
  本人確認	Yahoo! JAPAN IDにひもづく住所・氏名・電話番号・メールアドレスなどの情報の登録率、登録された電話番号およびメールアドレスの有効性、Yahoo! JAPANが提供するサービスにおける住所確認や本人確認の有無等
  信用行動	ヤフオク!における取引実績や評価、ショッピングでのレビュー回数、知恵袋での活躍度、Yahoo! JAPANへの支払い滞納の有無および回数、利用規約・ガイドライン違反の有無および回数、宿泊・飲食店等の予約キャンセル率、キャンセル連絡有無などの行動実績等
  消費行動	Yahoo! JAPANが提供するEコマースサービス、Yahoo!ウォレット、Yahoo! JAPANカードなどの利用金額等
  Yahoo! JAPANサービス利用	Yahoo! JAPANが提供するサービスの利用頻度などの実績等

  
  

  Yahoo!スコアの作成および利用は、お客様のプライバシーの保護に十分に配慮したうえで実施しております。

  算出元データには、通信の秘密にあたる情報、スコア化することで不当な差別につながる可能性がある情報（要配慮個人情報、性別や職業等）は使用しません。

知恵袋での行動が知恵袋内での信用評価として使われるのは普通（そういうサービスだということ）だが、それが、知恵袋の外で、お金を借りるときとか、飲食店を予約するときに信用として必要になってしまう、そんな社会はまっぴらごめんだ。（だれにもわかりやすくてたいへんよい。）

ヤフーが信用スコアの作成をオプトアウト方式で全アカウント強制で行うとしていることから、どこが「お客様のプライバシーの保護に十分に配慮したうえで実施」だよと、識者の怒りを買っているわけである。

しかし私には見える。ヤフーがなぜこれで「プライバシーの保護に十分に配慮した」と言っているのかが。

実は、ヤフーの信用スコアは、昨年10月に実証実験を開始すると発表した際には、「購買履歴」「検索履歴」「ニュースの閲覧」が利用されるとされていた。

• ヤフー、信用スコアに年内参入　購買データなど分析 ID情報を点数化, サンケイビズ, 2018年10月11日

  事業化後はネット通販や中古品オークション、ニュースの閲覧や検索の履歴などを統計的に分析し、ＩＤごとの信用スコアを１００点満点で点数化する。

• ヤフー、ユーザーの信用を数値化「信用スコア」事業参入　購買履歴など活用, ITmedia NEWS, 2018年10月11日

  個々のIDと結び付いた購買履歴、検索履歴、性別などの属性情報を分析し、独自の基準で100点満点のスコアを算出するという。2018年内に本格的に事業をスタートさせる計画。

それが今回の正式スタートでは、購買履歴も検索履歴もニュースの閲覧履歴も含まないとしているのだ。GPS位置情報といったものも含まれていない。そこがヤフーの言う「プライバシーの保護に十分に配慮」なのだろう。

つまり、ヤフーは、「プライバシー」を（憲法学者などがよく言うように）個人の秘密に限られると捉えたのではないか。「知恵袋での活躍度」は公開されている情報なのだからプライバシーじゃないと言うのだろう。同様に、今回の「利用データ」で明かされた「ヤフオク!における取引実績や評価」も「ショッピングでのレビュー回数」もいずれも公開されている情報である。*3

だが、個人データ保護とはそういうことじゃない。EUにおけるGDPRは（その前身のデータ保護指令のときから）明確にしているように、秘密を守ることが個人データ保護なわけではなく、たとえ公開情報であってもそれを用いて個人を自動処理で選別することが問題（同意が必要など）とされるのである。

日本法はどうかというと、公開されている情報でも個人情報であるとされている*4ものの、その趣旨は必ずしも明らかでなく、前記のように「個人を選別することが問題」とされているかははっきりしない。逐条解説書で「個人情報のコンピュータ処理等に伴う個人の権利利益侵害の危険性、本人の不安等の社会問題に対応しようというもの」*5と、ぼんやりした説明がなされている程度である。ただ、昭和63年法（行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律）の法案立案時の資料に目を通すと、そういったことが当然の前提として想定されていたよう*6である。

日本法について、法目的に「プライバシー」保護であることを明記せよという意見は以前からあり、平成15年法の立案時にもそのような意見があったが、法制局審査資料を見ると、「プライバシー」が何であるかはっきりしないという理由だけでなく、それに限られないから、限定すべきでないという理由であえてそこの目的を明記しなかったという経緯がある*7ようである。

1980年のOECDガイドラインが「privacy」の語を用いたのが誤解を生むことになったのではなかろうか。「個人をデータで選別することの問題」もプライバシー問題の一種だという意見は昔からあったが、そこは、誤解させないために、「データプライバシー」などと呼んで意義を明確にするのがよい。EUでは、データ保護指令のときは「privacy」の語を用いていたのを、GDPRでは「privacy」の語を完全に排除*8しており、PIA（プライバシー影響評価）のことさえ、DPIA（data protection impact assessment）と言い換えて徹底しているのは、そういう誤解を排除することが意識されているものと思われる。

今回のヤフーの知恵袋スコアが「プライバシーの保護に十分に配慮」と称しているのは、この誤解がまたしても露わになったものと言えよう。（つまり、日本法もそのような誤解を避けるべく法目的を明確化する必要があるということ。）

ところで、Yahoo!スコアがオプトアウト方式でスコアの作成を既に開始してしまっているのは、個人データの目的外利用に当たり、個人情報保護法16条違反ではなかろうか。ヤフーとしては、スコアの他社への提供時に本人の同意を得るとして、それで適法だと勘違いしているようだが、スコア作成に知恵袋での行動が同意なく利用されているのは、個人データの目的外利用に当たる疑いがある。

ヤフーは今回のプレスリリースで、「「Yahoo!スコア」の利用目的を、ユーザーへの特典等の付与、審査プロセスの簡略化、コンテンツ最適化、サービスの改善、広告の配信等としました（※4）」としているが、スコアの利用目的の話ではない。スコアに投入する元データの利用目的が問題である。

「※4」のところを見ると、「詳細はプライバシーセンターをご確認ください。」とあって、リンク先を見にいくと、「パーソナルデータの活用」とあって、「Yahoo!スコア」のことは書かれているものの、知恵袋のことは書かれていない。知恵袋の利用規約等で知恵袋の利用目的について書かれている必要があるが、「Yahoo!知恵袋ヘルプ - Yahoo!知恵袋の利用には利用規約への同意が必要です」を見ると、スコアのことは書かれていない。

昨年10月のプレスリリースには、「IDに紐づくさまざまなビッグデータを基に機械的に算出したスコアを統計情報として提供し」と、「統計情報」と書かれていた点が気になる。個人情報保護法ガイドラインQ&Aでは、Q2-5で、「統計データへの加工を行うこと自体を利用目的とする必要はありません。」としているので、ヤフーはこれを根拠に知恵袋データの目的外利用に当たらないと勘違いしたのではなかろうか。

ここで言う「統計データ」というのは、Q1-14で「統計情報（略）は、特定の個人との対応関係が排斥されている限りにおいては、『個人に関する情報』に該当するものではないため、『個人情報』にも該当しないと考えられます。」とあるように、ある個人について属性情報が統計量になっている（ヤフーの言っていることはこれ）という意味ではなく、複数の個人についての個人データが集計されて統計量になったものを言うのであって、もはや一人ひとりの個人データではなくなったもののことを言っている（Yahoo!スコアが一人ひとりの個人データであるのは明らか）のである。

ヤフーが実際にどう勘違いしたのかははっきりしないが、目的外利用禁止違反*9の事例として個人情報保護委員会にはぜひ執行して実績としていただきたいものである。

今からでも、知恵袋やヤフオク!等の利用目的を変更して通知・公表すれば、それ以降に取得したそれらの個人データについては、個別の同意なくその目的で利用することはできる。（変更前に取得したものを用いることはできない。）*10

■ 総務省が不正指令電磁的記録罪の典型的誤解を再生産中、原因を絶たねばならない

昨日からこれが話題になりつつある。

• 総務省の資料より。ウイルスがダメなのはわかるけど、どこからがウイルスと捉えられるのかが問題。「ユーザーの意図に反する動作」っていわれても「ユーザー」のリテラシによるから難しいなぁ。 pic.twitter.com/hpGnPmUWlS

  — はぁこ🌸ビール女子麦子開発中 (@paco_itengineer) June 23, 2019

• みんなに役立たないことにプログラミング技術を使った奴はタイーホ了解！！！！！！！！！自分のためにしか役に立たなかったり面白いだけで役に立たないことにプログラミング技術を使っているみなさん！！！！！！！ pic.twitter.com/YUjSTzmUkj

  — sksat@OtakuAssembly (@sksat_tty) June 24, 2019

ソースはこれのようだ。

• インターネットトラブル事例集, 総務省 総合通信基盤局 消費者行政第一課 青少年担当
• インターネットトラブル事例集（平成29年度版）
  

まず根本的に間違っているのは、「悪意があってもなくても、ウイルス作りは犯罪」*1と断罪されている点だ。言うまでもなく、悪意のないウイルス作り（作成・提供）は合法である。

こうした典型的な勘違いが出てくることが予想されていたので、刑法改正案は一旦廃案となって、民主党政権時代に修正法案が提出された際、「正当な理由がないのに」との条文が付け加えられたのだ。もっとも、何度も周知してきた*2ように、「正当な理由がないのに」は「違法に」の意味*3であり、刑法35条（正当行為）の同語反復となっていてほとんど意味がなく、確認的に規定されただけのもの*4と言われている*5。そもそも「正当な理由がないのに」との条文がなかったとしても、「人の電子計算機の実行の用に供する目的で」との条文により、「悪意のないウイルス作り」は該当しないのである。

次に、このパンフレットは、供用罪についての説明が一切ない。供用罪のことを知らないのだろう。不正指令電磁的記録に関する罪は、供用罪が中核にある。供用（168条の2 2項）を罪とすることを核として、その未遂（同条3項）も罰するものとし、その前段階であるところの作成・提供（同条1項）をも罪とし、さらにその取得・保管（168条の3）までも罪とするものである。供用する目的がないのなら、作成も提供も取得も保管も犯罪ではない。供用とは、要するに人を騙して（プログラムに対する社会の信頼を害する程度に）「意図に反する動作をさせる」プログラムを実行させることである。それがなければ罪にならない。

「多くの人に見てほしいと思って、ネットに公開」したことが「作成・提供罪になる」と書かれているが、誰かを騙して（意図に反する動作をさせるものとして）実行させる意図がなければ、供用罪を構成しないのであり、そのような騙す意図なく「多くの人に見てほしいと思って、ネットに公開」するケースもあり得る。

そもそも「ウイルス」というものが定義できるわけではないし、刑法は「ウイルス」を対象としているのではなく、あくまでも「不正指令電磁的記録」が対象である。この罪を「ウイルス」の語で語ること自体が誤解が生じやすいのであり、供用の目的がなくても作ること自体が危険行為であるとの勘違いを生みやすい*6。この刑法の罪は（偽造罪とのパラレルで構成されているように）そのような趣旨で立案されたものではない。

供用罪の理解、刑法の目的犯・偽造罪の構成の理解がないままオレオレ正義を語ると、このような勘違いパンフレットになってしまう。こういう素人的勘違いが田舎警察と田舎検事にまで達した*7のが、宮城県警のWizard Bible摘発事件であった。

そして、「いたずらウイルス」との記載がある点も見逃せない。兵庫県警のアラートループ摘発事件は、まさにこういう勘違いの蔓延によって（刑法改正から7年が経ちとうとう）起きてしまった悲劇であった。プログラムに対する社会の信頼を害するほどでもないジョークプログラムは不正指令電磁的記録たり得ないのだが、このようなパンフレットが出回れば、「いかなるジョークもプログラムによって行うことは犯罪」との誤解が広まることになるだろう。

このパンフレット「インターネットトラブル事例集」は、平成21年度版から出ていたようだが、不正指令電磁的記録についての記載が入ったのは、平成29年度版からだったようだ。

こうした誤解させるパンフレット作成の再発を防止するにはいったいどうしたらいいのだろう。原因を究明しなければならない。どうしてこんな内容で出してしまったのか。いったいどこの業者がこの原稿を書いたのか。消費者行政一課は法務省刑事局と協議しなかったのか。NISC総合対策グループに意見を求めるくらいしたら防がれたかもしれず、残念でならない。可及的速やかに訂正されることが求められる。*8