読者です 読者をやめる 読者になる 読者になる

プライバシー侵害を懸念する際に「個人情報保護法」でいう個人情報でないから問題ないと主張する組織が相次いでいるのが問題

高木浩光@自宅の日記:「個人情報」定義の弊害、とうとう地方公共団体にまでの追伸で述べられている

昨年夏以来、次々と登場する事案に、私的な時間のほとんど全てを費やしてきましたが、そろそろ限界を感じています。

は冗談抜きで本当に休みなく同じような話が連続で発生している(高木さんや同じく危機感を持っている方ががんばって指摘している。行動ターゲティング広告とプライヴァシー保護の話のリンクの後ろの方のリンク集参照)。

2008年の端末固有番号を用いた簡単ログインの話ぐらいから始まり、2011年夏のiOSでのUDID使用禁止、秋のsupercookie問題(の再燃)、10月のAppLog、11月のWi-FiMACアドレスと位置情報の紐付け、12月のキャリアIQ、ConnectFreeによるSNS情報およびMacアドレスの無断取得と延々と続いている、データの突合せによりプライバシー侵害が発生する(した)問題で何度も何度も登場し、なかなか理解が深まらないポイントが個人情報保護法」でいう個人情報でないから問題ないという認識の部分。

プライバシー侵害について考える際には、個人情報保護法でいう個人情報を守っているかどうかを論じるだけではいけないというのは、総務省:行動ターゲティング広告の経済効果と利用者保護に関する調査研究 報告書でも述べられている話。

プライバシーについては、ウォーレン・ブランダイスが発表した論文の中で、「the right to be let alone(一人で居させてもらいたいという権利)」として定義されたが、その後、現代においては、「自己についての情報をコントロールする権利」、「個人に関する情報の流れをコントロールする権利」、または「自己情報コントロール権」が新たな包括的定義として登場してきている

一方、個人情報の保護については、平成 15 年に成立し、平成 17 年から全面施行された個人情報保護法で定められている。個人情報保護法第 2 条第 1 項では、「個人情報」とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。」としている。

プライバシーと個人情報は重なる部分があるものの、異なった概念である。従って、個人情報保護法では個人情報の取扱いとは関係のないプライバシーの問題などは、対象とならないとしている4。例えば、プライバシーの侵害とされない公知の事実であっても個人情報であれば個人情報保護法の対象となる。逆に、個人情報保護法を遵守していても、プライバシーの侵害とみなされる場合もありうる。
総務省:行動ターゲティング広告の経済効果と利用者保護に関する調査研究 報告書 p. 26 「3-1 プライバシー、セキュリティ上の懸念」より)

個人情報保護法で言う個人情報とプライヴァシーの違いに加え、プライバシーマークと個人情報の違いもある。

なんで、高木さんが昨年夏から休みなく指摘しつづけているかというと、Web上に大量の個人にかかわるデータ(not 情報)が蓄積され、かつ、それを連携づける技術が発展知ってきたことにより、個人にかかわるデータをつなぎ合わせることで価値ある情報とし、売買することが可能となってきているため。その金銭的価値を持たせる行為の典型例が行動ターゲティング広告。そして、行動ターゲティング広告を巡って以下の懸念が発生するようになった。

行動ターゲティング広告においては、利用者の閲覧情報等の行動履歴が収集、利用される。通常、行動履歴それ自体は個人を識別する情報とはならない場合が多いと考えられるが、行動履歴が個人識別情報と照合されうる場面では問題が生じうる。現在、以下の 3 点が主要な懸念となっている。

  1. 個人識別情報と紐付けられた行動履歴が漏洩し、プライバシーが損なわれる懸念
  2. 個人識別情報と紐付け可能な行動履歴が個人識別情報と紐付けられた場合にプライバシーが損なわれる懸念(特に、書籍の購買履歴や疾病に関する検索履歴などを通じ、思想・信条や身体に関する機微情報が明らかになる懸念)
  3. 個人識別情報と紐付け可能な行動履歴に関する情報が第三者に提供されたり、あるいは、漏洩した場合に、第三者により個人識別情報と照合され、プライバシーが損なわれる懸念

上記のうち、1. 個人識別情報と紐付けられた行動履歴については、既に個人情報保護法の保護の範疇であり、適切なセキュリティ対策が議論の中心となる。もっとも、行動ターゲティング広告で用いられる情報の中で何が個人識別情報となりうるかについては議論の余地があり、この点については「(4)行動ターゲティング広告で用いられる情報の個人情報該当性の検討」で整理を行う。

他方、2.、3.はプライバシーに関する問題であり、その場合の個人情報保護法との関係が議論の中心となる。
総務省:行動ターゲティング広告の経済効果と利用者保護に関する調査研究 報告書 p. 26 「3-1 プライバシー、セキュリティ上の懸念」より)

個人情報保護をめぐる法体系の整備がWebの発展と普及および大規模データを利用する技術の発展の速度に追いついていないのが現状(まあ、技術の発展の方が法の整備よりも早いのは当たり前の話なのでこれはしょうがない)。

個人情報保護を巡る法体系、法制度は国により差異があり、我が国と米国、欧州の間でも異なっている。保護の対象となる個人情報についても、個人識別情報との関係性が問題となる点は共通であるが、何を個人識別可能な情報と解釈するかについては、やや差異があることが指摘されている。
〜中略〜

表 3-1 個人情報該当の可能性

-- 日本 米国 英国 欧州共同体
アクセス時の IP アドレス ×(通信事業者においては個人情報となるが、その他の場合では識別し得ない) ×(将来、他の情報と組み合わせて個人識別できる可能性は否定していない) △ (データの主体が他の個人と異なった取扱を受ける可能性がある場合) △ (データの主体が他の個人と区別できる可能性がある場合)
クッキーに含まれる氏名・連絡先以外の情報 × (氏名等の伝統的識別子と関連づけられて初めて個人情報として扱う) × (他の個人を識別しうる情報と関連づけられて初めて個人情報として扱う) △(データの主体が他の個人と異なった取扱を受ける可能性がある場合) △ (データの主体が他の個人と区別できる可能性がある場合)
Web サイトでの氏名・連絡先以外の行動履歴 ×(氏名等の伝統的識別子と関連づけられて初めて個人情報として扱う) × (他の個人を識別しうる情報と関連づけられて初めて個人情報として扱う) △(データの主体が他の個人と異なった取扱を受ける可能性がある場合) △ (データの主体が他の個人と区別できる可能性がある場合)
クッキーに含まれる氏名・連絡先、Web サイトでの氏名・連絡先を含む行動履歴

(凡例:○=個人情報に常に該当する、△=個人情報に該当する場合がある、×=個人情報に該当しない)

なお、我が国では ID 化する等して個人識別情報(氏名等)を匿名化した場合であっても、その他の情報で個人が推知される場合は個人情報となりうる場合があると解釈されている。
総務省:行動ターゲティング広告の経済効果と利用者保護に関する調査研究 報告書pp. 28 - 29 何が個人情報に当たるのかの国別状況より)

ここの最後にあるとおり、「我が国では ID 化する等して個人識別情報(氏名等)を匿名化した場合であっても、その他の情報で個人が推知される場合は個人情報となりうる場合があると解釈されている。」というのはとても重要。そして、図書館での本の貸出履歴というのはまさにオフラインにおける典型的な行動履歴の一つ。 「個人識別情報と紐付け可能な行動履歴が個人識別情報と紐付けられた場合にプライバシーが損なわれる懸念(特に、書籍の購買履歴や疾病に関する検索履歴などを通じ、思想・信条や身体に関する機微情報が明らかになる懸念)」と行動ターゲティング広告における懸念でもピンポイントで指摘されているプライバシー情報だ。

そして、日本はこの図書館での本の貸出履歴を用いて、プライバシー侵害どころか人権侵害を行った過去を持っている(らしい。今回、この件を調べて私も初めて知った)。だから、図書館の自由に関する宣言というのがだされている。

戦前に思想善導機関として機能した図書館の歴史を反省し、1954年(昭和29年)に打ち出された。 1979年(昭和54年)に「第3 図書館は利用者の秘密を守る。」が加えられ、もとの第3は「不当な」と言う文言が削除され第4と改められた。
ja.wikipedia:図書館の自由に関する宣言より)

図書館は、基本的人権のひとつとして知る自由をもつ国民に、資料と施設を提供することをもっとも重要な任務とする。

  1. 日本国憲法は主権が国民に存するとの原理にもとづいており、この国民主権の原理を維持し発展させるためには、国民ひとりひとりが思想・意見を自由に発表し交換すること、すなわち表現の自由の保障が不可欠である。知る自由は、表現の送り手に対して保障されるべき自由と表裏一体をなすものであり、知る自由の保障があってこそ表現の自由は成立する。知る自由は、また、思想・良心の自由をはじめとして、いっさいの基本的人権と密接にかかわり、それらの保障を実現するための基礎的な要件である。それは、憲法が示すように、国民の不断の努力によって保持されなければならない。
  2. すべての国民は、いつでもその必要とする資料を入手し利用する権利を有する。この権利を社会的に保障することは、すなわち知る自由を保障することである。図書館は、まさにこのことに責任を負う機関である。
  3. 図書館は、権力の介入または社会的圧力に左右されることなく、自らの責任にもとづき、図書館間の相互協力をふくむ図書館の総力をあげて、収集した資料と整備された施設を国民の利用に供するものである。
  4. わが国においては、図書館が国民の知る自由を保障するのではなく、国民に対する「思想善導」の機関として、国民の知る自由を妨げる役割さえ果たした歴史的事実があることを忘れてはならない。図書館は、この反省の上に、国民の知る自由を守り、ひろげていく責任を果たすことが必要である。
  5. すべての国民は、図書館利用に公平な権利をもっており、人種、信条、性別、年齢やそのおかれている条件等によっていかなる差別もあってはならない。外国人も、その権利は保障される。
  6. ここに掲げる「図書館の自由」に関する原則は、国民の知る自由を保障するためであって、すべての図書館に基本的に妥当するものである。

〜中略〜
第3 図書館は利用者の秘密を守る

  1. 読者が何を読むかはその人のプライバシーに属することであり、図書館は、利用者の読書事実を外部に漏らさない。ただし、憲法第35条にもとづく令状を確認した場合は例外とする。
  2. 図書館は、読書記録以外の図書館の利用事実に関しても、利用者のプライバシーを侵さない。
  3. 利用者の読書事実、利用事実は、図書館が業務上知り得た秘密であって、図書館活動に従事するすべての人びとは、この秘密を守らなければならない。

〜後略〜
日本図書館協会:図書館の自由に関する宣言より)

以上の経緯を踏まえていただくと、高木浩光@自宅の日記:武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨ておよび高木浩光@自宅の日記:「個人情報」定義の弊害、とうとう地方公共団体にまでで、高木さんが「武雄市立図書館○蔦屋書店」の新図書館構想に意見を言った(疑念を呈した)理由がはっきりする。それは武雄市長 樋渡 啓祐さんが以下の発言をしたからだ。

質問代読者:(略)では二つ目ですが、Tポイントカードで図書を借りたときに、借りたという情報はCCCに提供されるんでしょうか。

武雄市長:(CCC担当者を見つめる)

CCC担当者:そこはまだ決めていません。

武雄市長:ああ、ただね、ひとこと言うと、これね、今までね、これ個人情報だって名の下にね、全部廃棄してたんですよ。なんで本をね、借りるのが個人情報なのか、って僕なんか思いますので。じゃあどこまでいくかは別にしてね、で、僕はそれを元にしてリコメンドを出したいんですよ、リコメンドを。例えば、杉山さんがこういう本を借りましたとしたときにね、今度借りたときにピッと4月20日までに返してくださいと出るじゃないですか、今度のお奨めはこの本ですとかって、いうふうにしたいんで。

質問代読者:そこはあれですよね、市民の同意の上でですよね、

武雄市長:そうですもちろん市民の同意の上です。ですので、そういう意味で僕はもう、元々、何を借りたかっていうのは、なんでこれが個人情報だ!って思ってるんで、それも、まこれね、文科省と調整が必要とするかもしんないんでね、ただまあ僕の意見は意見として伝えていきたいと思いますし、で、これは市民の皆さんに対しての同意、同意が必要ですこれは。これは出してくれるなとかっていうことについてはそれは、ちゃんと、ね、配慮する必要があるだろうなと思います。

高木浩光@自宅の日記:武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て内の引用より孫引用)

まさに、昨年夏から連続で発生していることと同じ問題。高木さんの高木浩光@自宅の日記:武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨てが皮肉っぽいというのもあるだろうけど、高木さんの視点あるいは同じように昨年夏から、似たような問題をずっと追ってきた人たちからすれば「また?」となるのも致し方ない。一方で、樋渡 啓祐さんが「皮肉られた」と思うのもしょうがないとは思う。

でも、樋渡 啓祐さんも「借りたという情報」がプライバシー侵害の原因となる情報であるということはご自身のブログで書かれているように認識されている。

(本論)
ユーストでも言いましたが、「貸出情報は個人情報には当たらないというのは僕の持論」。皆さん、個人情報ってどういうものなのか、一度まとめてみますね。

個人情報とは、個人情報の保護に関する法律(平成15年5月30日法律第57号)
の第1条にその目的があり、「この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。」となっています。

その中で個人情報とはというとね、その定義は、「この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。」となります。

それと、武雄市では、この法律に基づき、武雄市個人情報保護条例(平成18年3月1日 条例第12号)があり、条例の目的として、「この条例は、個人情報の適正な取扱いに関し必要な事項を定めることにより、個人の権利利益を保護し、もって基本的人権の擁護と公正で信頼される市政の実現を図ることを目的とする。」となっていて、ここでの個人情報の定義は、第2条において、「個人を対象とする情報であって、特定の個人が識別することができるものをいう。」となっています。

(長いまとめ)
そうなんです。法令においては、「特定の個人が識別することができるもの」となっているんですね。

では、論点の図書館の貸出履歴が、個人情報に当たるかというと、ちょっと具体的に言うと、「樋渡啓祐が「深夜特急」「下町ロケット」「善の研究」を5月6日に借りた。」この情報が外部に出るとこれは個人情報の関係法令の適用に当たる、これは当然。

僕が言っているのは、「5月6日20時40分、42歳の市内在住の男性が、「深夜特急」「下町ロケット」「善の研究」」を借りた。」ということそのものについては、個人が特定できないし、仮にこれが外部に出ても法令に照らし、全く問題がない、これが僕の見解であり、図書館の貸出履歴は、これをもとに、個人情報に当たらないって言っているんです。個人が特定できない。その中で、この情報はとっても貴重で、図書館の本の品揃え(武雄市立図書館は市民から成る選書委員がいます。)に当てたり、リコメンド(本を借りる人に、別の本の推薦)にあてたいって思っています。

これらの情報は、憲法学で広く通説となっているプライバシー権に当たると思っていますので、僕はプライバシーの保護という観点から個人の意向を重視したい。そして、記者&ユースト会見でも述べましたが、この貸出情報を、それを出すとも言っていないし、それを活用するに当たっては、市民の同意が必要だと言っています。
武雄市長物語:図書館貸出情報の扱い、ご安心ください!

樋渡 啓祐さんもご自身で認識しているとおり、「何を借りた」「いつ借りた」「誰が借りた」をどの程度抽象化(不特定化)するかによって、プライバシー侵害の可能性が大きく変わる。この部分をどの程度不特定化するべきなのか、どのデータをCCCに渡すべきなのか、それをどこまで利用させるのかこそが、武雄市の新図書館構想におけるプライバシー侵害防止に関する問題の肝なのに、そこを外して 武雄市長 樋渡啓祐さんと自宅研究員 高木浩光さんのやりとりという展開や、 高木浩光@自宅の日記:「個人情報」定義の弊害、とうとう地方公共団体にまでに対する反論が武雄市長物語:高木浩光先生、間違ってます。(「そこじゃない」感がすごくある)になっちゃうのはとても残念。

プライバシー侵害のダメージは悪い状況にある人や少数派(マイノリティー)ほど大きい。このため、そんなに悪い状況じゃない人や多数派(マジョリティ)に属している人はプライバシー侵害を軽視しがち(正直なところ、私も軽視してしまいがち)。そして、プライバシー侵害は発生すると元に戻せない(原状復帰が難しい)のが特徴。情報は拡散する傾向にあり、一度流れた情報を消すのは非常に難しい。

フェンスを外す人の好例:本の貸出情報は個人情報であるかないかでも書いたけど、「Amazon.co.jpGoogleは利用履歴を使っていろいろやっているじゃないか?みんなそれを気にしないのにどうして図書館の本の貸出履歴を気にするんだ?」というところから議論を深めたうえで、「本の貸出情報は個人情報であるが、これを図書館の本の入荷および在庫調整、また、来館者を増やすための推薦システムの構築に用いるのは市民の利益にかなう」という結論なら別に良いと思う。でも、図書館はその性質上、社会的に恵まれない状況のときに頼ることができるセーフティーネットの一つなので、プライバシー侵害の話は、他の商用サービスにおけるものよりもより深刻になると思う。