同意を得ない個人識別情報の収集と収集した情報の流出防衛の話は違う

Togetter:LINEの個人情報の扱いはちょっと危ないのでは?の話の主にコメント欄にでてくる暗号化しているかという話についてメモ。

まとめ

以下の話はそれぞれ別の話。

  • そのサービス利用者の同意を得ずにスマートフォンのアドレス帳に登録されている他者の個人識別情報(名前、電話番号)の収集を行うこと
  • 本人の同意なしにその人の個人識別情報(名前、電話番号)を収集すること
  • 収集した個人識別情報をサービス提供者が利用できる形で暗号化し、保存していること
  • 収集した個人識別情報を用いてサービス上および複数サービス上における行動履歴を収集すること

変更のコストが高い個人識別情報(電話番号、携帯端末識別番号、クレジットカード番号など)を本人識別のために求められるサービス、かつ、自分の友達や知り合いの変更のコストが高い個人識別情報の収集を行うサービスについては、利用規約を良く読み以下を確認の上使うこと。

  1. 利用目的が明確になっていること。特に他サービスとの連携を行わない旨を明記していること
  2. 退会時に自分が登録した情報は削除する旨が明記されていること
  3. 情報流出の対策が明記されていること(暗号化など)

ただし、個人的には上記が明確だからといってそういうサービスはお勧めできない。また、他者の個人識別情報を本人の同意なくサービスに提供するのは良くないと私は考えている。それは名簿屋に同窓会名簿を売るのと同じ行為であるため

本文

Togetter:LINEの個人情報の扱いはちょっと危ないのでは?の話で最初に懸念されていたのは、利用規約に以下の部分が記述されているが、利用者は気が付かないのではないかという点。なお、LINEの場合は電話番号か携帯メールアドレスのみが収集される(NAVERプライバシーセンター:サービス別のプライバシー保護

  • そのサービス利用者の同意を得ずにスマートフォンのアドレス帳に登録されている他者の個人識別情報(名前、電話番号)の収集を行うこと

コメント欄で議論されている一方向関数(ハッシュ関数)による暗号化の話は以下の論点。

  • 収集した個人識別情報をサービス提供者が利用できる形で暗号化し、保存していること

これは、保持している情報が流出したときの被害を低くするための対策であり、「そのサービス利用者の同意を得ずにスマートフォンのアドレス帳に登録されている他者の個人識別情報(名前、電話番号)の収集を行うこと」とは関係ない。しかも、集めた情報を使って何かに利用するわけなので、何の暗号化をしていようがサービス提供者は暗号化した情報を個人識別のために利用している(利用できる)。なので、暗号化しているから個人識別情報ではないという理屈はおかしい。その理屈がなりたつならば、名前じゃないから、携帯電話番号は個人情報じゃないという理屈が成り立つ。

ただし、プライバシーの観点からみて個人識別情報であるというのと個人情報保護法の観点から個人識別情報であるというのには差がある(それについてはこちらにまとめている→行動ターゲティング広告とプライヴァシー保護の話のリンク)。あるサービスがプライヴァシーの観点で問題じゃないかと思われる理由は、行動ターゲティングでは「Web サイトにアクセスしている利用者を識別することが前提となる。ここでいう識別とは、アクセスしている人がどこの誰かといった個人を特定するのではなく、前回アクセスしてきた利用者と同一であるかの識別ができることを指す。(総務省行動ターゲティング広告の経済効果と利用者保護に関する調査研究 報告書より)」という前提なのに、「アクセスしている人がどこの誰かといった個人を特定する」情報を得ている/得ようとしている場合がほとんど。そして、今回のLINEの話もそれに当てはまる。

個人的にまずいとおもうのは以下をしていること。その電話番号や携帯メールアドレスで識別される当本人の同意を得ずにその情報を収集しているという点がまずいと思う。

  • 本人の同意なしにその人の個人識別情報(名前、電話番号)を収集すること

この点に関して、Togetter:LINEの個人情報の扱いはちょっと危ないのでは?の話にまとめられているTweetでは「Facebookは?」「Googleのサービスは?」とすでに同じように本人の同意なしにその人の個人識別情報(名前、電話番号)を収集するサービスが列挙されているが、普通にまずいだろうと思う。ただし、そのまずさは程度問題。その程度は「どれくらい個人識別率が高いか」「どのくらいその個人識別情報を変更するのにコストがかかるか」による。ゼロ・イチでなく程度問題。

「本人の同意なしにその人の個人識別情報(名前、電話番号)を収集すること」の何がまずいのかと言うと、以下の点と関係する。

  • 収集した個人識別情報を用いてサービス上および複数サービス上における行動履歴を収集すること

まず、交友関係(知り合い関係)は明らかに把握される。A、B、C、Dの4名が友達で互いに電話番号を交換しており、うち、A、B、Cの3名がサービスを利用していたとする。この場合、A、B、Cのそれぞれの同意の下で、Dの電話番号か携帯メールアドレスが収集される。結果、Dはそのサービスを使っていないのにA、B、Cの知り合いであるとサービスに知られてしまう。

Dが同組織が提供する別のサービスを使う際に電話番号か携帯メールアドレスを使ったならば、それを流用して、A、B、Cの知り合いのDと特定されてしまう。これをどう使うかはいろいろあり得るが、悪い使い方としたらA、B、Cが悪徳商法に騙されやすいならば、類は友を呼ぶの法則でDも絶好のカモであるとみなされ、宣伝攻勢が始まってしまう(これが怖いから行動ターゲティングに対する制限をしようという話になる)。

今回の場合NAVERプライバシーセンター:サービス別のプライバシー保護によると

NAVER LINEでは、利用者が、端末のアドレス帳に登録されている電話番号および携帯電話用メールアドレスを利用して友だちを追加する機能を有効化した場合に限り、アドレス帳に登録されている電話番号および携帯電話用メールアドレスを取得します。NAVER LINEではこの情報を以下の目的に限って利用いたします。なお、アドレス帳内に登録されているその他の情報(氏名、写真、住所、生年月日、携帯電話用メールアドレス以外のメールアドレスなど)は取得しません。

  1. NAVER LINEに登録している知り合いを検索、通知、自動登録するため。
  2. 知り合いの可能性がある他の利用者を推薦できるようにするため。

と書いてあるので、LINE以外のサービスと紐付けされたら損害賠償の話ができる。でも、交友関係の把握はされる。それだけでも、良いデータではある。

一方、昔ながらのSNS(交友関係構築・把握はそのSNS内のIDベースで行われる)は、この問題を持たない。というのは、SNSの利用者はすべて自分の意思でそのサービスをつかっており、かつ、交友関係の構築も本人たちの意思によるものなので、それをサービスに把握されることは利用者の同意を得ているため。