前回の日記に傍聴録を記したように、その研究会では図らずもグーグル社の考え方を聞くことができた。そのタイミングから、Googleマップの「ストリートビュー」について述べられたものと解釈している人がいるようだが、このご発言は、携帯電話や固定通信網における個人識別子の扱いに関連する議論の文脈において出たものである。
さて、Googleマップの「ストリートビュー」だが、日本でも開始されたと知って早速いろいろなところを見てみたところ、それは予期していたのとは違うものになっていた。車一台スレスレ通れるか通れないかのような細い道にまで撮影車が積極的に入り込んでおり、特に予想外なことに、住宅密集地で、高い視点から塀の中を見下ろして撮影している。
これは通常の通行人の目線で見える風景との違いを比べる必要があると思った。そこで、現地を訪れて実際の塀の様子を確かめてみることにした。
今回は、東京のJR目白駅の周辺を訪れ、特に塀の中が見えてしまっている3軒の住宅をお訪ねし、居住者にインタビューを試みた。残念ながら、お盆休み中のせいか、うち2軒は家主がご不在で、留守番の方しかいらっしゃらなかったためインタビューはできなかった。以下は、インタビューのできた1軒についてである。
訪れたのは、Googleマップで示される以下の場所。
同じ場所を訪れて、通常の目線の高さ(約1メートル55センチ)からデジカメで撮影した写真が下の図2である。
このように、塀しか見えない。
同じ地点で塀に垂直に向いた様子が、以下の図3と図4である。
Google「ストリートビュー」と通行人の視点ではこれだけの違いがある。
また、仮に通行人が手を伸ばして上の方から撮影しようとしたらどうなるか、図2の位置で手を上に伸ばしてデジカメで撮影した(約2メートル10センチの高さからの撮影)のが、図5の写真である(居住者の承諾を得て掲載)。
手を伸ばしても、Google撮影車の視点にはほど遠かった。
お住まいの方にインタビューするため、インターフォンで「お話を伺いたい」と趣旨を説明したところ、快く対応してくださり、玄関先でしばらくお話を伺うことができた。
「ストリートビュー」について存在は既にご存知だった。新聞で見たとのことで、インターネットは使っていて、Googleマップも知っているが、「ストリートビュー」はまだ試していないとのことだった。
図1、図3の画面コピーをお見せして感想をうかがった。ブログに掲載するという趣旨でお話をうかがったのだが、やはり、語っていただいたことをここに記すというのは気がひける。ここまで明確に家の場所を示した状況で、それを書くというのは、ご本人の同意を得ているにしても気がひけてしまう。
かといって、場所を示さずに、つまり、「ストリートビュー」を使わずにこの話を書いたのでは、「ストリートビュー」の実態を示すという目的が達成されない。これはやっかいなジレンマだ。
今回の方は、インターネットの利用者で、Googleマップもご存知という方だったからこそ、快く掲載の承諾を頂けたのだと感じた。もし、他の家で、インターネットも使ったことがない方だった場合には、どうなっていただろうか。そういう状況に備えて、イー・モバイル接続するノートPCを持参したので、何が起きているかを実物で説明することはできただろうし、感想を聞くことはできただろうが、否定的な感想を話される方ほど、ブログへの掲載には承諾を頂けないのではないかと予想する。やっかいなジレンマだ。
どうやればいいのかわからないが、「ストリートビュー」の視点と通常の通行人の視点の違いの実態は、もっと世間に明らかにされるべきだ。
Googleの撮影車がなぜこんなにも高い位置にカメラを設置しているかというのは、おそらく、低い位置では、車の屋根が視界を遮るために、画面を下に向けたときの写真に死角ができてしまうためだろう。しかし、対策は考えられる。たとえば、高い位置と低い位置にカメラを設置して、下向きの写真は上のカメラで撮り、横向きの写真は下のカメラで撮って、お得意の高度な情報処理技術で合成すれば、通行人視点の映像を死角なく生成できるのではないか。
先行して始まっていた米国では、これほどまでに狭い場所に入り込んでおらず、この角度が問題になることはなかったのだろう。それをそのまま日本に持ち込み、何が起きるのかを気にせず、対策をとらなかったため、こうなったのではないか。
ちなみに、類似の先行サービスである「LOCATION VIEW」では、視点の高さが低い(下には撮影車が映っている)し、ここまでの狭い路地には入り込んでいないようである。
訪ねた場所は本当に狭い道で、自動車が来たら人は止まって避けないといけないようなところだった。住人の車の通行しか想定されていないところだ。路地の入り口から見た写真は図6のとおりで、用もないのに入っていくのは気がひける場所だった。奥の方(図1で「北」に進んだところ)はさらに狭くなっており、「ここを通って行ったんですかね、よく通れましたね」とインタビューした家の方もおっしゃっていた。奥の方の塀も高さが2メートルほどあり、通行人の視点では窓は隠れていたが、「ストリートビュー」では窓が映し出されている。たまたまカーテンが閉まっているからよいものの、閉まっていなければ部屋の中が映っていただろう。
通信プラットフォーム研究会が一般公開されているのを最近になって知り、先週7日に開かれた第6回会合を傍聴してきたので、討議の様子を書き留めておく。
それまでの会合の議事録を事前に読んで行ったのだが、これほど大きな会合(たくさんの人に発言権があり、たくさんの人が傍聴するもの)とは予期していなかった。構成員だけに発言権があると思っていた(各回のヒアリング対象が「オブザーバー」として発言することもあると理解していた)が、そうではなく、「オブザーバー」(傍聴者のことではない)全員に発言権がある形式だった。「オブザーバー」の今回の出席者は、配布資料の座席表によると以下の通り。
ヤフー、モバイル・コンテンツ・フォーラム事務局、マイクロソフト、東日本旅客道、日本インターネットプロバイダー協会、テレコムサービス協会、情報通信ネットワーク産業協会、ジェーシービー、KDDI、グーグル、エヌ・ティ・ティ・ドコモ、エヌ・ティ・ティ・コミュニケーションズ、ウィルコム、インデックス、イー・モバイル、ACCESS
会合では冒頭、事務局から、「通信プラットフォーム研究会におけるこれまでの議論」と「通信プラットフォーム研究会における検討の方向性(第一次案)」について、配布資料に沿った説明があった。配布資料はそのうち研究会Webサイトで公開されると思われるので割愛する。
そしてすぐに自由討議に入った。以下は、私がとったメモから発言内容をまとめたものであり、発言者の趣旨を正確に再現できていない部分があるかもしれない。
1つは、先日の迷惑メール法改正の議論にもあったように、オプトインか、オプトアウトかという問題がある。弊社の事例で言えば、Windowsがハングアップした際に、クラッシュダンプをマイクロソフトに送信して、問題を起こしたコンポーネントを特定し、早くバグを修正するのに役立てているが、ダンプの中には文書データなど非常にセンシティブな情報も入っているので、これについては必ずユーザに、目的を説明し約束して、送ってもよいかの事前承諾をとるようにしており、これはオプトインという形である。一方、最近日本でも始まったGoogleストリートビュー、素晴らしいサービスだが、住所を打ち込むだけで車のナンバーがわかるというのはどうかという話があって、「問題があるものは消します」という対応をとられている。これはオプトアウトという形である。多くのユーザは約款等は読んでいないので、デフォルトがどうであるかが極めて重要であり、どうあるべきか一意に決まるものではないが、直感に反することがないようにするべき。
2点目は、事前規制か事後の問題解決かということ。個人情報の利用方法にはいろいろあり、様々な脅威が想定されるが、問題が起こってから手当てするのか、それとも問題が合理的に予期できる場合は先回りして検討するかは非常に重要な点である。
3点目は、国が研究会で決めていくのが良いのか、民間で決めていくのが良いのかという問題がある。EUは米国と違って非常にプライバシーに厳しいが、米国が緩いかというと、米国ではクラスアクションや消費者団体が積極的に活動していて、民民の手続きで事業者の規律が維持されている。たとえば、弊社の事例で言えば、2002年にWindows Media Player 9をリリースしたときに、個人のIDをデフォルトで送る設定になっていて、意図せずに送られるのは非常に問題があると、送らないようにと消費者団体から抗議されて、標準設定では送らないように設定を変更したことがあった。日本でも同様に、端末識別子の問題については携帯電話の方で議論されているところで、日本はセキュリティに関して甘い考えであり、このまま世界に出て行くのはリスクがある。
以上3点についてご検討いただきたい。
プライバシーマネージメントの問題もそうだが、IDが一旦流出した場合の被害は、連携していればしているほど被害が大きくなりかねない。異なる事業者に直接氏名情報が行かなければ、ID情報だけが行っていれば、被害はそのレベルでとどまるかもしれないが、連携のやり方次第では、アンダーグラウンドのところへ流れかねない。これまででも個人情報の流出は必ずあるわけで、利便性が高いところは不正に入手すれば非常に大きな利益になる。国際的な組織犯罪は今系統的にやろうとしており、一番弱いところで流れると、他ががんばっていても、その場合の被害は困ったことになる。特に、自分が変えたくないアイデンティティとリンクしたものが流れてしまったら非常につらい。最小限にする予防策や、事故が起きないという前提ではなく、起きたときに何が起きて、どんなペナルティを与えて、再発防止ができるかということも考えておく必要がある。
楠氏は国がどこまでやるのかということをおっしゃったが、同時に、事業者だけで連携をやって、利用者が選択してくださいというだけで本当にいいのか。プライバシーについて、国際的に言うと、利用者団体の方が先に取り組んでいる例があり、アメリカやイギリスなどのIDマネジメントの政策を議論するときは必ずそういうグループも入れた議論をしている。そういう点を検討して頂きたい。
また、地域に限定したプレイヤーが使いたいという場合にはたしてできるのか。決済について、非営利的な、NGOとかが寄付をといった場合がある。営利的な利用だけがIDを使うのではない。事業者だけでルールを決めることがよいのかは検討する必要がある。
また、トラブルにどう対処していくのか。
もうひとつは、いろいろなところと連携させることがうまくいくのかという懸念があり、他産業とのつながり、影響がどう及んでくるのか、ビジネス的にも、規制の適用がどうなるかという問題がある。プラットフォームのレイヤだけでなく、通信レイヤーとアプリケーションレイヤーとがうまく活性化するのか、考えておく必要がある。つまり、うまくつながるのかという問題もあるし、設備投資のインセンティブがあるかというのは簡単にいく話ではない。上と下のレイヤのインセンティブの拡大につながるような仕組みを考えないといけない。
たとえば、SNSでハンドルネームが一つしかつくれませんよという仕組みは、単なる携帯電話のユーザIDと同じようなものであり、そういうものが公開されただけのときの管理の話とは、違うのではないか。危険性を考える上では、IDと単に片付けるのではなく、IDが何を持っているかの危険性を議論して頂きたい。
また、インテルCPUの識別子についてもBIOS設定でデフォルトでオフになっている。IPv6でも同様の議論があり、temporary addressというものがあるが、これは、使い難くてプログラムを書くのが難しくなるため、弊社の中でも開発の人たちからこの仕様を捨てられないかと異論もあったが、ユニークなIDであっても、サイトを超えて同じものが流通することはプライバシー上問題があるというのが、国際的な通念になっていると理解している。
さきほど、個人情報の管理をしっかりすればという意見があったが、しっかりすれば保証できるとはまったく思っていない。クレジットカード番号と有効期限、これらだけからは個人が特定できないということで、番号の羅列だけだからと個人情報保護法の対象になっていない。
一消費者として言えば、全ての情報がひとつに集まるような、そのような仕組みは全く望まない。見たWebサイトの情報や、買い物履歴とか、全部一緒にどこかにあるというのは絶対に望まない。自分が信頼したサイトだけで残る、たとえば何を買ったとか、というのは良い。それを自覚的にやるのはいい。しかし、きちんとやると言われただけでどこかにたくさんの情報が集まって、複数の事業者間に渡って行くというのは、全く望まない。
望まないなら閉じれるようにしてほしい。むしろ、閉じられた状態から始まるようにして欲しい。一般の、とくに携帯電話は子供からお年寄りまで持つわけなのだから、よくわからない人をおいてけぼりにしないで頂きたい。ビジネスとしてマイナスであっても、利便性が低まっている状態をデフォルトにして頂きたい。
競争でという話がたくさん出てくるが、競争さえされれば消費者が良いものを選ぶという言い方がされるが、事業者にとっての公平性ばかりが言われていて、消費者から見て公正な競争が行われるためには、消費者が自覚的に選択できるよう、情報が理解できる形である必要がある。それで選択したら良いものが残るのであれば良い。そのためには、わかりやすいことが重要である。どのような危険性があるかの情報とセットであるべきであり、それをわかった上で自覚的に選ぶようになって初めて、公正な競争となる。
そういう視点がなければ、ここの論理だけで進められるのは非常に危険である。
また、会津先生の話ともからむが、捨て去る権利というのがなければ、万が一漏洩した場合に大変危ない。オプトインが望ましいという話があったが、契約書に判を押すのと違って、ネット上で同意するときは、ほとんど読まずに瞬間的に「はい」を押してしまうものだ。そうしないと先に進めないので。ネット上でオプトインをやるにしても、インフォームドコンセントのように十分な説明の上での同意ができないと、ひとつのIDでくくるというのは別のトラブルが起きる原因となるだろう。
国際競争力という話になってくるので、日本がこれから市場に出す技術は当然海外に胸を張って出せるものにすることが重要である。ハードルがやや高くても、研究開発投資を促して、中長期的に産業競争力になるという考え方もある。
IDと個人情報とをはっきりと切り分けることが重要。IDをひきまわすと情報をひっぱり出せるとあるが、必ずしもそれが必要ないタイプもあるので、レベル感も含めて検討する必要がある。IDと個人情報を一括りにすると面倒なことになる。適用すべき範囲をしっかりしていく必要がある。たとえば、OpenIDのようなものは、セキュアな課金体系には向かないといった議論がある。レベル感に分けて考える必要がある。
個人情報の取扱いについては、どういう情報をどこに配備するかの問題。個人情報といってもセンシティブなものとそうでないものがある。氏名だって社会的に認知されなければ識別情報としての機能を果たさないこともある。個別具体的に整理しないと、一般的に危険だという話にはならない。報道によるとここ数年で3500万件の個人情報の漏洩があったそうだが、どういう情報が漏れてどんなリスクが生じているのかあまり議論されずに、心配だ心配だと言われている。セキュリティの問題にせよ、個別具体的にどの情報がどうなったときにどうなるのか整理しないといけない。
IDの連携の話だが、リスクはあると思うが、大元のIDを持っているのは一社であり、クレジットカードで決済しているならその会社であり、それが流出した場合はそこで止めればそこから先には波及しないはず。クレジットカード情報がばらまかれたときに、電子的なものは大元のところがきちっとしていれば、情報漏洩があったとしてもそれで止める手段がある。リスクもあるが何か起きたときの対処方法もある。リスクばかりに目を向けがちだが、メリットにも目を向けていかないと、ほとんど海外のIDを使うことになってしまう。決済が外へ出て行くだけではないかと懸念している。
次に、資料6-4の29ページにある、携帯電話のユーザIDの一般サイトへの通知の仕組みのところについて。ちょっとネットを検索してみると、携帯電話の番号だけ入力すれば、お金払えば、個人情報全部教えますよというサイトが何社も出てくる。これが現実。あまり問題が起きていないというのであれば心配する必要はないだろうが、携帯電話のユーザ識別番号の通知が簡単にできるというのは、悪意を持った業者、あるいは不注意で、起きているトラブルというのは既にあるんじゃないか。あんまり心配しなくていいのか。
さきほど、実害なんて乏しいのではないかという話があったが、実際に漏洩した後で対応している弁護士の立場から言えば、カード番号だけでネットゲームに使われて事後策に走り回るなど並大抵なものではない。実害がないとかいうものではない。また、ネットバンキングで悪用の事件が起きており、その点でも、なんとかなるよとか、実害ないよとか、そんな甘い状態ではない。
たしかに、個人情報保護法で行き過ぎた面もあって、たとえば学校の名簿を作れないだとか馬鹿げた話もあるが、そういう話とセットにされて個人情報漏洩に実害ないという言われ方はいかがなものか。人間の心の中までつながったプライベートの情報、そこは切れるものは個人的に切っていきたい。利便性が低まってもいいので、選べる仕組みを作っていただきたい。
誰も最終解をわからないのではないか。一番いいのはどういう形なのかこれから考えていくことが重要。お金の流れを新しくするのがプラットフォーム。民間が考えていると思うけども、それを推してあげるのがこの研究会。
これからの将来に向けて何も決まっていない中で議論するときに、事前対応を厚くしてしまうのは、あるかもしれないリスクはあるが、それを考えていくことも重要だが、具体論で議論しないと、なんとなくで議論するのは避けたい。
Googleの村上社長が別の委員会で発言されて印象に残っているが、日本がグローバルな展開をするときに、日本だけが勝手に兎跳びしている。みんなは走って競争しているのに、日本は勝手に自己規制して、あれもやっちゃいけないだろうと自己規制していると感じていると。
情報セキュリティの政策会議にも出ているが、アメリカには事例があるが日本では市場が小さいために起こらないことが多々ある。そういうリスクについて、一生懸命考えてガイドラインを作ってしまうことがあるが、起こるかもしれないことと、実際に起こっていることとは分けて考えるべき。
決済とか課金とかが、ダイレクトにプラットフォームに入ると、金融システムの安定性、金融システムの規制とバッティングする。金融庁の話ということになる。オーバーラップする。政府としてはどう切り分けるのか。事業者はどうバランスをとるのか。
次に、5ページに、コンテンツアグリゲート機能と認証課金機能があるが、課金認証機能が強調されているが、コンテンツアグリゲートも将来的に重要になってくる。
今が世界で最も進んだネットワークを使っている国であるというアドバンテージを活かせるタイミングではないか。であれば、どういう危ないことがあるか、それはどうしても阻止しなければならないことなのか、それとも、利用者が順次学ぶことによってリスクを軽減することができる範囲のものなのか、仕分けをする必要がある。
予見できないから何もしないでいいということではなく、是非やっていただきたいのは、セキュリティの世界ではスレットモデリングという考え方がある。これをやったらこういう悪いことができるという。悪い具体的なシナリオに対しては、きっちり事前に措置をしていくことが最低限必要。論点の絞り込みとその実現手段を議論して頂きたい。
最後にプライバシーについて。確かに問題があるかもしれないが、日本のプライバシーに対する感覚は、アメリカ、イギリスとでは違うのではないか。日本では、マンションとかはまた違うかもしれないが、一戸建てでは名前を表札に書いている。名前まで。わざわざ自分の名前を公道に出しているわけだから、プライバシーなんて気にしていない。(会場苦笑。)それが、ネットの世界でだけ気にするというのはうーんどうかなと思う。(会場冷笑。)これは最近のフィルタリングのことを彷彿させる。有害情報、有害情報と声高に言われるが、たしかにそういうところもあるが、人によって有害無害と価値観が違うのだから、一人の学者さん、偉い学者さんの倫理観で縛るというやり方というのは、いかがなものかなと考えている。
感想:
Google日本法人の代表者は、「日本人は公道にわざわざ表札を出しているくらいでプライバシーなんか気にしちゃいない」としたうえで、プライバシー問題の話を、有害情報の話と対比させながら、「偉い学者さんの倫理観で縛るというやり方はいかがなものか」と言っていた。
私の理解では、日本ではこれまで、官による取組み、あるいは、事業者間の横並びによる倫理的自主規制によって、事前にリスクが避けられ続けてきたところがあり、そのおかげで、消費者達の間に「関係者にまかせておけば大丈夫、変なことにはならないだろう」という安心感が定着していて、そのため、米国のプライバシー擁護団体のような、プライバシーに関する組織立った声というものが表に出ていないのだと思う。
Google社には、プライバシーに対する懸念が、「偉い学者さんの倫理観」で言われているだけのものと認識されているようで、ずいぶんとナめられたものだなと思った。日本でもちゃんと嫌なことには市民が団結してNO!と声を出していくようにしないと、そろそろ古き良き時代にあったようなバランスは保たれないのではないか。