高木浩光＠自宅の日記

■ ローソンと付き合うには友達を捨てる覚悟が必要

当初3月末開始とされていた「LAWSON Wi-Fi」が、なぜか「当初の計画より事前テストに時間を要したため」として、遅れて4月6日から開始されたのだが、早速Twitterでこんな指摘が出ていた。

少なくともこういうのを「ログイン」と呼ぶのはやめて頂きたい。金融機関などでは、暗証番号に電話番号や誕生日を使うのをやめるよう利用者を啓発する活動にコストをかけてきたが、そうした労力を台無しにする。ローソンとしては、無料の無線LANを使わせるくらい、本人確認が甘くても自社の問題だから許されると思っているのだろうが、こういうやり方が社会に悪弊をもたらすことに気付いていないのか。

今回は、前回の日記で取り上げた「PASMOマイページ」の問題とは違って、「ログイン」で電話番号と誕生日を使用している。一般に、不正アクセス禁止法では、このような、IDと電話番号や誕生日の組み合わせで入らせるものは、アクセス制御機能に該当しないとしている*1のだから、こういうのを「ログイン」と呼ぶべきでない。

アクセス制御機能は、入力された「識別符号」を確認して利用制限の解除をするものと規定されており、電話番号や誕生日はこの識別符号に該当しない。識別符号の定義は以下の条文の通りとなっており、識別符号に該当するためには、「当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号」又はそれを組み合わせたものでなければならない。

2 この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得た者（以下「利用権者」という。）及び当該アクセス管理者（以下この項において「利用権者等」という。）に、当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号であって、次のいずれかに該当するもの又は次のいずれかに該当する符号とその他の符号を組み合わせたものをいう。

一 当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号

二 （略）

三 （略）

不正アクセス行為の禁止等に関する法律（平成11年法律第128号）

この規定は一般的な意味でのパスワードを条文で定義したものであり、いちいち管理者が「みだりに第三者に知らせてはならない」と注意書きしなくても、「パスワード」という語を用いていれば、社会一般の者が「パスワード」と言われればそのようなものと考える状況があるので、識別符号に当たることになる。電話番号や誕生日はそれに該当しない。

ところがである。試しにこの「ローソンアプリ」をダウンロードして、上の図1の画面を確認したところ、「利用規約」ボタンで表示される規約にとんでもないことが書かれていた。誕生日・電話番号をみだりに第三者に知らせてはならないとする規定があるのだ。

【利用停止について】
ローソンは、以下の場合に、事前に通知することなくお客様の利用を停止する場合があります。

1) 利用規約に定められている事項に違反した場合、またはそのおそれがあるとローソンが判断した場合。（略）

【禁止事項】
ローソンアプリの利用に際しては、以下の行為を禁止します。

1)（略）

10) 手段のいかんを問わず他人からIDや電話番号・誕生月日を入手したり、他人にIDや電話番号・誕生月日を開示したり提供したりする行為。

Ponta会員ローソンアプリ利用規約

なんと、他人に誕生日・電話番号を知らせたら規約違反だというのだ。加えて、他人の誕生日・電話番号を入手することも禁止だという。相手がPonta会員でなくてもだ。しかも「手段のいかんを問わず」という。

前回の日記の冒頭で、「僕らはいったいいつから誕生日を隠さなくちゃいけなくなったんだろう」と皮肉を書いたばかりだったが、とうとうローソンが本気で誕生日を隠せと言い出した。電話番号もだ。ローソンアプリを使う人は、友達を捨てる覚悟をしなくてはならない。

ローソンがこんな非常識極まりない利用規約を置いたのは、なりすまし被害が起きたときに、責任が自分の身に降り掛かってくるのを避けるためだろう。つまり、誕生日・電話番号の秘密管理を怠った利用者が悪いとするためにローソンはこの規定を置いたということだ。

仮に誕生日・電話番号がバレバレでも「Ponta ID」（Ponta会員ID）の方が秘密になっていれば大丈夫、と思われるかもしれないが、なんと、ローソンで買い物をしたときのレシートには、Ponta会員IDがそのまま印字されているという。

他にも、ローソンアプリで、一度ログインした人はそれ以降、トップ画面にPonta会員IDが常時全桁表示されるようになっている。

つまり、利用者にはPonta会員IDを隠せ、誕生日・電話番号まで隠せと言っている一方で、ローソン自身はPonta会員IDを隠そうともしない。

あまりにも身勝手なやり口ではないか。

ローソンが勝手にこんな規定を置こうが、社会通念からして、誕生日・電話番号は識別符号になり得ない。アクセス制御機能による利用制限があるとは言えない。なりすまし被害が出て、ローソンが警察に助けを求めても、取り合ってもらえるものではない。

それどころか、ローソンは逆に、警察に叱責・指導されることとなるだろう*2。なぜなら、不正アクセス禁止法には、「アクセス管理者による防御措置」という規定があり、アクセス管理者にも努力義務があるのだ。

（アクセス管理者による防御措置）
第五条 アクセス制御機能を特定電子計算機に付加したアクセス管理者は、当該アクセス制御機能に係る識別符号又はこれを当該アクセス制御機能により確認するために用いる符号の適正な管理に努めるとともに、常に当該アクセス制御機能の有効性を検証し、必要があると認めるときは速やかにその機能の高度化その他当該特定電子計算機を不正アクセス行為から防御するため必要な措置を講ずるよう努めるものとする。

不正アクセス行為の禁止等に関する法律（平成11年法律第128号）

Ponta会員IDを規約で識別符号扱いとしながらレシートに印字して隠さないというのは、何らの努力もしていないのが明白である。

ローソンとしては、Ponta会員IDをなりすまし使用されるくらい大した被害が出るわけじゃない（だからこれでいい）というつもりかもしれないが、そうであるなら、誕生日・電話番号の入力を取っ払って、身勝手な規約規定を撤廃するべきだろう。つまり、以下のような画面にしたらいい。

クレジットカード同様、損害をローソン側が補償するならこの方式でもよかろう。これで本当に大丈夫なのかは利用者が判断できる。

ところで、問題はこれだけではなかった。

このローソンアプリ、利用規約の「利用記録の保存」のところに書かれているように、IMEIを送信するものとなっている。（さらには、IMSIまで送信すると書かれている。）

昨年、AppleがUDIDの使用禁止を打ち出し、先月、App StoreでUDID使用アプリの拒絶を開始したというこの状況で、ローソンはIMEIやIMSIを送信するという。

• ご注意！ プライバシーへの懸念の高まりを受けてAppleはデバイスIDにアクセスするアプリを拒絶し始めた, TechCrunch, 2012年3月26日（原文記事は24日付）

  オンラインのプライバシー問題に関して議会がさらに厳しい視線を向ける中、Appleは今週からUDIDにアクセスするアプリを拒絶し始めた。UDIDというのはiPhoneとiPadに割り当てられた1台ごとに異なるデバイスIDだ。

  6ヶ月以上前からAppleはこの点についてiOS関連の文書中で、将来UDIDを無効にする予定だとしてデベロッパーに注意を喚起していた。 しかしプライバシー問題について議会やメディアの圧力が高まってきたことを受けてAppleはスケジュールを前倒ししたようだ。

• 公衆無線LANサービス「LAWSON Wi-Fi」本日開始, ローソン ニュースリリース, 2012年4月6日

  ＜当初、2012年3月末サービス開始とご案内しておりましたが、当初の計画より事前テストに時間を要したため、4月6日（金）サービス開始とさせていただきました＞

  「ローソンアプリ」（Androidのみ※4。iPhone端末には2012年5月ころ対応予定）をお持ちのスマートフォンにインストールし、（略）

ローソンアプリの今回の「LAWSON Wi-Fi」対応がAndroid版だけで、iPhone版については「5月ころ対応予定」となっているのは、UDID問題への対応に苦慮しているためではないかと疑われるが、そうであれば、やってはいけないとされていることをやっているという自覚があるはずで、あえて踏み切ったということなのか。

しかももっと悪いことに、送信されているのは、利用規約に書かれているIMEIとIMSIだけではなかった。実際に通信内容を確かめたという有志による報告によると、その他に、Android IDと、SIMシリアル番号まで盗っているという。

送信しているのは以下の情報だという。

• f1= 何かのトークン
• i1= Android ID
• h1= 機種名
• w1= MACアドレス
• c1= SIMのシリアル番号
• m1= IMSI（契約者識別番号）
• e1= IMEI（端末識別番号）
• l1= アプリのバージョン
• s1= 時刻

MACアドレスも送信しているが、これは公衆無線LANの自動接続機能を提供する限度で送信が許される（MACアドレスの本来の使い方*3）唯一のもので、それ以外の、Android ID、IMEI、SIMのシリアル番号、IMSIは全く必然性がない。（特に、IMSIは契約者識別番号であり、端末の情報ではなく個人の情報である。）

ここまで数々のIDを根こそぎに送信するアプリは初めて見た。取れるだけ盗っておけという調子で、悪質極まりない。

ローソンからすれば、できるだけ多くのIDを取得すればセキュリティ強化になるとでも言うのだろうが、こうした端末IDや契約者IDがセキュリティ強化の意味を成すのは、これらの値が秘密にされている場合であって、他のサイトやアプリで使用されていないことが前提となる。ローソンは、他人には秘密にせよと言う一方で、自分だけはIDを取って使うというわけだ。なんという身勝手な態度だろうか。

利用規約に書いてあれば何でも許されるわけではないことは、これまでに何度もあちこちで言ってきた。そこは省略するが、それ以前の話として、そもそも、この利用規約の記述も嘘偽りが混じっている。

【利用記録の保存】

お客様がローソンアプリを利用した際、サーバが自動的に、アクセス日時、IPアドレス、位置情報、クッキー情報、Ponta会員ID、IMEI（携帯電話の固体《原文ママ》識別番号）IMSI（SIMの識別情報）等のログ情報を記録します。

Ponta会員ローソンアプリ利用規約

ここで「サーバが自動的に記録」という記述があるが、この表現は元々、Webのアクセスログについてプライバシーポリシーに書くときの定型句で、Webブラウザが「自動的に」に送信してくる情報（ブラウザ名やOSバージョン、クッキー、IPアドレスなど）と日時を「自動的に」記録しますよという意味であって、送信自体はブラウザの仕様で決まっているものだった。そのこととIMEI、IMSIは異なる。IMEIやIMSIが自動的に送信されることなどない。

IMEIやIMSIの送信は誰の意図によって起きているのか。ローソンによってである。「ローソンの意図によって送信しますよ」ということが、この利用規約には書かれていない。「自動的に」などと、まるでひとりでに送信されるものであるかのような記述は、嘘偽りであり、まるで当然のことであるかのように利用者を錯覚させ、騙すものだ。

ちなみに、図1の画面で「プライバシーポリシー」のボタンを押した場合は、以下のWebページ（ローソンのプライバシーポリシー）が表示されるようになっているが、そこには、端末IDを収集することについて何ら書かれていない。

• プライバシーポリシー｜ローソン

  4．弊社は、お客様から個人情報を収集させていただく場合は、その個人情報を安全に送受信するため、Secure Socket Layer(SSL)というプロトコルにより暗号化して送信する環境を提供しております。また、弊社は、お客様より収集させていただいた個人情報を厳重に保管・管理し、第三者の不正なアクセスによる個人情報の漏洩・流用・改ざん等を防止するため、ファイアウォール設置・コンピュータウィルス対策、その他合理的なセキュリティ対策を講じています。

さらに、ここで引用したように、ボタンを押して出てくるローソンのプライバシーポリシーでは、SSLを使用していると明記されているが、ローソンアプリの図1の画面、つまり、Ponta会員IDと電話番号と誕生日は、SSLなしで http:// で送信されているのである。ローソンとしては、「これらは個人情報に該当しない」とでも言うつもりだろうか。会員に対しては人に開示するなと言っているのに？

しかも、「LAWSON Wi-Fi」の無線LANは、WEPすらかかっていない平文通信である（図7）*4。よって、パッシブな傍受だけでこれらの情報はすべて見えてしまう。何百メートルも離れた場所から。*5

ところで、話はこれだけではない。

図1に見えているように、この「LAWSON Wi-Fi」のインターネット接続サービスを提供しているのは、株式会社ワイヤ・アンド・ワイヤレスだという。

そのプライバシーポリシーを見て仰天した。

個人情報保護の適用範囲

当社の提供するサービスにおいて当社が取得し、管理する個人情報は、以下のとおりとします。

• お名前、郵便番号、住所、電話番号、性別、生年月日など
• ID、パスワード、メールアドレス、通信履歴（位置情報含む）、クレジットカード情報、その他の課金情報、信用情報

株式会社ワイヤ・アンド・ワイヤレス | プライバシーポリシー

通信履歴を使うようなことが書かれている。続きを見ると次のように書かれている。

個人情報の利用目的

当社が提供するサービスを通じて取得した個人情報は、次の目的の為に利用させていただきます。

• （略）
• 当社アクセスポイントの緯度経度情報による情報提供を行うため。情報提供サービス事業者に対して、当社アクセスポイントの設置情報にもとづいた端末の接続地域情報の提供を行います。ただし、個人を特定する情報（個人情報）の提供は行いません。
• ご契約者の年齢、性別、及び過去の行動履歴による情報提供を行うため。情報提供サービス事業者に対して、ご登録頂いた情報にもとづいた年齢、性別の情報、及び過去の行動履歴情報の提供を行います。ただし、個人を特定する情報（個人情報）の提供は行いません。

株式会社ワイヤ・アンド・ワイヤレス | プライバシーポリシー

これは違法ではないのか？

「情報提供サービス事業者」などとぼかして書かれているが、広告会社のことではないのか。なぜわざわざ「情報提供」「情報提供サービス事業者」などとぼかして書くのか？ 「行動履歴による情報提供」というのは、行動ターゲティング広告のことではないのか。通信履歴を広告に使っているのではないのか？

「個人を特定する情報（個人情報）*6の提供は行いません」と書かれているが、統計情報に加工しているという意味なのか、それとも、端末ID（又はそのハッシュ値等）に紐付いた情報としてという意味なのか。「過去の行動履歴による情報提供」に使うのならば、端末IDに紐付いた情報ということ（そうでないと使えない）ではないのか。

例のごとく、端末IDに紐付けられた履歴情報は「個人を特定する情報」を含まないので「個人情報」ではない（つまり個人情報保護法の対象外だ）と言っているつもりなのかもしれないが、通信の秘密においては、「個人を特定する情報」か否かは関係ない。誰が通話しているか知らないままであっても電話を盗聴（電話会社の回線で）したら犯罪である。

ワイヤ・アンド・ワイヤレスが提供する公衆無線LANサービスが、電気通信事業者の取り扱い中に係る通信に該当するのは明らかであろう。電気通信事業法では、電気通信事業者自身による通信の秘密侵害をより重く処罰するとしている。

第百七十九条 電気通信事業者の取扱中に係る通信（第百六十四条第二項に規定する通信を含む。）の秘密を侵した者は、二年以下の懲役又は百万円以下の罰金に処する。

2 電気通信事業に従事する者が前項の行為をしたときは、三年以下の懲役又は二百万円以下の罰金に処する。

3 前二項の未遂罪は、罰する。

電気通信事業法（昭和59年法律第86号）

アクセスポイントへの接続記録（プライバシーポリシーでは「アクセスポイントの設置情報にもとづいた端末の接続地域情報」と書かれているが）が通信の秘密に該当するかに議論の余地があるだろうか？ 携帯電話における基地局単位の履歴が当然に通信の秘密に該当することの類推からして、アクセスポイントであっても同様であろう。「行動履歴」というのは何のことか？ 通信の秘密を侵して取得する情報ではないのか？

通信履歴を広告に用いることは、正当業務行為に当たらず、通信の秘密を侵するものであることは、2010年5月に公表された総務省の「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会 第二次提言」で、DPI広告の文脈で次の通り書かれている。

（略）ISPによるDPI技術を活用した行動ターゲティング広告の実施は、パフォーマンスの高い広告を配信することや、そのために利用者の嗜好を把握することを目的としており、ISPによる電気通信役務（電気通信設備を用いて利用者をインターネットに接続させる役務）にとって、必ずしも正当・必要なものとは言い難く、正当業務行為とみることは困難である。

このように、DPI技術を活用した行動ターゲティング広告の実施は、利用者の同意がなければ通信の秘密を侵害するものとして許されない。（略）

利用者視点を踏まえたICTサービスに係る諸問題に関する研究会 第二次提言, 総務省総合通信基盤局電気通信事業部消費者行政課

ここで「利用者の同意がなければ」と書かれているが、プライバシーポリシーに書いてあればそれで利用者の同意があることになるかというと、そうではない。総務省の第二次提言には次の通り書かれている。

通信当事者の同意がある場合には、通信当事者の意思に反しない利用であるため、通信の秘密の侵害に当たらない。もっとも、通信の秘密という重大な事項についての同意であるから、その意味を正確に理解したうえで真意に基づいて同意したといえなければ有効な同意があるということはできない。一般に、通信当事者の同意は、「個別」かつ「明確」な同意がある必要があると解されており、例えば、ホームページ上の周知だけであったり、契約約款に規定を設けるだけであったりした場合は、有効な同意があったと見なすことは出来ない。（略）

利用者視点を踏まえたICTサービスに係る諸問題に関する研究会 第二次提言, 総務省総合通信基盤局電気通信事業部消費者行政課

ローソンアプリには、「LAWSON Wi-Fiのインターネット接続サービスは、株式会社ワイヤ・アンド・ワイヤレスの提供によるものです」とは書かれているものの、このワイヤ・アンド・ワイヤレスのプライバシーポリシーを確認する手段は用意されておらず、一切の同意の手順が踏まれていない。

もっとも、ワイヤ・アンド・ワイヤレスが本当に通信履歴を情報提供目的で第三者提供している事実が既にあるのかは定かでない。利用しますとプライバシーポリシーに書いているだけで、まだやっていないとか、「LAWSON Wi-Fi」についてはやっていないとか、そういった可能性はある。この点は、取材して尋ねてみないとわからない。

しかし、仮にまだやっていないのだとしても、違法なことをする場合があるとするプライバシーポリシー自体、如何なものか。

同様のことは、3月1日から適用となったGoogle社のプライバシーポリシー改訂においても、世界中で問題視された。Googleのプライバシーポリシーでは、「Googleが収集する情報」に「電話のログ情報（お客様の電話番号、通話の相手方の電話番号、転送先の電話番号、通話の日時（略））」が含まれていて、その利用目的は「収集した情報の利用方法」に列挙されているすべてに可能性がある。これでは電気通信事業法違反ではないかと非難する声が挙った。

この「電話のログ情報」は、聞くところによると、Androidで収集しているのではなく、Google Voiceによるもののことを指しているらしい（そして、その利用目的は、Google Voiceサービスを実現するためのごく一般的な利用らしい）のだが、グーグル自身がそれを公表することがなかったため、報道がそれを伝えることはなかった。

その結果、2月29日に総務省と経済産業省が異例の「グーグル株式会社に対する通知」を出した。そこには次のように書かれている。

通知内容は以下のとおりです。

・統合されたプライバシーポリシーに従ってサービスを提供する際には、利用目的の達成に必要な範囲を超えた個人情報の取扱いや個人データの第三者への提供を行わないとともに、利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合や個人データを第三者に提供する場合にはあらかじめ本人の同意を取得するなど、個人情報についてその適切な取扱いが図られるよう、個人情報の保護に関する法律（平成15年法律第57号）を遵守することが重要であること。

・電気通信事業法（昭和59年法律第86号）における通信の秘密の保護等に関する規定を遵守するとともに、利用者に対してプライバシーポリシーやサービスに関して分かりやすい説明をしていくことが重要であること。（略）

グーグル株式会社に対する通知, 総務省, 経済産業省

電気通信事業法違反の疑いがあるとは書かれてないものの、通信の秘密の保護規定を遵守せよと、言うまでもないはずのことをあえて通知したわけである。

同様のことは、ワイヤ・アンド・ワイヤレス社のプライバシーポリシーに対しても通知するべきではないのか。

さらに言うと、ワイヤ・アンド・ワイヤレス社の親会社であるところの、KDDI株式会社のプライバシーポリシー（のうち、電気通信事業分野における個人情報の取り扱い）はもっと酷いことになっている。

このことについては、前田勝之さんが1月から2月にかけて、KDDIに問い合わせたり、総務省電気通信消費者相談センターに問い合わせて、問題提起していた。以下にその記録がある。

• 広告配信のために通信履歴を利用するとするKDDIのプライバシーポリシー(0), サーバ管理者日誌, 2012年1月25日
• 広告配信のために通信履歴を利用するとするKDDIのプライバシーポリシー(1), サーバ管理者日誌, 2012年1月27日
• 広告配信のために通信履歴を利用するとするKDDIのプライバシーポリシー(2), サーバ管理者日誌, 2012年1月28日
• 広告配信のために通信履歴を利用するとするKDDIのプライバシーポリシー(3), サーバ管理者日誌, 2012年2月6日
• 広告配信のために通信履歴を利用するとするKDDIのプライバシーポリシー(4), サーバ管理者日誌, 2012年2月7日
• 広告配信のために通信履歴を利用するとするKDDIのプライバシーポリシー(5), サーバ管理者日誌, 2012年2月8日
• 広告配信のために通信履歴を利用するとするKDDIのプライバシーポリシー(6), サーバ管理者日誌, 2012年2月9日
• 広告配信のために通信履歴を利用するとするKDDIのプライバシーポリシー(7), サーバ管理者日誌, 2012年2月10日
• 広告配信のために通信履歴を利用するとするKDDIのプライバシーポリシー(8), サーバ管理者日誌, 2012年2月12日
• 広告配信のために通信履歴を利用するとするKDDIのプライバシーポリシー(9), サーバ管理者日誌, 2012年2月14日
• 広告配信のために通信履歴を利用するとするKDDIのプライバシーポリシー(10), サーバ管理者日誌, 2012年2月18日

  昨日17日、KDDIが問題のプライバシーポリシーを改定したことを知った。先だって、2月8日に、改定をすることになったという連絡を頂いていたのだが、実際の改定が意外に早かったのに驚いた。

前田さんの追求によって、KDDIは2月17日にプライバシーポリシーを改訂している。改訂内容は、それまで「広告の表示および配信に関する業務」に利用する個人情報として、「契約者および利用者の通信開始/終了時刻・通信時間・通信先番号等通信履歴に関する情報」を含めていたのを、その業務から外したというものであった。*7

しかし、前田さんも指摘しているように、この改定後も、通信履歴を「サービスのご利用状況を調査・分析して情報を提供する業務」及び「アンケート調査に関する業務」、「利用促進等を目的とした商品、サービス、イベント、キャンペーンに関する業務」に利用するということになったままである。これらの利用は「個別かつ明確な同意」がない限り違法ではないのか？

KDDIのような日本の基幹的電気通信事業者が、いくらなんでも電気通信事業法違反を犯すはずがないと、普通はそう思うところだ。

しかし、日本IBMの記事によると、どの国の話かわからないが、昨今、携帯電話会社では以下のようなことに関心が集まっているという。

• IBM テクノロジーの起点：第6回 「ビッグデータ」実践編, 日本IBM（掲載日不明）

  ――企業の経営陣は、どのような観点でビッグデータの活用を検討するとよいでしょうか？

  野嵜：いきなり「ビッグデータを活用すべきだ」と言われてもピンと来ないかもしれませんが、既存のデータであっても、観点を変えることによって新たな発見が得られる可能性があるということをお伝えしたいと思っています。

  ある海外の電話会社さんでは、通話料金の計算に使用していた通話履歴に実はいろいろなビジネスのネタが入っていそうだということに気づかれました。そして、従来、3年分保持していた通話記録を10年分に増やし、Hadoopの基盤を導入し、顧客の行動パターンを調べるようになりました。料金計算以外のビジネス価値を見出したからこそ、新たな基盤が必要になったのです。

  ――これまでと次元の違うことをしているのだと理解する必要がありそうですね。

• 顧客との接点は「ビッグデータ」にある - ビッグデータ活用のススメ, 日本アイ・ビー・エム ソフトウェア事業 インフォメーション・アジェンダ事業部ICP 野嵜 功氏, 日経ITpro, 田島篤, 2012年1月30日

  ところが最近は「通話履歴を捨てるのはもったいない」と言われ始めた。通話履歴は、いつ、どこで、だれがだれに通話したというデータだ。なので、例えば、従来は昼間に電話することが多かったのに、最近は夜間に電話するようになった、ということがわかる。この場合は、転職して行動形態が変わったのかもしれないし、ひょっとしたら持ち主は携帯電話を落としてしまい、別の人が拾って使っているのかもしれない。不正に使われると、電話会社は課金することができないので、売上減になる。そこで、不正利用を素早く把握するのに通話履歴を使おうとし始めている。

  また、だれがだれに電話したというデータなので、それをグラフ化すればソーシャルグラフが描ける。そうすると、ある人が基点になって周囲に頻繁に電話している、といったこともわかる。その人を中心にしたコミュニティの存在を把握できる。周囲への影響を考えると、その人が電話会社を変えないことは重要である、といった事柄が察知できるわけだ。

  こうしたことから携帯電話会社は、3カ月で通話履歴を捨てていたのは間違いだったととらえている。5年でも10年でも保存しておいて、ソーシャルグラフを活用してビジネスに活用すべきだ、と認識を改めている。通話履歴が単なる「課金用のデータ」から、「行動履歴、ソーシャルグラフ用のより重要なデータ」に変質したわけだ（注1）*8。

日本でこれをやったら違法だ。KDDIは本当にこういうことをやっていないのか。プライバシーポリシー上はこういうことができることになっている。

総務省は、Googleのプライバシーポリシー改訂に対してあのような「通知」を出すのなら、KDDIのプライバシーポリシーに対しても同様の「通知」をするなりして、適切なプライバシーポリシーに改めさせるべきではないか。

追記（9日）

以上のことは、なにも私だけが言い出したことではない。皆がおかしいおかしいと感じたことだ。Twitterでの様子は以下にわかり易くまとめられた。

• ローソンWi-Fiが誕生日と電話番号を誰かに伝えることを禁止！ @akiko_lawson @Ponta_now @wi2_300, Togetter, 2012年4月9日

■ ID番号は秘密ではない。秘密でないが隠すのが望ましい。なぜか。

俺、実は今日が誕生日なんだ……。

僕らはいったいいつから誕生日を隠さなくちゃいけなくなったんだろう。はてなにもmixiにもGREE*1にもニセの生年月日で登録した*2自分がいる。Facebookの友達にも生年月日を明かさない設定にしている。プライバシーやセキュリティを啓発する立場の者が生年月日を明かすだなんて、匿名主義者達の嘲笑の的にされかねない。そして気付いてみれば、誕生日を祝ってくれるのは、両親とほんの数人の身近な友人だけになっていた。

先月、スマホアプリのプライバシー騒動の件で立て続けてにいくつもの取材を受けた*3が、決まって聞かれるのは、「利用者が気をつけるべきことは何でしょうか」という問いであった。

これに対して私が答えたのはこうだ。「利用者が何か気をつけなくてはならないようではいけない」と。つまり、事業者が解決すべきことであって、本来は、利用者に重大な注意義務が課されるような社会は間違っている。私はそのように述べた。

類似の話は10年前、Webアプリの脆弱性を巡ってもあった。2002年1月に出版された「セキュリティマガジン」（翔泳社）第2号で、「危険なサイトから身を守れ 個人情報を漏洩するサイトを見極めるには」という記事が書かれたが、この中で私は、クロスサイト・スクリプティング（XSS）脆弱性を解説しつつ、「使用を終えたらログアウトするようにし、ログイン中に他のサイトを見に行かない」という、利用者側の対処策を示してる。しかし、今ではこんなアドバイスはしない。

当時はそう言わざるを得ない状況があった。事業者らの間に、脆弱性は直すのが当然という空気はなく、放置されっぱなしの状況であった。今ではそうではないだろう。脆弱性は直すものという文化は、この10年で醸成されてきたと思う。

この歴史を振り返ると、利用者側の自衛策が強調されすぎると、それを事業者側が脆弱性を直さない言い訳に使い出すという現象がしばしば見られた。例えば、10年前では、Internet Explorerに脆弱性が発見されたときに、Microsoftは、それを直さない理由として「怪しいサイトに行かなければいい」という主張をすることがあった。今はもうそんなことは言わないだろう。

ネットで生年月日を晒さないようにというアドバイス*4が出回るようになったのは、誰が始めたものなんだろうか。先日のPASMOの件でも、パスモ社の「停止センター」の係員*5は、生年月日や電話番号をFacebookなどに載せることについて、「それは申し訳ございませんが、もう、ご自身での個人情報の取り扱い責任となりますので」と言った。

パ： （略）パスモとしては、こういったマイページ、会員登録というサービスをご提供している以上、会員登録できてしまうような情報をすべて、お客様が皆様が閲覧できるような場所にお載せしてしまっている場合には、それ以降の他者に閲覧されてしまったことについて、私どもとしてはちょっと責任を負いかねてしまうんですけども。

ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか, 2012年2月26日の日記

まるで匿名主義者達のような言い草だ。

その後パスモはこのサービスを停止することになるが、これを伝えたINTERNET Watchの記事も、最後のところで、次のように利用者向けのアドバイスをしている。

• 「PASMO」の履歴を他人に見られる仕様を見直しへ、照会サービス一時停止, INTERNET Watch, 2012年3月2日

  なお、PASMO以外の他の地域で提供されている交通系ICカードでも、インターネットで履歴を照会できるサービスを提供しているところも多い*6。カード保有者は、使っているサービスの仕様を確認しておいたほうがいいだろう。また、カード番号を他人に知られることのリスクを認識し、自身のカードをしっかり管理する必要がある。

この手の記事では最後に利用者の自衛策を紹介するのが定石とはいえ、利用者の自衛策として隠すことを教えるというのは、事業者が利用者に責任を擦り付け、ずさんなサービスを続ける言い訳を許すことになる。カード記載のID番号を隠すのが当然という空気になれば、そういうずさんなサービスを今後もさらに増やすという事態になるだろう。

そんなふうにID番号を隠さなければならないというのは、そういう社会の方が間違っている。（ただしクレジットカードだけは別格。）

このことは、今まさに法案が提出されたばかりの、税と社会保障の番号制度で導入されようとしている「個人番号」にも共通することである。

同じ性質の番号として既に住民票コードがある*7わけだが、住基ネットが開始された2002年当時、住民票コードを本人に通知するための葉書について、番号が透けて見えるとする苦情が相次いだという報道があった。

• 住基ネット：通知はがきの番号が透けて見えると苦情がやまず, 毎日新聞, 2002年8月15日

  住民基本台帳ネットワークシステム（住基ネット）で、住民票コードを通知するはがきの番号が透けて見えるとの苦情がやまない。隠したはずの番号が、光線にかざすと透けて見えるという通知はがきは、相当な数に上っているようだ。しかし、自治体の大半は「郵便局員しか見ない」と特別の対策を取らない方針で、個人情報保護をめぐる自治体の意識の低さを問う声も出ている。

住民票コードはこのように、隠さないと危ないという世論が先行したが、いったいなぜ隠さなければならないのか。

もし、住民票コードが、パスモの今回のケースのように、本人確認の鍵として使われているサービスがあるのであれば、住民票コードを秘密に保って死守しないといけない（クレジットカード番号のように）が、そういうサービスが存在するのか否か。10年前に住民票コードが透けて見えると騒いでいた人たちは、なぜ隠す必要があると思ったのか。

このことは、これから始まろうとしている行政番号制度の「個人番号」にも問われることとなる。今回の「個人番号」は、納税者番号として用いるものであるため、「見える番号」とも言われる*8ように、本人が頻繁に紙に書いて使うことが想定されている。鍵として秘密に保つことは不可能なものである。

この行政番号制度の法案に「強く反対する」と会長声明を出した日本弁護士連合会は、その声明で、「「なりすまし」などのプライバシー侵害*9が多発する可能性が予想される」と非難している。日弁連は、昨年7月の「社会保障・税番号大綱に関する意見書」で次のように指摘していた。

「共通番号」制度が先行しているアメリカや韓国における共通番号制の弊害面（個人情報の統合やなりすまし被害など）について大綱においてようやく言及がなされたが（14〜15頁）、弊害が生じた理由やその対応策・実効性などについて、政府はいかなる調査・検討を行っているのか定かでない。大綱では、具体的な調査・検討の形跡が見られないが、そのような段階で「共通番号」制を検討することは、将来的に重大な被害をもたらすおそれが極めて高い。

セキュリティレベルを高めれば、アメリカや韓国のような弊害は起きないといった考えは、誤りである。

社会保障・税番号大綱に関する意見書, 日本弁護士連合会, 2011年7月29日

ここで指摘されている、アメリカや韓国のような弊害（なりすまし被害）というのは、ようするに、ID番号（Social Security number、住民登録番号）を今回の「PASMO履歴照会サービス」のように使うことによって起きたものである。

PASMOの乗車履歴程度であれば、必要とする誰かのために盗んだID番号を売買するといった事態にまでは至らないだろうが、社会保障や税の分野で用いるID番号となると、その用途によっては、なりすまし目的でのID番号の窃取やID番号の売買といったことが起きて、深刻な社会問題となるだろう。

そこで、今回国会に提出された法案「行政手続における特定の個人を識別するための番号の利用等に関する法律案」では、第12条で次のように規定することによって、そのようななりすましの発生を防止している。

（本人確認の措置）
第十二条 個人番号利用事務等実施者は、前条第一項の規定により本人から個人番号の提供を受けるときは、当該提供をする者から第五十六条第一項に規定する個人番号カードの提示を受けることその他その者が本人であることを確認するための措置として政令で定める措置をとらなければならない。

行政手続における特定の個人を識別するための番号の利用等に関する法律案

これは大綱では「「番号」のみで本人確認を行うことの禁止」と書かれていた部分（p.35）に対応したもので、私はこの大綱の記述に対して、昨年のパブリックコメントで以下の意見を提出していた。

意見5. 「「番号」のみで本人確認をしてはならない。」との記述は、「「番号」を本人確認の手段としてはならない。」と改めるべき

「何人も、著しく異常かつ激甚な非常災害への対応等特別の理由がある場合をのぞき、「番号」のみで本人確認をしてはならない。」とあるが、これは、「番号」は「見える番号」であり、広く様々な事業者で業務上取り扱われる符号であって、秘密情報とはならないことから、「番号」が正しいことをもって本人確認とすることは、米国におけるSSNや韓国における住民登録番号の利用形態の実情のように、なりすましの温床となる（p.15参照）ことから、このように書かれたものと推察する。

しかし、大綱のこの記述では、「「番号」のみで」となっていることから、例えば、「番号」と基本4情報のみを用いる方法（「番号」と対応する基本4情報が一致することをもって本人確認とする方法）は禁止されていない。これは、「番号」を本人確認に用いるものであり、従来において基本4情報の提示だけでは本人確認として足りない場面において、「番号」を追加することによって本人確認として足りるとするのであれば、それは、「番号」によるなりすましの温床を生むものとなる。

よって、「「番号」のみで本人確認をしてはならない。」との記述は、「「番号」を本人確認の手段としてはならない。」と改めるべきである。

社会保障・税番号大綱に対するパブリックコメント提出意見, 2011年8月7日の日記

これは、まさに、今回の「PASMO履歴照会サービス」のようなID番号の使い方が登場してくることを懸念したものであった。

「生年月日は秘密にしなくてはいけないのか？」と問えば、係員は「ID番号は他人に知られないはず」と答え、「ID番号は他人に知られ得る」と問えば、係員は「生年月日など個人情報の管理はお客様の責任」と返してくる。

行政番号制度においても同様の事態が起き得るわけで、法案はそれを防止するため、「その者が本人であることを確認するための措置として政令で定める措置をとらなければならない」と規定した。*10 *11

別途政令で定めることになっているので、政令がどのようなものとなるのかまだ不明であるが、パスモ社の係員のような言い訳を許さない規定を置くことが必要である。*12

ところで、以前から経団連が（経済同友会も？）、この行政番号制度に対し、個人番号の民間利用をさせろという意見を言い続けている。法案は、行政手続の目的での利用しか許しておらず、それ以外では、「何人も、他人に対し、個人番号の提供を求めてはならない」（13条）と定めているからだ。

しかし、彼らはいったいどういう民間利用を求めているのか、いまだに明らかにされない。この点について、日経新聞が2月26日の社説で次のように彼らの代弁をしていた。

• 社説 「役立つ番号制度」の原点を忘れていないか, 日本経済新聞, 2012年2月26日

  この法案では一人ひとりの役に立つ番号制度ができるのか、心もとない。野田政権が国会に出した「個人を識別するための番号の利用に関する法案」のことだ。

  （略）

  民間の利用を当面、認めないのも問題だ。法案は、施行後の法見直し時に検討するとしている。それでは遅すぎないか。公共料金の支払い、引っ越しの手続き、金融取引などに番号をうまく活用する仕組みと、情報漏洩を防ぐための対策を合わせ技で確立するために、国会審議では海外の先進事例も参考に法案を修正してほしい。

公共料金や引っ越しの手続きになぜ「個人番号」が必要となるのか意味不明だが、もしや、今回の「PASMO履歴照会サービス」のようなやり方をしたいと言っているのだろうか。そんなのは言語道断であり、絶対に許してはならない。

ID番号を本人確認用途に使ってしまうというのは、パスモの事例に見られるように、放置しているとやってしまいがちなことである。米国や韓国の個人番号を用いたなりすましの被害（「identity theft」と呼ばれる）とはそうして起きたものであり、こうした歴史に学んで、日本では番号制度の実現をこれまで慎重にしてきたわけだし、今回の法案では行政手続き目的以外の使用を禁止して防止しているわけだ。

この点、日経新聞の社説は、「情報漏洩を防ぐための対策を合わせ技で確立」と条件付けしているが、これは、行政番号制度に伴って交付される予定のICカード（法56条の「個人番号カード」）を用いることを言っているのだろうか。

しかし、今回の法案では、個人番号の目的外利用は厳格に禁止される。何人も目的外での使用は無条件に禁止され、「個人番号の提供を求めてはならない」と規定される。*13

（提供の求めの制限）
第十三条 何人も、第十七条各号のいずれかに該当して特定個人情報の提供を受けることができる場合を除き、他人（自己と同一の世帯に属する者以外の者を言う。第十八条において同じ。）に対し、個人番号の提供を求めてはならない。

行政手続における特定の個人を識別するための番号の利用等に関する法律案

個人番号（ID番号）は秘密情報でないという前提が理解され、法第12条が規定する本人確認措置が遵守されるならば、個人番号の提供を求めてもなりすましの被害は起きないはずなのに、なぜこの規定があるのか。

この規定をなりすましの防止をさらに強化するための二重規定（念のために追加された規定）と誤解する人が少なくないと予想するが、これはなりすまし防止の規定ではない。プライバシーの問題を引き起こさないという、なりすましとは別の問題を解決するために必要な規定である。

どういう問題のことかというと、スマホにおけるUDIDやIMEI、ガラケーにおけるケータイIDの問題と同じである。広範な用途で共通して使われる唯一無二のID番号は、名寄せやブラックリスト等のプライバシーの問題をひきおこす。

まだしも携帯電話のID番号であれば、電話を買い足すとか解約して再契約するといった方法で、複数の番号を使い分けることができるが、国家が住民に与えるID番号となると、そういったごまかしができなくなるという点で強力すぎる。

また、入店お断りのブラックリストの作成などに使われる懸念もあるところ、従来であれば、携帯電話を持っていない人がいる以上、分野によっては携帯電話のID番号を使ったブラックリスト運用が事実上できなかったところ、行政番号制度が始まれば、全ての住民が必ずこのID番号を持っていることになる（悉皆性）ので、それが可能になってしまい、やはり強力すぎる。

こうした強力すぎるID番号であるからこそ、今回の法案は、第13条で、何人も他人に対し個人番号の提供を求めてはならないと規定することで、この問題を回避しているわけだ。*14

同様の規定は、住民票コードにもあり、これまでも住民基本台帳法で次のように定められてきた。*15

（住民票コードの利用制限等）
第三十条の四十三 　市町村長その他の市町村の執行機関、都道府県知事その他の都道府県の執行機関、指定情報処理機関又は別表第一の上欄に掲げる国の機関若しくは法人（以下この条において「市町村長等」という。）以外の者は、何人も、自己と同一の世帯に属する者以外の者（以下この条において「第三者」という。）に対し、当該第三者又は当該第三者以外の者に係る住民票に記載された住民票コードを告知することを求めてはならない。

２ （略）

３ （略）

４ 都道府県知事は、前二項の規定に違反する行為が行われた場合において、当該行為をした者が更に反復してこれらの規定に違反する行為をするおそれがあると認めるときは、当該行為をした者に対し、当該行為を中止することを勧告し、又は当該行為が中止されることを確保するために必要な措置を講ずることを勧告することができる。

５ 都道府県知事は、前項の規定による勧告を受けた者がその勧告に従わないときは、都道府県の審議会の意見を聴いて、その者に対し、期限を定めて、当該勧告に従うべきことを命ずることができる。

住民基本台帳法（昭和四十二年七月二十五日法律第八十一号）

個人番号の「提供の求めの制限」もこれと同等であり、いわゆる第三者機関であるところの「個人番号情報保護委員会」に勧告、命令の権限が与えられ、命令に違反すると2年以下の懲役又は50万円以下の罰金となっている。

（勧告及び命令）
第四十六条 委員会は、特定個人情報の取扱いに関して法令の規定に違反する行為が行われた場合において、特定個人情報の適正な取扱いの確保のために必要があると認めるときは、当該違反行為をした者に対し、期限を定めて、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。

２ 委員会は、前項の規定による勧告を受けた者が、正当な理由がなくてその勧告に係る措置をとらなかったときは、その者に対し、期限を定めて、その勧告に係る措置をとるべきことを命ずることができる。

３ 委員会は、前二項の規定に関わらず、特定個人情報の取扱いに関して法令の規定に違反する行為が行われた場合において、個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該違反行為をした者に対し、期限を定めて、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を命ずることができる。

罰則
第六十八条 第四十六条第二項又は第三項の規定による命令に違反した者は、二年以下の懲役又は五十万円以下の罰金に処する。

行政手続における特定の個人を識別するための番号の利用等に関する法律案

日弁連の会長声明は、「なりすましなどのプライバシー侵害」などと奇妙な表現を使っていたが、なりすましはセキュリティの問題であって、番号制度で生じかねないプライバシーの問題はなりすましとは別のところにある。そのことを日弁連の声明や意見書は書けておらず、いまだにこの問題の理解が乏しいことを示しており、遺憾である。（もっとも、国会提出法案ではこの問題は解決済みであるが。）

マスコミの報道や社説も、いまだに番号制度に対する懸念として情報漏洩のことを挙げるしか能がなく*16、周回遅れも甚だしい。

というわけで、ID番号は秘密にすべき情報ではない。他人に知られるとなりすましの被害に遭う番号ではない。そのように社会の側が構成されているべきである。しかし、ID番号が目的外で使用されたり、事業者をまたがって広範に共通して用いられる場合には、プライバシーの問題が生じてくる。そのため、消費者は、安易にID番号を提供することは避けるよう注意した方がいい。*17

我々が、ネットに自分のID番号を含む写真やログデータなどを掲載するときは、ID番号部分を隠す処置を施すことが多い。例えば、MACアドレスやUDID、IMEIを含むデータを掲載する場合などだ。実際のところこの処置は必須ではないのだが、たいていそうしている。そうする理由は、(1)万が一どこかにそのID番号でなりすましを許してしまう欠陥サービスがあった場合に備えた、念のための警戒として、(2)万が一どこかでそのID番号でトラッキングされている場合に、それが自分だとバレないようにするため、この2点である。

特に、他人のID番号を掲載する場合は、隠す処置を施すのは必須であろう。どこかで、そのID番号が誰のものであるか知っている者（本人以外の）がいる可能性があるからだ。

だが、それを見て勘違いしてもらっては困る。パスモの係員のように、「ID番号は隠すのが当然」と勘違いして、ID番号でプライバシー情報を閲覧できるような欠陥サービスを生み出してはならない。

■ パスモは乗車履歴を第三者提供？ 他社のビッグデータに取り込まれる可能性

前回の日記の続き。

あの後、パスモ社の担当者と何を話したかというと、同社の個人情報保護方針に反しているのではないかという点と、個人情報保護法に違反しているのではないかという点であった。

電話する前の時点では、「乗車履歴自体は個人情報ではない*1」という見解も出るかな*2と予想していたが、担当者は、前回の最後の部分で示したように、あっさりと個人情報だと認めたため、そこは論点にならなかった。

まず追求したのは、利用目的の明示。

個人情報保護法は、第18条で、個人情報を取得したときは速やかにその利用目的を本人に通知又は公表しなけれなばらないと定めており、その例外として、「あらかじめ利用目的を公表している場合を除き」としている。記名PASMOを作って利用を始めると、乗車履歴をパスモ社ほかに取得されることになるが、その乗車履歴が、このような形で利用されることについて、本人への通知や公表がなされているかという点。

駅で配布されている冊子「PASMOご利用案内」のp.12に、「PASMO履歴照会サービス」がある旨が書かれているので、そういうサービスの用に供するという利用目的はいちおう公表されていると言えるが、しかし、誰に乗車履歴を見せるものか（第三者にも見せるものか）ということは、冊子に書かれていない。（この点は、次の論点に続く。）

次に追求したのは、第三者提供の有無。

個人情報保護法は、第23条で、基本的に、あらかじめ本人の同意を得ないで個人データを第三者に提供してはならないと定めており、その例外として、同条第2項で、オプトアウトできるようにしているならば、そのことを事前に本人に通知するか、本人が容易に知り得る状態に置いているなら、本人の同意なく第三者提供してもよいとしている。

今回の場合、あれは第三者提供なのか。直感的に見れば、まさか第三者提供ではあるまいと普通は思うところだが、「マイページ停止センター」なるもの（要するにオプトアウト手段）が発足当初から用意されており、電話で尋ねてみても、第三者が閲覧することがあることを承知で、しかもそれを当然のものとして事業を継続していることから、故意による（意図した）第三者提供に当たるのではないかと、私は問いかけた。

それに対し、担当者は、当初は渋っていたものの、最終的に「第三者提供という方に倒れる」と認めた。なぜそうなるかというと、この「PASMO履歴照会サービス」は、本人以外によるアカウント作成を利用規約でも禁止していないからである。つまり、本人以外が使うことを想定したそういう仕様のサービスであるとみなせるのではないか。

ただ、「マイページ利用規約」は、第5条で「当社は、第1号及び第2号の確認*3をすることにより、当該手続きを行った者を当該記名PASMOの使用者とみなし、承認手続きを行う。」と規定していることから、さすがにその解釈も無理があるのではとも言える。

次は、安全管理措置義務。

個人情報保護法は、第20条で、取り扱う個人データの漏洩防止ほかの安全管理に必要かつ適切な措置を講じなければならないと定めている。

もし、今回の件が第三者提供ではないとするなら、事実上、第三者にも提供している現状は、安全管理措置義務違反ということになる。一方、第三者提供とするならば、安全管理措置義務違反ではないということになる。

電話で、「他人が使えるのはそういうサービスなんだと言えば、第三者提供になり、そうじゃなく本人しか使えないようにしているつもりだと言うんであれば、安全管理措置義務違反ということになる。どっちですか？」と尋ねたところ、担当者は「第三者提供という方に倒れるのかなと理解しますが」と答えた。

ちなみに、パスモ社の個人情報保護方針では、「第4条 当社は、法令等に基づく場合を除き、事前に本人の同意を得ることなく、個人情報を第三者に提供しません。」とだけ規定している（個人情報保護法23条2項に相当するものがない）ので、自社の個人情報保護方針には反していることになる。ただ、これは単に個人情報保護方針の出来がいい加減なだけ*4で、改正される余地があるのかもしれない。

上でも述べたように、第三者提供は直ちには違法ではない。オプトアウト手段を用意して、そのことを事前に本人に通知するか、本人が容易に知り得る状態に置いているならばである。「PASMO履歴照会サービス」の現状は、「事前に本人に通知」はしておらず、あとは、「本人が容易に知り得る状態に置いている」と言えるかどうかにかかってくる。

この点について検討すると、パンフレットやWebサイトに「マイページ停止センター」が存在することの記述はあるものの、それが第三者提供の停止手段であるとまでは説明されていないので、違法状態であると考えられる。

この違法状態をどう解消するかと尋ねたところ、担当者は、「やはり告知しかないでしょうね」と答えた。

つまり、パスモ社が今回の件を「告知」で解決するのであれば、これは、パスモ社による乗車履歴の第三者提供であるということが公式に確定することになる。

となると、どういうことになるか。

PASMO番号と氏名生年月日を知り得ている第三者が乗車履歴を閲覧してよいというのであれば、前回の日記で例として出てきた「タイムズクラブ」のように、鉄道事業者以外でPASMO番号を集めている事業者らは、乗車履歴を取得してよいことになってしまう。

これは、近ごろ流行の「ビッグデータ」、つまり、インターネットに散在する非構造化データを収集して「ビッグデータ」として自社の経営最適化のために活用するという、最近の風潮にとって、おあつらえ向きではないか。*5

そんなばかな！と思われるかもしれないが、実際、最近のビッグデータの宣伝記事を見ていると、「SNSなどインターネットに散在する非構造化データを集めて」といった類いの記述を散見するわけで、そこでは、よそのサービスから情報を集めて活用することが謳われている。

• “ビッグデータ”を生かせない本当の理由, ＠IT情報マネジメント, 2012年2月24日

  具体例としてKDDIのケースを挙げる。

  同社では既存の顧客データやソーシャルメディア上のテキストデータを基に、顧客1人1人の趣味・嗜好や、クチコミのつながり、購買までの経験価値などを分析。着メロなどオンライン販売商品の開発やプロモーション、解約の抑止などに生かしている。*6（略）

  これにより、各顧客の趣味・嗜好を精緻に把握するとともに、インターネット上における顧客のネットワークも分析。自社のプロモーションに影響を与え得る消費者コミュニティを特定し、さらに“クチコミが伝播するプロセス”も分析して、コミュニティの中心的な存在である「リーダー」、他の消費者に影響を与える「インフルエンサー」、仲間の行動を後追いする「フォロワー」など、インターネット上における顧客の“役割”を把握。顧客1人1人に適切なアプローチを施すことで、良好な関係の維持や効率的な拡販、連鎖的な解約の防止などを実現しているという。

  さらに、Web 上の顧客の行動データを収集し、既存の顧客データや購買データなどと統合して分析できる製品も活用。顧客の関心事や、製品・サービスに対する期待、購買までのプロセスなどをきめ細かく分析することで、あるべき顧客体験価値を把握し、マーケティング活動の立案に生かしている。（略）

  昨今、消費者のプロファイルやソーシャルメディア上のテキストデータから消費者の行動を分析し、消費行動パターンを予測して次のマーケティングアクションにつなげる“コンテキスト志向コンピューティング”が注目されている。KDDIの事例はまさしくこれに当てはまるものだが、（略）

「PASMO履歴照会サービス」が乗車履歴の第三者提供ということになれば、このビッグデータに乗り遅れまいとする様々な業種の事業者達が、こぞって乗車履歴の収集に手を出すのではないか。ビッグデータ事業者お得意のWebスクレイパーボットを使うことで、自動的に「PASMO履歴照会サービス」から乗車履歴を収集することができるだろう。

そのような収集は適法なのかという論点はあろう。個人情報保護法は、第17条で、偽りその他不正の手段により個人情報を取得してはならないと定めている。しかし、他人のPASMOの履歴を閲覧するのは「不正アクセス行為」かというと、そうではない。

「PASMO履歴照会サービス」で、他人のPASMOのIDiを入力してアカウントを取得した場合、そのアカウントの利用権者はそのアカウントを作成した人（カードの利用者というわけではない）であり、自分で作ったアカウントにログインするのは不正アクセス禁止法違反に当たらない。他人のPASMOのIDiを入力することも同法違反でない。なぜなら、PASMOのIDiは同法の「識別符号」に該当しないからである。

他人のPASMOでアカウントを作ること自体が何かの法に触れるかというと、利用規約違反なら触れるかもしれないが、利用規約で禁止されていないし、今は、「PASMO履歴照会サービス」が乗車履歴の第三者提供ということになればという仮定の下での話であるので、合法である。*7

いやいやいやいや、そんなことが許されていいのか？

たしかに、個人情報保護法では、オプトアウト手段を用意して、そのことを本人が容易に知り得る状態に置いているならば、無断で第三者提供できるとされている。それが嫌ならそういうサービスを使わなければいいという趣旨だろう。

しかし、記名PASMOというのは、首都圏の私鉄を通勤通学に使用する人にとって、定期券として作らざるを得ない、避けて通れないものである。そのような、社会の重要インフラである鉄道において、その乗車履歴の第三者提供がオプトアウト方式で許されるというのは、著しく社会常識に反するのではないか。

同様のことは、電気通信事業者における通信履歴についても言える。個人情報保護法では、一般論として、オプトアウト方式で個人情報の第三者提供ができるとされているが、個人情報の内容が通信履歴に当たる場合には、電気通信事業における個人情報保護に関するガイドラインがそれをオーバーライドする形で、本人同意なしの第三者提供を禁じている*8。同様に、電気通信事業に係る位置情報についても、このガイドラインで本人同意なしの第三者提供を禁じている。

ならば、公共交通機関における乗車履歴はどうなのか。

国土交通省告示の「国土交通省所管分野における個人情報保護に関するガイドライン」を読んでみたが、乗車履歴に関する特記事項は見当たらない。

これでいいのか？ というのが私の言いたいことだ。

電気通信における「通信の秘密」の歴史は古くて長いのに対し、交通機関における「乗車履歴」なるものは、そもそも事業者側で記録されるようになったのは、Suicaが登場して以降の最近のことであり、「公共交通機関における乗車履歴の秘密は保護されるべきもの」とする社会通念が認知されていないのではないか。国土交通省のガイドラインにこれが記載されていないのは意外だった。

なんとなくの常識感で言えば、乗車履歴が本人同意なしに他社と共有されるなどというのは、あり得ない話と思っていたが、今日の「ビッグデータに乗り遅れるな」の流れの中では、そういうぼんやりした常識はいつの間にか通用しなくなる虞れがある。

やはり、国土交通省所管分野における個人情報保護に関するガイドラインで、公共交通機関における乗車履歴は、（電気通信事業における通信履歴と同様に）本人同意なしでの第三者提供を禁じるべきだと思う。

そうしなければ、やがて、乗車履歴のデータエクスチェンジなどといった話も出てきかねないだろう。（データエクスチェンジについてまた機会を改めて。）