高木浩光＠自宅の日記

■ 「個人情報」定義の弊害、とうとう地方公共団体にまで

現行個人情報保護法の「個人情報」の定義に不備があることを、これまでずっと書き続けてきた。「どの個人かが（住所氏名等により）特定されてさえいなければ個人情報ではない」（のだから何をやってもよい）とする考え方がまかり通ってしまいかねないという危機についてだ。

2003年からはRFIDタグ、2008年からはケータイIDによる名寄せの問題を中心に訴えてきたが、当時、新聞記者から説明を求められるたび、最後には「被害は出ているのでしょうか」と、問われたものだった。当時は悪用事例（不適切な事例）が見つかっておらず（表沙汰になるものがなく）、これが問題であるという認識は記者の胸中にまでしか届かなかった。

それが、昨年夏から急展開。スマホアプリの端末IDを用いた不適切事案が続々と出現し、それぞれそれがなぜ一線を越えているか説明に追われる日々になった。スマホの端末IDの問題は米国でも顕在化したことで、AppleがUDID廃止に動き、この問題への理解はようやく広まった。今では、この業界で堂々と「個人が特定されていなければ個人情報でない」を持ち出す人は少なくなったのではないか。

近ごろでは、さらに進んで、「統計情報なので（無断で収集しても）問題ない」という言い訳が聞かれるようになってきた。例えば、4月27日のNHK総合テレビ「情報LIVEただイマ！」でも、以下の説明がなされていた。

• 不況ニッポンの救世主！？クーポン新時代, 情報LIVEただイマ！, NHK総合テレビ, 2012年4月27日

  不思議！？グッドタイミングで届くクーポン

  （略）行動履歴とは、私達が通販サイトのどのページで、何を買ったのかという、いわば「ネット上での足跡」です。通販サイト運営側などには、私達の行動履歴が蓄積されていきます。この行動履歴を分析する事で、ユーザーが便利に感じるサービスを提供できると言うのです。（略）

  ただし、（略）番組で紹介した行動履歴の分析は個人を特定出来ないようにグループ化したデータを分析しています。個人情報保護法に触れたり、個人のプライバシーを侵害する情報の分析は紹介していません。

これは言っていることがおかしい。「個人を特定出来ないようにグループ化」したというのに、いったいどうやって、その個人に届けることができるというのだろう？

行動履歴を収集する事業者の間で、「個人を特定できない暗号化をしています」とか、「個人を特定できないよう統計化しています」といった、根拠不明な宣言が目立つようになってきた。それらは本当に個人特定ができないものなのか？

そしてとうとう地方公共団体の首長までもがそれを持ち出すようになってしまった。

「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものですので、匿名の貸出情報の公開は個人情報には当たりません。 RT @(cont) tl.gd/hadesn

— 武雄市長 日本ツイッター学会長　樋渡啓祐さん (@hiwa1118) 5月 7, 2012

• 図書館貸出情報の扱い、ご安心ください！, 武雄市長物語, 2012年5月6日

  ユーストでも言いましたが、「貸出情報は個人情報には当たらないというのは僕の持論」。皆さん、個人情報ってどういうものなのか、一度まとめてみますね。（略）

  そうなんです。法令においては、「特定の個人が識別することができるもの」となっているんですね。

  では、論点の図書館の貸出履歴が、個人情報に当たるかというと、ちょっと具体的に言うと、「樋渡啓祐が「深夜特急」「下町ロケット」「善の研究」を5月６日に借りた。」この情報が外部に出るとこれは個人情報の関係法令の適用に当たる、これは当然。

  僕が言っているのは、「５月６日２０時４０分、４２歳の市内在住の男性が、「深夜特急」「下町ロケット」「善の研究」」を借りた。」ということそのものについては、個人が特定できないし、仮にこれが外部に出ても法令に照らし、全く問題がない、これが僕の見解であり、図書館の貸出履歴は、これをもとに、個人情報に当たらないって言っているんです。

これを「リコメンドにあてたい」とのことだが、個人を特定できないようにしたのに、どうやってその個人にリコメンドするのか。

たとえ法令上の個人情報に該当しない（という解釈が可能）としても、まずはそれを個人情報（と同等）とみなしたうえで、それをどう保護するか、どう利活用するかを検討するべきところを、どうしてこうも真っ先に「個人情報でない」としてしまいたがるのだろうか。ルールの箍が外れた時点で、恣意的にどうとでもできてしまいかねない危うい事態となってしまうではないか。

真面目に取り組んでいらっしゃる事業者の方から個人識別性について質問を受けたことがあるが、そのとき私は、「いっそのこと（法の言う）個人情報と同等にみなして扱えばいいのでは？ それで何か困ることがありますか。」と答えたことがある。（実際、既にそのようなプライバシーポリシーを掲げている事業者もある。）

総務省も、2年前の「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」の第二次提言で、個人識別性と行動ターゲティング広告の関係について、

配慮原則の対象となる情報は、特定の端末、機器及びブラウザ等（以下「端末等」という。）を識別することができるものとする。対象情報は、個人情報保護法上の個人情報であるか否かを問わない。

利用者視点を踏まえたICTサービスに係る諸問題に関する研究会第二次提言, 総務省, 2010年5月26日

とした上で、「配慮原則」として、(1)広報、普及・啓発活動の推進、(2)透明性の確保、(3)利用者関与の機会の確保、(4)（以下略）を挙げている。

このような捉え方は、米国の消費者プライバシー権利章典でも以下のように、スマホの端末IDに紐付けられた履歴情報などを明確に「personal data」と位置付けており、今後の主流となっていくはずだと思う。

The Consumer Privacy Bill of Rights applies to commercial uses of personal data. This term refers to any data, including aggregations of data, which is linkable to a specific individual. Personal data may include data that is linked to a specific computer or other device. For example, an identifier on a smartphone or family computer that is used to build a usage profile is personal data. This definition provides the flexibility that is necessary to capture the many kinds of data about consumers that commercial entities collect, use, and disclose.

しかし、日本の個人情報保護法上は、端末ID等は、「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの」に該当しないとされており、「個人情報」ではないことになってしまう。（総務省の「第二次提言」は単なる提言にすぎない。）

このように狭く規定された定義は、10年前にこの法律が制定された際に、民間の事業の自由に配慮したためと言われている。これは、行政機関個人情報保護法ではこの部分が「他の情報と照合することができ、それにより特定の個人を識別することができることとなるもの」と「容易に」の要件がなく、広めに定義されているのと対照的である。行政機関はそれだけ責任が重いということでもあろう。

対して、地方公共団体ではどうかというと、それぞれの独自の個人情報保護条例に従うことになるわけだが、「個人情報」の定義が自治体によって異なり、大別して3種類存在する*1ことが判明している。

照合可能型

「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの（他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。」（千代田区の例）
（行政機関個人情報保護法と同等のもの）（多数派）

容易照合型

「生存する個人に関する情報であって、特定の個人が識別され、又は識別され得るもの（他の情報と容易に照合することができ、それにより、特定の個人を識別することができることとなるものを含む。）をいう。」（千葉市の例）
（民間と同等としたもの）

照合除外型

「個人を対象とする情報であって、特定の個人が識別することができるものをいう。」（武雄市の例）
（照合性の括弧書きが欠如している）（少数派）

武雄市の定義は、照合によって「特定の個人を識別することができることとなる」場合を含むとの括弧書きが欠けているため、民間向けの「個人情報」定義よりもさらに狭く、民間よりもフリーダムなものになっている。この定義を採用している地方公共団体は他にもあるが、全国でもかなりの少数派のようである。

こんなバラバラの個人情報保護条例でいいのか？という問題提起が、昨今、番号制度に係るシンポジウムの席などで、鈴木正朝先生から度々指摘されている。鈴木先生の著書にはこれについて以下のように述べられている。

個人情報保護法制において、個人情報概念は、行政規制の対象（保護の対象）となる情報の範囲を画定する基本用語であると同時に、法の適用の有無を決する重要な機能を担っている。個人情報の定義がこのように微妙に異なっていることに積極的意義は見出しがたい。自治体クラウド、医療クラウド、その他官民にわたる広域的な情報ネットワークを流通する個人情報を法的に規律するうえで阻害要素の1つになっている。基本概念は統一し、必要があれば保有個人情報などの別の用語で調整することで十分に対応可能であろう。法技術的な問題であるが、その背景には個人情報保護法の理論的基礎のあいまいさがある。

（略）

自治体クラウドの場合は、47都道府県と1747の市区町村ごとに異なる個人情報保護条例に対応していかなくてはならない。合計1794に分立した地方議会ごとに個人情報保護条例が制定されている現状は、さながら国内におけるデータ越境問題であり、ベンダ等に対してその法的対応コストを過剰に強いている面がないわけではない。

（略）本格的な情報ネットワーク時代に入り莫大な情報化投資が予想される今日、再度根本から問い直す必要がある。

（略）それぞれの主体の中で個人情報が完結的に取り扱われるという前提が崩れ、官民シームレスに情報が流通し得る分野が登場してきた今日、個人情報保護法制上の基本用語の統一はもとより、その法理論の統一を図っていかなければならない。

「クラウド・コンピューティングの法律」第5章「個人情報保護法制とクラウド」, 鈴木正朝, 2012年2月発行

照合除外型がなぜ生まれてしまったのかは不明である。何らかの配慮があって民間よりフリーダムなものに規定したのか、それともミスの部類なのか。

そもそも、市区町村に個人情報保護条例を独自に規定して運用するだけの専門性のある人材がいるのか怪しいという話も、プライバシー法制研究者の間では度々語られている。

そういう状況で浮上してきたのが、今回の、図書館の貸出履歴の扱いである。

個人情報保護法上の扱いは別として、日本法において、パーソナルデータやプライバシーデータの保護は、その情報の取得手段ごと、また、その情報の種類ごとに継ぎ接ぎで、部分的に特別に保護されている状況となっている。

取得手段ごと

• 電気通信事業法、電波法、有線電気通信法による通信の秘密の保護
• 刑法168条の2（不正指令電磁的記録に関する罪）によるスパイウェアからの保護
• 不正アクセス行為の禁止等に関する法律による不正アクセス手段からの保護
• 他……（未整理）

情報の種類ごと

• 刑法第134条（秘密漏示罪）による医療情報の保護
• 他……（未整理）

網羅的でないが上記のように整理して、取得手段で見てみると、電気通信事業法では、どんな情報であれ盗聴した時点で違法であり、その内容が特定の個人が識別されるものか否かは関係ない。「DPI広告」について総務省の第二次提言が整理したように、もし利用者の同意を得てDPI広告をやるというのであれば、「個別かつ明確な同意である必要がある」*2とされているし、不正指令電磁的記録の罪の観点からも、スマホアプリがそれに該当するときは、盗む情報に特定の個人が識別される情報が含まれているかは関係なく、欺瞞的なアプリ実行のさせ方が問題となる。

また、これらでは、取得の手段が違法である限り、いくら取得したデータを統計化するなどしてプライバシーに配慮した情報に加工して活用すべく努力したとしても、許されるものではない。

対して、図書館の貸出履歴はどうなのかというと、図書館法には貸出履歴の秘密に関する規定はないのだという。

図書館法に規定がないとなると、「同意があればやっていい」というときの「同意」はどの程度のものになるのか。通信の秘密においては、「個別」かつ「明確」な同意である必要があるとされ、「ホームページ上の周知だけであったり、契約約款に規定を設けるだけであったりした場合は、有効な同意があったと見なすことは出来ない」とされているが、図書館の貸出履歴においても同様のことを求めることができるのか。

少なくとも、民間の購買履歴を扱っているTポイントカードでは、利用者の同意は「個別」かつ「明確」なものでは全然なく、単に契約約款に規定があるだけであり、人々のほとんどは、何が行われているのか知らないまま、Tポイントカードを店で提示しているのが実態と思われる。*3

類似の話は、公共交通機関における乗車履歴について2月27日の日記で書いた。鉄道事業法に乗車履歴の秘密に関する規定はなく、国土交通省告示の「国土交通省所管分野における個人情報保護に関するガイドライン」にも乗車履歴に関する特記事項は見当たらない。これは、乗車履歴が事業者側で記録されるようになったのが、Suicaが登場して以降の最近のことであるため、追いついていないのではないか。

一方の図書館はといえば、長い歴史があるわけで、なぜ法令に規定されていないのか私にはわからないが、「図書館の自由に関する宣言」というものがあるらしいことを、（それまで関心がなく知らなかったが）一昨年になって知った。ここで次のように宣言されている。

第3 図書館は利用者の秘密を守る

読者が何を読むかはその人のプライバシーに属することであり、図書館は、利用者の読書事実を外部に漏らさない。ただし、憲法第３５条にもとづく令状を確認した場合は例外とする。

図書館は、読書記録以外の図書館の利用事実に関しても、利用者のプライバシーを侵さない。

利用者の読書事実、利用事実は、図書館が業務上知り得た秘密であって、図書館活動に従事するすべての人びとは、この秘密を守らなければならない。

図書館の自由に関する宣言, 日本図書館協会

これは法令ではなく協会の宣言にすぎないわけだが、業界の自主的ガイドラインとして機能し、それがこれまで非常に良く機能していたために、図書館法にあえて貸出履歴の秘密の保護を規定するまでもなかったということだろうか。

そうした、いわゆる「soft law」（法的拘束力を持つ「hard law」ではない）による規律というものが、果たして日本で機能するのかが問われるところ、今回の武雄市の事案では、首長が以下のように主張している。

• 図書館貸出情報の扱い、ご安心ください！, 武雄市長物語, 2012年5月6日

  僕はね、一言も法令を無視するとも「図書館の自由に関する宣言」を無視するとも言っていないんですね。そもそも、この図書館の自由に関する宣言がまたくせ者。「図書館の自由に関する宣言」「図書館員の倫理綱領」に反する、という意見も見られましたが、中身そのものも僕は話にならないと考えている。まぁこれはいろんな人のいろんな考えがあるでしょう。問題はこの宣言の立ち位置。この宣言は日本図書館協会という図書館関係者の「部分社会」（法学用語）の宣言で、一般社会には法規性は何らないんですよね。

「ビッグデータ」が叫ばれ、こういう状況までもが出てくるようになった今となっては、もはや、立法措置によるちゃんとした法規制が急務ではないだろうか。特に、武雄市の個人情報保護条例は民間よりもフリーダムなものになっている点でまずい。

海外の図書館のことは私は門外漢でわからないが、専門家によると、図書館や読書について特別にプライバシーを保護する規制が見られるとのこと。

ちなみに武雄の図書館Tカード読書プライバシー問題、『デジタルコンテンツ法制』3章でも触れた通り米では電子書籍を含む読書プライバシー法(SB602、カリフォルニア)が制定されるなど、国際的に読書履歴は普通の個人情報よりずっと規制厳しいです。 takagi-hiromitsu.jp/diary/20120504…

— Naoto Ikegaiさん (@ikegai) 5月 7, 2012

個人的には図書館Tカードみたいな官民連携はどんどん進めてほしいと思うけど、これはさすがに穏当に進めるには相応の制度的措置が必要な領域かなあと思う。書籍じゃないけど連邦法ではVideo Privacy Protection Actもご参照。 en.wikipedia.org/wiki/Video_Pri…

— Naoto Ikegaiさん (@ikegai) 5月 7, 2012

なお日本ではあまり話題になってないけど米国の読書プライバシー問題は最近ではグーグルブックサーチで盛り上がったのでした。多分CDTのこちらが一番論点が明確かな。カリフォルニア読書プライバシー法制定(2011)はこの騒動の影響。 cdt.org/copyright/2009…

— Naoto Ikegaiさん (@ikegai) 5月 7, 2012

ちなみに先の米ビデオプライバシー保護法(1988)は今でも結構重要で、最近だとフェイスブックのビーコン騒動ではシステムに乗ったビデオレンタル大手のブロックバスターが同法違反で訴えられたりしてます。結局破綻しちゃいましたが。 computerworld.com/s/article/9078…

— Naoto Ikegaiさん (@ikegai) 5月 7, 2012

米国では最近ではこういう「情報別」プライバシー立法の機運が強くて、ビデオの他にも読書情報、位置情報、電力情報などなど。最近はFTCが顔写真含む生体認証に注目中。この傾向が続くと（EU系のオムニバス方式に対置される）「セクトラル方式」という呼称自体少々再考が必要になってくるかも？

— Naoto Ikegaiさん (@ikegai) 5月 7, 2012

P.S.

私にできることはここまでです。ここから先は私の役割ではないと考えています。必要だと思われる方々で行動して頂くほかありません。昨年夏以来、次々と登場する事案に、私的な時間のほとんど全てを費やしてきましたが、そろそろ限界を感じています。「もしここで自分が書かなかったら」「そのままスルーになってしまうのではないか」そういう想いでこれまで走り続けてきました*4が、いったいいつまで続くのでしょう。私個人の行動ではなく、社会の仕掛けによってこれまでの各種問題が解決されていくようになっているべきです。欧州や米国に見られるような仕組みが早く日本にも確立されることを願ってやみません。

関連：「［解決への道］プライバシーコミッショナー制度を確立せよ - 法制度面から見たビッグデータ時代のプライバシー」, 日経コミュニケーション, 2012年3月号

■ 武雄市長、会見で怒り露に「なんでこれが個人情報なんだ！」と吐き捨て

「日本ツイッター学会（自称）」会長兼「日本フェースブック学会（自称）」会長の、武雄市長（佐賀県武雄市）が、武雄市の市立図書館で、CCC（カルチャー・コンビニエンス・クラブ）と提携して、Tポイントカードを導入するとの構想を発表した。

• 武雄市とカルチュア・コンビニエンス・クラブ株式会社の武雄市立図書館の企画・運営に関する提携基本合意について, CCC カルチュア・コンビニエンス・クラブ株式会社, 2012年5月4日
• ツタヤ運営企業に図書館委託 佐賀県武雄市, 共同通信, 2012年5月4日
• 図書館の運営、ツタヤに委託 佐賀県武雄市, 中国新聞, 2012年5月4日

  図書館の利用カードはCCCのポイントカード「Tカード」へ切り替える。Tカードは若い世代に普及しており、図書館を使わない人が多いとみられる若年層を呼び込む狙いがある。本を借りた人へのポイント付与も検討する。

午前の発表と夕方の記者会見の録画がUSTREAMで公開されている。

• 武雄新図書館構想発表記者会見, 2012年5月4日11時
• 武雄市とカルチュア・コンビニエンス・クラブ株式会社の武雄市立図書館の企画・運営に関する提携基本合意について, 2012年5月4日17時

夕方の会見では、USTREAM/Twitterからの質問も受けてもらえるとの情報があったので、早速、私からも以下の4点の質問を出した。

1. 図書カードをTポイントカードに置き換えるとのことですが、Tポイントカード以外を選択することはできるようにされるのでしょうか。
2. Tポイントカードで図書を借りたとき、借りたという情報はCCCに提供されるのでしょうか。
3. 図書館で初めてTポイントカードを作ることになる市民に対して、Tポイントの利用規約への同意は、図書館を利用する市民の全てに強制することになるのでしょうか。
4. 武雄市長は、Tポイントの利用規約「T会員規約」で、利用者の購買履歴が、記録されてCCC以外の事業者に提供される規約になっている事実をご存知ですか。（はい/いいえ）

これを会場で拾って頂くことができ*1、以下のように扱われた。（2つ目のUSTREAM映像の39分57秒あたりから。）

質問代読者：CCCさんのカードの契約と図書館法との整合性はこれから検討することになると思うが、何点かそこらへんに関して質問が来ています。まず一つ目ですが、図書カードをTポイントカードに置き換えるとのことだが、Tポイントカード以外を選択するということはできるのでしょうか。

武雄市長：？・？・？

質問代読者：ようするに今の図書館カードのまんまでもいいんでしょうか。

武雄市長：（略）基本的には来年の4月1日までにね、作業の遅れとかない限り、Tポイントカードに僕は完全に移行したい、というふうに思っています。

質問代読者：（略）では二つ目ですが、Tポイントカードで図書を借りたときに、借りたという情報はCCCに提供されるんでしょうか。

武雄市長：（CCC担当者を見つめる）

CCC担当者：そこはまだ決めていません。

武雄市長：ああ、ただね、ひとこと言うと、これね、今までね、これ個人情報だって名の下にね、全部廃棄してたんですよ。なんで本をね、借りるのが個人情報なのか、って僕なんか思いますので。じゃあどこまでいくかは別にしてね、で、僕はそれを元にしてリコメンドを出したいんですよ、リコメンドを。例えば、杉山さんがこういう本を借りましたとしたときにね、今度借りたときにピッと4月20日までに返してくださいと出るじゃないですか、今度のお奨めはこの本ですとかって、いうふうにしたいんで。

映像1：武雄市長が「何で本をね、借りるのが個人情報なのか」と声を荒げる様子*2

質問代読者：そこはあれですよね、市民の同意の上でですよね、

武雄市長：そうですもちろん市民の同意の上です。ですので、そういう意味で僕はもう、元々、何を借りたかっていうのは、なんでこれが個人情報だ！って思ってるんで、それも、まこれね、文科省と調整が必要とするかもしんないんでね、ただまあ僕の意見は意見として伝えていきたいと思いますし、で、これは市民の皆さんに対しての同意、同意が必要ですこれは。これは出してくれるなとかっていうことについてはそれは、ちゃんと、ね、配慮する必要があるだろうなと思います。

映像2：武雄市長が「何を借りたかっていうのは、何でこれが個人情報だ」と吐き捨てる様子*3

CCC担当者：今のところ補足なんですが、我々ですね、あの、CCCとして、個人の情報の履歴をですね、どこかに出したりってことは一切やっていないです。これは過去もやっておりませんので、ちょっとそこは誤解ないように、お伝えしたいなあと。

武雄市長：あ、うちも出してませんので。うん。CCCさんと一緒です。

CCC担当者：たぶん、やるとすればですね、より人気のある商品は何なんだとかですね、こういう、女性の方を含めるとこういう品揃えの方が喜ばれる、みたいな、新価値を高めるための、データのマーケティングでデータベースとして使用するということは、有り得るかなあというふうに思ってますが、個人の方がこうこと借りてるみたいなとかですね、世の中の方にお伝えするみたいなことは一切やりませんので。そこはよろしくお願いします。

質問代読者：三つ目です。図書館で初めてTポイントカードを作ることになる市民に対して、Tポイントの利用規約への同意は、図書館を利用する市民の全てに強制することになるのか。

武雄市長：（CCC担当者を見る）

CCC担当者：そこはですね、その問題はあるなと思ってまして、規約をそれぞれ作った上で整理をしていかないといけないなあというふうに思っています。で、窓口でそれをどうとるのかというオペレーショナルな部分はこれから詰めることになります。

質問代読者: えーと、Tポイントの利用規約で、今のでだいたいご質問の答えは共通すると思うんですが、Tポイントの利用規約で、利用者の購買履歴っていうのはCCC以外の事業者に提供される規約になっているっていうのが現在の規約ですけども、これをご存知かどうかということと、それについてどうされるのかと、いうことは、まあ、検討中ということですかね。

CCC担当者：そうですね。

どんな本を借りたかが個人情報でないとは斬新な市長だ。しかもそこを、このように怒りをぶつけるようにして言ってしまうというのは、どのような気持ちの背景があるのだろうか。

■ オプトアウト不履行の責任はどう問えるか（と書こうと思ったら終了していた）

AppleがiOSアプリでのUDIDの使用を禁止にする方針を示すなか、KDDI子会社の広告会社mediba（JIAA加盟社）が、行動ターゲティング広告用のトラッキング目的で（UDIDの代わりに）MACアドレスを使用する旨を公表していたことに皆が気付いたのは3月16日から17日にかけてのことであった。当時、medibaのサイトには以下のようにはっきりとその旨が書かれていた。日付は2月20日となっていた。

「UDIDが禁止になるからMACアドレスを使う」というのはじつに筋が悪い。なぜUDIDが禁止されるのかその趣旨を知りながらMACアドレスを使うというのであれば、脱法的であると言わざるを得ない。（それどころか、MACアドレスを使うのはUDIDを使うより悪い*1。）

あれだけ業界の皆で駄目だ駄目だと言っている最中に、こうも堂々とこういうことをされると、呆れるというより、このまま貫き通すだけのよほどの自信があるのだろうと推察され、長い戦いになりそうだと戦慄が走ったのだったが、それはともかく、medibaのこのときの対応はもっとトンデモなことになっていた。

medibaのオプトアウト手段提供のページは以下のようになっていた。

なんと、iPhoneのMACアドレスを調べてて入力せよというのである。

百歩譲ってそれはいいとしよう。しかし、これの実装方法がトンデモなものだった。このページの「送信」ボタンを押したときに実行されるJavaScriptコードは以下のようになっていた。

なんと、入力された文字列をそのままSHA-1ハッシュ*2して送信していたのである。そして、MACアドレスの入力に際して、16進数の入力が必要となるが、A〜Fの文字を、大文字で入力すればいいのか、小文字で入力するのか、何ら注記されていなかった。加えて、区切りを「-」とするのか「:」とするのか、はたまた区切りを入れてはいけないのかについても注記がなかった。

つまり、入力方法は以下のように様々なバラエティが考えられるところ、これのどれか一つが正解であって、それ以外で入力した人は、オプトアウト手続きが無視されることを意味する。

いったいどうするつもりなのだろうか。全部の表記に対応しようにも、後の祭りである。これまでにオプトアウトの入力をした人の分をどうするのか。サーバにあるのは表1のどれか一つ（さらなる他の値の場合もある）の値であるわけで、元の値（MACアドレス）に戻す事はできない（すべてについて）わけだ。*3

真っ当な対処は、全ての利用者（この広告モジュールを埋め込んだ全てのアプリの全ての利用者）に、この過ちを周知し、既にオプトアウトした人はもう一度オプトアウトするように呼びかけるしかない。しかし、堂々とUDIDをMACアドレスで代替するような会社がそういうことをやってくれるとは考えにくい。

このまま放置したり、しれっと直して周知しなかった場合に、はたして、正しい対処を強制することはできるだろうか。米国ならば、FTC（連邦取引委員会）に通報すれば処置してもらえそうだが、日本ではどうなのか。

幸い、medibaはJIAA加盟社であり、mediba自身、この取組みがJIAAの「行動ターゲティング広告ガイドライン」に従ったものであることを宣言しているから、JIAAに通報すればよいかもしれない。JIAAの存在意義が試されることになるだろう。

と、そんなことをこのブログエントリに書こうと思い立ち、改めてmedibaのサイトを見に行ったところ、なんと、奇遇にも4月26日付で、medibaの方針が変更され、MACアドレスの利用が中止になっていた。

• スマートフォンのターゲティング広告におけるプライバシー保護の対策強化について, 株式会社mediba, 2012年4月26日

  端末識別情報「MAC アドレス」をハッシュ化したものの利用を停止し、ターゲティング広告を行わないSDKを配布（※3）

  （※3）「Android(TM)」搭載スマートフォン向けアプリの端末識別情報の利用停止は5月の予定です。

なんと、Android向けの広告モジュールで端末ID「Android ID」を利用していた件についても、5月で中止にするそうだ。これはめでたい。（加えて、ローカルストレージの使用も中止するようで、これもよいことだ。）

何がきっかけとなってこのような方針変更に至ったのかは定かでないが、この間に、AppleがUDID使用アプリの締め出しを開始し、GoogleのAdMobもUDID（のMD5値）の使用を中止していた。

• ご注意！ プライバシーへの懸念の高まりを受けてAppleはデバイスIDにアクセスするアプリを拒絶し始めた, TechCrunch, 2012年3月24日（日本語版は26日）
• Announcing Google AdMob Ads SDK 5.0.8, Google Mobile Ads Blog, 2012年3月30日
• Build a flexible app business with the latest AdMob SDK, Google Mobile Ads Blog, 2012年4月19日

  As we announced several weeks ago, the iOS version of the Google AdMob SDK no longer uses the universal device identifier (UDID). We are working toward a long-term solution that will benefit users, app developers and advertisers.

Googleがこの方針をとったということは、そのうちAndroidにおいても同様の措置がとられるのではないか。

medibaは、今回の発表で、「ターゲティング広告を行わないSDKを配布」としていることから、アプリでのターゲティング自体をやめてしまうのだろうか。たしかに、AndroidやiOSにおいて、アプリ間にまたがった行動ターゲティング（アプリの利用状況をトラッキングした）を実現するには、端末IDを使用するしかなかった（又は、他の方法を用いても対策は不完全となる）。

従来の、Webのアドネットワークで行動ターゲティングが（オプトアウト手段の提供を前提に）許容されてきたのは、第三者cookieを用いていたからであり、第三者cookieは、広告サーバでしか取得できない値であることから（広告サーバ上で個人を特定することをしないのを約束として）「匿名のID」（他と共通に使えるIDではない）とされてきた。

スマホのアプリでは、この第三者cookie相当の機能がないため、同様のことが実現できなかったわけだが、今後、WebのIFRAMEのごとく、アプリの画面上に別のアプリの画面を部分的に重ねる機能をOSが提供してくれるとか、あるいは、アプリの画面の上にWebブラウザの画面の一部を重ねて表示させる機能が実現されれば、Webのアドネットワークと同等のことが可能になるのではないか。そうだとすれば、行動ターゲティング広告への道が絶たれたわけではないだろう。

なお、改訂された4月26日のmedibaの文書でも、誤った不適切な記述がある。

Android IDを使用している現時点では、medibaの言う「端末識別情報」に、（cookieの他に）スマホの「端末ID」が含まれているわけだが、これを「これらの情報は、いずれも個人を特定する情報は含まれず、第三者が個人を特定することはできません」とするのは誤りである。cookieについては正しいが、「端末ID」を指して「第三者が個人を特定することはできません」というのは嘘である。

未だに何が問題とされているのかわからないままなのだろうかと残念なところだが、5月になれば、Android IDの使用中止に伴って、この記述も消え去るのだろう。

そのほかにも、「「オプトアウト」（ターゲティング広告の無効化）について」を見ても、このオプトアウトが、単に広告表示の停止のことを言っているように読めて、トラッキングの停止（行動履歴情報の収集の停止）をしてくれるようには読めないところにも問題がある*4。

さらに付け加えておくと、今回、iOS版について端末IDを用いた行動履歴収集を中止したわけだが、これまでに収集したデータを廃棄したのかが明らかにされていない。中止したのなら廃棄したらよいだろうし、少なくとも、オプトアウトしたのにそれが（上記の原因で）正しく機能せず、誤って収集してしまっていた人達の分の行動履歴ついては、廃棄すべきだろう。廃棄しないのであれば、オプトアウトが機能していなかった事実を告知しなければならない。