テーマで読み解く2013年の課題と展望
【第14回】 2013年2月1日 

【テーマ12】プライバシー 
個人情報保護法は「不完全」。ビッグデータ時代は、プライバシーの本当の怖さをわきまえた活用を
――萩原栄幸・日本セキュリティ・マネジメント学会常任理事

ビッグデータから
意図せざるプライバシー侵害が見つかる

はぎわら・えいこう
2008年6月まで三菱東京UFJ銀行にて先端技術の調査研究を職務とし、実験室「テクノ巣」の責任者として学会や金融機関を中心にセミナーやコンサルを行なう。現在は日本セキュリティ・マネジメント学会の常任理事であり学会の「先端技術・情報犯罪とセキュリティ研究会」で主査も兼務している。防衛省、県警本部、県庁、市役所などの講演やコンサルも多数の実績を持ち、特に「内部犯罪防止」「情報漏洩対策」「サイバー攻撃対処」では第一人者であり一般的な「コンプライアンス」「情報セキュリティ」などにおいても平易に指導することで有名。ダイヤモンド・オンラインで「萩原栄幸の情報セキュリティよもやま話」を連載中。

 韓国や米国では日本では考えられないほど動画配信サービスが大きく成長している。昨年11月の公開情報では、北米のインターネット利用量(トラフィック量)は前年比120%も増加している。その主な理由が動画配信であり、トラフィックの内訳をみると、全トラフィック量(ここではパソコンでのダウンロードの総量)の33%を占めてダントツなのがNetflixである(2位はYouTubeで14.8%。Netflixと同様なサービスを展開し、最近日本でCM攻勢を仕掛けているHuluは1.38%でベスト10に入っていない)。

 このNetflixが2006年にあるコンテストを実施した。それは同社の視聴取引データをもとに、顧客の嗜好にあった映画をお奨めする優れたアルゴリズムを募集するもので、第1回の優勝者には100万ドルが支払われた。このコンテストの2回目を開催しようとしたところ、連邦取引委員会の勧告によって中止になったのである。理由は「プライバシー保護」だった。

 実は第1回のコンテストの開催中に、ある大学の研究者チームが視聴取引データの分析によって、個人を特定できてしまったと報告したためである。いわゆるビッグデータから、その所有者である企業すら意識していなかったプライバシー侵害が表面化したのであった。この事件は深読みすると、今の時代のセキュリティ全体に横たわっている脆弱性に関連していて極めて興味深い。

 近年は国内でも、スマートフォンにからんだプライバシー侵害の事例が多々報告されるようになってきた。ただ、それは氷山の一角であり、しかも小さな事案であるケースがほとんどだ。昨年、不正なアプリによって個人情報を搾取していた関係者が逮捕されたが、実はその後不起訴処分となっている。情報セキュリティの専門家からは疑問の声が多いが、法律の専門家の視点からすると、十分にあり得るという意見も多いようだ。筆者個人の私見でいえば「絶対におかしい、起訴されるべき行為である」。

「不完全」な個人情報保護法

 そもそも日本の個人情報保護法は「不完全」な存在だ。筆者は、まだこの世に個人情報保護法ができる以前に、有識者の一人としてヒアリングを何回か受けたことがある。当時、日本セキュリティ・マネジメント学会(JSSM)の「個人情報と保護研究会」の中核の一人として、重鎮の堀部政男教授の傘下で一緒に研究活動をしていたためだ。

 筆者がびっくりしたのは、当時法制化に動いていたチームには、「この法律は完全形ではない。いわば走りながら考えて日本人にとって有効に機能する枠組みを提供できればいい」という考えが確かにあったのだ。この思想は少なくとも法律専門家からするなら極めて異例な考えであったのではなかろうか? 自らを「不完全」といいながら生まれた「法律」なのだから。

 当時、諸外国の「個人情報」に関する法律を研究したチームからは「法律自体がぎちぎちでがんじがらめの状態の国、逆にゆるゆる過ぎて法律としての体をなしていない国の両極端であるケースが殆どでバランス良く規範となるところは無いに等しい」と言われた。

 よって、日本でも法律を作ってもたぶんその運用においては現実を踏まえ、走りながら調整するのが現実的であるという背景があったと想像している。

 ところがその国民性から法律が一度できてしまうと、その法律そのものの変更を考えるより、「いかにしてその法律に抵触しないように行動すべきか」が思考の大部分を占めてしまったのは(たぶん)誤算だったに違いないと考えている。

 現在、「ビッグデータ」という産業革命に匹敵する事象を前に、ある者は、「プライバシー」という障害を避けていくのがベストと考えた結果、機会損失とも思える消極的な態度に終始し、またある者は、不完全な法律をよいことに、法律の精神を鑑みず、プライバシーのリスクに無自覚にビジネスを拡大していく。

論理で可能なら、やろうと思えばできる時代

 こうした中、ちょっと不気味なビッグデータ・ビジネスを行っていると、多くの専門家から懸念を寄せられているものの一つが「Tカード」である。ここで、具体的な懸念の詳細については長くなるので割愛するが、予備知識としては産業技術総合研究所情報セキュリティ研究センター主任研究員の名物男「高木浩光」氏のサイトにおけるエントリーhttp://takagi-hiromitsu.jp/diary/20120923.html)を是非お読みいただきたい。

 Tカードは日本全国で約4000万枚が流通している巨大システムのカードである。またその運用の形態は異業種を多々巻き込んでおり、地方自治体の図書館運営や病院に至るまで、あらゆる業種業態をターゲットとした他に類を見ないものになっている。その運営会社はまさにビッグデータ会社と呼ぶにふさわしい。

 懸念が寄せられている点は、現在行っている、行っていないということにあるのではなく、法律上曖昧なまま、管理する側もカードを利用する側も「なんとなく」実行しているという状況、そのものが危ないということに他ならない(高木氏など一部の専門家の意見としては限りなく「黒」に近いという表現を使っている)。

 監督官庁もどう扱うべきか迷っている感じだ。だがこういう状況であるにもかかわらず、カード枚数はどんどん増加しながらどんどん膨大なビッグデータとして蓄積がなされつつある。

 もしさまざまな提携機関でのTカード利用履歴が個人情報にひも付き、あなたの動向が丸見えとなっているとしたら…。

 例えば○月○日○時○分に○病院に行き○科を受診し、○病の疑いで検査と○という薬を院外薬局で処方してもらい、近くの○店で○○○というビデオを1週間レンタルで借り入れ、その後コンビニで○と○を購入し、図書館で○を借入、○のいうスーパーで○と○を買い、…ということが全て把握され情報が集約されているとしたら…。

 それこそ映画の世界ではないが「プライバシー保護」は建前だけであり、ごく一部の企業や国家は、プライバシーなど全くないほど個人の動向、趣味や病歴、そして血縁関係までありとあらゆる情報を、根こそぎ管理できてしまう可能性がある。現在こういうことを書くと笑いながら「そんなこと有り得ません」と回答されるだろう。

 だが、論理的にそれが可能でビッグデータが人工知能にリンクして優れたロジックが適用されたとしたら、たぶん今すぐにでもある程度は実現可能である。その認識は是非持っていておいてほしい。

 20年前から筆者はセミナーなどで、「無知は罪悪、知らないと対応が全くできない。まずは知ること、理解すること、そして物事の事実を繋ぎ合わせて推理すること。それが論理で可能なら『実現したいという意思さえあればできる』。人間の尊厳に関わる基本的な問題にもっと真剣に正面から向かい合う時期ではないでしょうか」とお伝えしてきた。

 ここで誤解のないようにしておくが、「Tカード」自体を否定するつもりはない。そのビジネスモデルで収益を得るなら、今の何倍もの慎重さと情報セキュリティの専門家を含めた議論を重ねて、「これならプライバシーは守られる」と誰もが納得できる体制、仕組み、論理が必要だと考えている。このままでは、企業経営にとってもリスクが増大してしまいませんか?ということだ。

 高木氏のブログにもあるように、同じ質問をしても答える関係者によって皆違う回答をしたり、明らかに法律に抵触する発言をしたりすること自体、不安、不信を助長させるものだ。

若者に人気のLINEも…

 今、若者の間で絶対的に人気の高いSNSであるLINEをめぐっても、プライバシー保護への懸念はぬぐいされない。そもそもSNS自体、facebookであれ、twitterであれ、どれもが悪用する輩に重宝されているという事実があるのをご存じだろうか?

 例えばサイバー攻撃の初期段階の常套手段になっているのが、ターゲットが定まった「個人」についての情報をSNSで収集し分析することだ。収集した情報のなかから関連するキーワードをメールに巧妙に仕込み、単純なスパムメールとして処理されることを防ごうとする。この事実は最近でもまだ世間ではあまり知られていない。

 企業名は差し支えがあるので書けないが、昨年、筆者は、SNS情報だけでどのくらい個人情報が暴露されるのかを実際に実験してみた。結果は想定以上の個人情報入手に成功した。

 例えば今では就活はSNSから応募するのが当たり前で、しかも人事担当者の一部には「友達の数」も採用基準の1つですという「呆れた人」もいるようで、一部の学生がそれにのせられて、友達承認を1000人以上もしてしまったということも聞き及んでいる。なんと危険な行為だろう。しかし、学生を責められるものではない。皆さん真剣なのだから少しでも有利にしたいという気持ちは痛いほど判る。だからせめて人事担当者はこういう無責任な発言は控えてほしいのだ。まさしく「無知は罪悪」なのである。

 特にLINEでは「友だちへの追加を許可」することにより第三者に対して電話番号などの個人情報が送出される危険があるが、承認操作の画面は、それを十分に認識させるようなものではない。結果として悪人がターゲットとした「個人情報」が容易く入手できてしまう怖さなどについてもほとんどの若者は認知していないのである。

 こう書いても、9割の人は「自分にサイバー攻撃なんて関係ない」と思う。しかし事実は全く違っている。詳細は割愛するがサイバー攻撃の踏み台は一見関係のない主婦、学生、中小企業の社員なのだ。プライバシーを拡散させるという意味だけなら最も危険なものがSNSかも知れない。

 LINEに限らず、最近のアプリやゲームソフトにおける個人情報の漏洩は目に余るものがある。一部のアプリやゲームソフトをダウンロードし実行したらあなたの「電話帳」に掲載されている何百、時には何千もの友達や知り合いのデータ(氏名、メールアドレス、勤務先、自宅住所、勤務先の内線まで)が全て盗まれ、第三者の手に渡り、悪用、収集、売買されているという事実に、どの程度気が付いているのだろうか?

 筆者は世界で初めてAndroidのスマホのウイルス対策ソフトがあまり有効にはならないという事実を公開した。それからもう1年以上たっているが、まだまださほど改善されてはいない。ここでもプライバシーが軽視されているのは、実に残念でならない。

たかがビッグデータされどビッグデータ
この有効活用が未来を築く

 今までは「マイナス情報」をお伝えしてきた。つまり「こういう怖いところがある」「こういう面に注意して」という側面だった。だがそれだけではいけない。ビッグデータを本格的に利活用することで、企業によっては大きなビジネスチャンスの可能性があるということも筆者は疑わない。

 ただし、プライバシーを扱うリスクに対しては、技術による対応だけでは不十分なのである。もっと世間の常識、そして少しだけでもいいので「個人情報保護法」の精神と今の法律を認識できるバランスが必要とされる。Tカードは今後その運営の在り方について早急に根本から変更されることを期待している。LINEも発想は素晴らしいのだが、どうしてもその周辺の技術者が「プライバシー」という本当の意味や怖さをご理解いただいていない(もしくは見て見ぬふりをしている)ような感じがしている。

 これも発展途上と前向きに考え、今後日本の法律の順守は当たり前でさらに将来を見据えたプライバシーの在り方を鑑みたビジネスを展開していただければ、と思う。企業側からだけの目線で考えるのは時代遅れだ。常に利用者側、そして「無知は罪悪」の通り、日本のみならず世界の動向を見据えたセキュリティポリシーの導入を考慮すべきだ。

 政権党となった自民党が衆院選で公開した56ページにも及ぶ「政権公約」には、個人情報保護法改正について直接触れられてはいないが、現在の動向を鑑みて同法改正は遠からず議論されるようになるであろうと個人的には考えている。与党として期待したいものである。この法律は改正しながら運用する法律なのだから。