高木浩光による怒濤の講演「ゲーム業界におけるプライバシー保護」がすごいことに
「高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」」というエントリーによってTポイントツールバーは「騙す気満々の誘導」であると指摘、その2日後にTポイントツールバーのダウンロードが一旦停止されたり、ほかにも「ダウンロード刑罰化で夢の選り取り見取り検挙が可能に」「ローソンと付き合うには友達を捨てる覚悟が必要」「武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て」「やはり欠陥だった武雄市の個人情報保護条例」というように、次々とセキュリティに関して絶大な影響を与え続けてきた独立行政法人産業技術総合研究所の高木浩光(通称:ひろみちゅ)氏によるCEDEC2012の講演が、非常に秀逸な内容となっており、ゲームに限らず、スマートフォンまでも含めてそもそも「個人情報」とは一体何か?ということから、個人情報の現在の扱い、プライバシーに関して今後あるべき方向に至るまで、縦横無尽に語りまくっています。
ゲーム業界におけるプライバシー保護 | CEDEC 2012 | Computer Entertaintment Developers Conference
http://cedec.cesa.or.jp/2012/program/NW/C12_I0294.html
今回、高木さんの勤務先は強制夏休みで休暇中のため、仕事ではなく個人の高木さんとして話される、とのことです。
高木浩光(以下高木):
ゲーム業界におけるプライバシーとかセキリュティの話をして欲しいというお題を頂いて考えてみたんですが、ゲーム業界におけるセキュリティの話っていうのであれば、プライバシーはどうだろうか、と。私個人に関してゲームと言うと、30年前の話なんですけど、高校生時代にディグダグとかゼビウスとかをやっていたくらいでして、ゲーム業界に縁がなくて、全然詳しくないんですけれど。ただ、ゲーム機だけは新しいの出ると買うんですね。で、何やってるかと言うと、穴がないかなと。
参加者:
(笑)
高木:
穴を探してるだけで終わっていくという。そんな感じなんですが。ゲームにおけるプライバシーってどんな話があるかね、と考えてまして。まず情報漏洩対策は当然ですね。実際に去年、日本のネットワークがやられてしまうという、大きな事件が外国でありました。これについては、セキリュティ対策をちゃんと普通にやっておきましょうということで、今となっては、これといって私から言うことはないんで、省略しようと思います。
高木:
他に何があるといいますと、4つあげておりますが、まず、利用者による自己情報をコントロール可能にしましょうという話です。法律の上では自己情報コントロール権という言葉があって、自己情報をコントロールする権利なんて本当にあるの?っていう話なんかもあるわけです。つまり、自分のうわさを止める権利があるのか、っていう問題の話です。けれどここで言いたいのは、そういう話ではなくって、例えばソーシャルネットワークですと、サービスを使った時に、自分が今これをやると、その結果何が起きるのかが分からないという人たちがいるんですね。簡単にいえばFacebookで何か書いてみたら公開状態になるだとか、そんなのを知らないとか。アマゾンでレビューを書いたら、実は実名でレビューが公開されちゃうとか、そういったことに気付かなかったというような。そういうことが起きるというのは自分で自分の情報を制御できないからで、そういうサービスはよくないわけですね。そういうケースの話題・トピックがあるかと思います。
もう一つは、何が個人情報なのか、ということです。これは去年くらい特に問題になったのですが、住所氏名が個人情報なんだ、という勘違いをしてる方がかなりいらっしゃる。例えばウェブの閲覧履歴は個人情報か、というとそんなのは個人情報じゃないと言う人がいる。それは違いますよ、という話がひとつあります。
そしてもう一つは、スマートフォンのアプリ。昨年からスマートフォンが一気に普及しているわけですが、ゲーム業界としてもスマートフォンのアプリで競争することも多いでしょうから、その辺の話もひとつ皆さんの関心事ではないかと思います。
最後は、利用者の行動を分析すること。マイニングとかビッグデータだとか言われてますけども。これをどこまでプライバシー上やっていけるのかという話題があるかと思うんですが、これについては私も煮詰まっておりませんし、皆さんに炎上の悩みなどをお伺いすることができればなあと思っております。
早速一つ目の話題ですが、去年の11月にこんな話がありました。プレイステーションネットワークのトロフィー情報が外部から閲覧できてしまうということで騒ぎになりまして、炎上したんでしたっけ?最終的にソニー側が謝罪した、と。
高木:
ITmediaからのニュースですけども、「説明が不十分だったとして謝罪し、規約の改訂など対応を発表」とあります。その利用規約にはどう書いてあったかと言いますと、「PSN上のサービスの一環として、お客様のゲームプレイに関係した情報を他のPSNユーザーに提供することがあります」と。これで意味が分かるか、という話です。騒ぎになった原因は私がこれを書いたからなんですが。
参加者:
(笑)
高木:
もともとは8月頃にこれは問題があるなあ、と気付いてました。そしてTwitterで皆さんに聞いて、調べてみますと、Xboxの方ではちゃんと設定で変更できますよ、というような海外の状況が聞こえてきたんですね。そうするとソニーだけがやってないというのはまずいなあ、色んな意味でまずい。もしかしすると海外で急に叩かれて、日本がまた国益を損なうかもしれないと思いましたので、何か言わないといけないかなあ、と。ちょうどその頃というのは、さっき言いましたように、「住所氏名が個人情報である」といったように、何が個人情報かってことが誤解されていて。法的には個人情報である住所氏名さえ保護すればいいんだ、という誤った考え方が広まっていった時期でもあり、一石を投じる必要があるとは思っていました。それで11月になりまして、このようなことを書いたんです。どういうことかと言いますと、実はプレイステーションネットワークは私もちょっとだけ使ってまして、ネタでネカマキャラのアカウントを用意してあるんです。それを8月14日の日記に書いていたのですが、その時に自分のPSNのユーザー名を明かしていたんですね。
高木:
そのユーザーIDをGoogleで検索してみたところ、プレイステーションホームのオフィシャルサイトというものが出てきて、なんとこのURLにアクセスすると、自分の情報が出てきたと。プロフィールがあり、トロフィーが8個、レベル1というような。そしてどのようなゲームを起動したかという一覧が横にある訳です。このことは全然知りませんでした。私がこういうゲームをしているといったことが結局皆さんに分かる状態になってしまったということ自体が問題なのか、と言った時に、個人的にはたまたま、ここに並んでるゲームに関しては問題ありません。もし、ちょっと萌え系のゲームとかをやっていたらやだったなあとは思います。やりませんけどね。
参加者:
(笑)
高木:
と言う感じなんですが、実際Twitterで聞いてみるとですね、前からそれが嫌で嫌でソニーに対して電話で止められるようにしてほしい、とお願いを出してたって人が複数人でてきました。「でも変わらないんですよ」って感じだったんですね。それで、Microsoftはちゃんと設定で変更できるようにしてますよとか、Appleはこんなのやってますよ、っていうのを紹介したわけですけども、そうすると非常に反発が強くありましてですね。最近なくなってしまいましたが、まとめサイトのゲハにたむろしている人達からですね、Twitter上で攻撃を受けまして、戦争状態になりました。その余波も結構大変なもので、勤務先に抗議の電話をするような人も現れてきてですね、名乗らせようとするような人がいたりして、なかなかゲーム業界っていうのは大変なところだなあ、と(笑)
高木:
いろいろ調べていくとですね、そういうところで複数のTwitterアカウントを使って激しく攻撃するような人がですね、どっかのゲームソフト会社の営業の女性じゃないかとか思ったりしまして(笑)なかなか大変。皆さん裏で戦ってるんだ、すごい業界だな、と。2chにああいう形の場所ができてしまっていたというのが一つの不幸だったのかなあとか。今日はそんな話をしにきたんではなかったんですけど(笑)でも大変な抵抗を受けました。単に自分で選べるようにしようってだけの話なのに、なぜできないんですか、と。もちろんソニーさんがどう思ったかは分かりませんよ。匿名の人がいろいろ抵抗してきてたというわけです。「トロフィーごときが守るべきプライバシーなんですか」とか、「公開されるのは知ってるでしょう」とか、「IDから個人を特定することはできないでしょう、あなたがIDの使い方を間違ってるのでは」とか、「いろいろ規約に書いてありますよ」だとか、言い逃れるわけですね。
高木:
これはプライバシーの観点でいうと、典型的なパターンではあります。トロフィーごとき、と言いますけども、基本的にはそれが嫌かどうかっていうのは人によって違うわけですから。それは利用者が決めるべきことです。どんなに些細なことであっても、一部の人が嫌かもしれない機能、情報の開示は、利用者が選べるように作っていく。初めからそういう風に作っていくということがあります。後から直せって言われると、工数がかかるから嫌だということで無視したり、適当な言い訳を並べて電話対応していくっていうことがあるかもしれませんから、最初から作ればいいことだと思うんですね。プライバシーバイデザインという言葉があります。選択できないというなら使うのをやめるってことですよね。別のハードに移ってもいいわけですが、それが嫌だから、好きだからこそなんとかしてくれって言う人がいたんでしょう。そういうお話ですね。
「公開されるのは皆知ってる」ということに関して言えば、知らない人は実際に沢山いました。知らなければ対処できませんし、声を上げることもできないわけで、一度騒ぎにしない限りはどうともならないなあ、と思いました。そしてIDから個人を特定できないといいますが、今日さまざまなSNSのサービスがあります。Twitter、はてな、mixi、Facebookは違うかもしれませんが、IDを自分で決める場合、同じIDを色んなSNSで使ってる人っているわけでして、そうすると分かっちゃいますよね。「あの人かな?」っていうことが。こういう問題があったわけです。そこで実際に私の知り合いのbakeraさんという方のプロフィールが出てるわけですが、この方は、はてなでも同じIDを名乗っていましたので、それを知っている人たちには「彼はこんなゲームをやってるのか」ということが分かってしまうわけですね。ここでもう一つこの問題が大きく盛り上がることができたのは、ただのゲームだけではなくて、torne(トルネ)についてもトロフィー機能があって公開されてたってことで、それがひとつのポイントかと思います。このようにですね、トルネでは「この方は47%までいっている」と。
トロフィーの名前は「???」になっていて、どのトロフィーか分からないんですが、ここは別にプライバシーに配慮したわけではなくて、隠しトロフィーの場合は最初から明かしちゃったら面白くないのであえて隠してあるだけなんですね。
これは、並び順が一定ですので、実際に全部獲得した画面があれば何番目が何のトロフィーか、というのは分かってしまう。これはbakeraさんご本人の声ですけども、この人はかなりIT業界の……いわゆるプロ方なんですが、プロを持ってしても、これが公開してることには気づかなかったと。
説明を見た覚えはないし、これはフレンド登録した人に公開といいいますか、開示されるものだとは知っていたけども、広く一般に公開されるとは思わなかった、と言うんですね。この方の場合、トルネによってですね、アニメばっかり見てるっていうのがバレてしまったそうです。しかもよく見ますと、まずいのは、このトロフィーを獲得した日付と時刻まで出ているんです。
日付くらいはあってもいいかもしれませんが、なぜ分単位で獲得時刻を表示する意味があるのか、ということ。場合によってはプライバシー上、大きな問題になるかもしれません。つまり、本人にとって嫌な気持ちになるかもしれないところだと思います。恐らく開発している人は何も考えていなくて、表示できるものは何でも表示しようというふうに、思ったんではないでしょうか。そこに何らかの、「ここまでは出さない」っていう考え方を設計段階から取り入れることが必要なんだと思います。
一方こちらはXboxLIVEの場合です。このように現在のプライバシー設定というところがありまして、フレンドへのプロフィールの公開、ゲーム記録の公開、オンラインの状態の公開、オンラインの状態……つまり今やっているかどうかってことが分かる訳ですね。そういうルールをこの設定では許可しないと。
こういったものについて、画面上で、個別に設定することそれぞれについてですね、「すべての人」か、「フレンドのみ」か、「禁止」など3つから選べて、ちゃんと、どれを選ぶと何が起きるかとしっかりと書かれてますよね。
Microsoftはちゃんとしてるなあと思います。というのも10年位前にMicrosoftは散々セキュリティの面で叩かれた歴史がありまして、2002・2003年ごろからMicrosoftは急激に方向転換しまして、セキュリティもプライバシーも大切にするという宣伝をやってきているんですね。かたや日本の企業はどうでしょうかと思うわけです。今までセキュリティもプライバシーもやってきた自分の感想からいえば、日本の企業はホントにダメだなあ、と。ホントにどこもダメですね。どうしてなんでしょうか?ということを思うわけです。
この問題はですね、Twitterで大騒ぎにならないとニュースにもならないというわけです。もっとネットメディアがしっかりしてればと思うんですけど。その、ちょっと声があがった、くらいの時からですね、「あ、なるほど、それは論理的に言って一つの問題だ」と記事を書いて、こういう問題がありますよ、ソニーさんどうですかっていうような、そういった提案型の記事が出ればいいんですが、見たことが無いんですね。大体出てくる記事と言うのはちょうちん記事で、「面白い面白い、素晴らしい、いいね」っていうものや、もしくはどこかがミスを犯して謝罪しましたという時に「ホラ叩け」って上から叩くとか。こういったプレスリリースが出なければ、出るまでプレスリリースはないし、何か情報を発表するまで、そういうのは出てこないわけです。なんとかならないものでしょうか。例えば、このEngadgetの記事を読みますとですね、結構皮肉って書かれております。皮肉って書いていただくのは良いのですが、もっと早く書いて下さいという感じはします。このへんにですね、嫌なら使うな以前に、嫌かどうか自覚して選択する機会が与えられず、規約を読んでも書いてなかったと、と言ったことが最終的に書かれたわけです。
最終的にソニーさんはどうしたかと言いますと、このようにお知らせが出ています。
何を言ってるか簡単に紹介しますと、「一部のユーザー様からご指摘を受けておりますということで、トロフィーなどは公開させていただくことを前提として」云々かんぬんと書かれていますね。しかしトルネっていうのは単なるテレビの録画機だと思っている、ゲームは一つも持っていないけれどトルネの為だけにセットで購入しているような人もいるとすれば、ただのテレビ録画機がどんなジャンルの番組を見てるかをインターネットに公開する機械だったというのは相当問題だと思います。
そのことに対する問題があまりここには書かれていないなあと思うんですが、結局どうしたかと言いますと、なんと規約を書き変えますということだったんですね。
規約に書いてないからもう逃げられなくなったんで、じゃあ規約を変えます、と。「規約に公開されます」ということを書くという手段に出た。それには皆さんがっかりしてました。はてなブックマークコメントを見ますと、昔のソニーは好きやったのになあ、というようなコメントが散見したりですね。堕ちてしまったんでしょうか。ここには今後アップデートを通じて改善していくことを検討していく、と書いてあります。私の知る限りは対応していないと思うんですが。ちょっと調べているところです。これがその利用規約で、今年の7月にも改正されているようですね。どこに書いてあるかと言うと、「10」です。この中に書いてあるそうです。
ユーザー体験を向上させる等の目的のために、オンラインID、自己紹介等のアカウントに関連する情報、トロフィー情報およびゲームプレイに関連した情報(レベル、ランキングなど)を含む一定の情報を公開することがあります、と書いてあります。その次から何が書いてあるというと、情報は公開するので、お客様は著作権とか主張してもらったら困るよ、と。こっちが情報を公表する権利はあるのだということを言っているんです。利用規約っていうのは、通常の一般の人が普通に遊んでいれば、全然気にすることのないものです。ところが中には「ワレの著作権どうしてくれる!」とか、ちょっとおかしな人も出てくるわけでして。ユーザージェネレーテッドコンテンツを公開している方から著作権を主張されちゃ困りますからね、そういうときに対処できるように事前に法的な防衛線を張っておくのが利用規約なのであって、このサービスを利用するとこうなります、っていうことは利用規約に書くことでは本来ないわけです。本当は、このサービスはこういうサービスですっていう説明が利用規約と別にあった方がいいのかもしれません。文章を読むのではなくて、自然に設定を、ユーザー登録をしていく過程や遊んでいく過程の中で自然に何が起きてるか分かるようにしていくっていうのが理想的で当然かなと思います。ちなみに「1」の章には何と書いてあるかというと、よく分かりませんね、どこに書いてあるのか。どこに公開されると書いてあるのかが分かりません。これで対処したっていうのは驚きと言わざるをえない。もう一つプライバシーポリシーっていうのがあるわけですが、日本のプライバシーポリシーって言うのは、頑張って対処しますということが書いてあるだけで、中身を見る必要がない、何の意味もないものです。法令を順守します、利用目的の範囲内で利用しますということしか書いていなくて、じゃあその利用目的って何?ってことを書くのが本来のプライバシーポリシーであるはずなのに、利用目的は書いていなかったりするんですね。非常におかしいです。
そんなことが去年あったわけですが、ちょうど、その半月か1カ月後にPlayStation®Vitaが発売されていたので、買ってみました。買ったけど全然遊んでないんですが。すると、ちゃんとプライバシー設定の画面があって、フレンドリストをどこまで公開するとかアクティビティをどこまで公開するかというちゃんとできてました。
まさか半月で作れるとは思えないので、もともと作ってたんでしょうかね。それとも急きょ作ったのか、どうなんでしょう。やればできるじゃないかと言う感じがするわけですが。そんなお話です。
次の話題に行こうと思います。今の話も若干関係するのですが、何が個人情報なのかということです。当時、相当戦争になった関係でですね、いろいろと議論が深まりました。何が、どのような公開をしているのか、ということがよく分かりました。何が個人情報なのかっていうのが、誤って理解されている。最近はだいぶ理解されてきましたけども、去年の段階では個人識別性が無ければ何をやってもよいという風潮がありました。
しかし、個人特定をしないで履歴とかを取得するスマートフォンのアプリだったり、スパイウェアだったりは、個人が特定されていようがいまいが、ウィルス作成罪に当たる可能性があるわけです。そもそも個人識別性という言葉自体にまず疑問を持つんですね。日本の個人情報保護法では、「特定の個人を識別することとなるもの」という定義になっていますので、つまり氏名や住所等です。具体的に誰がっていうことが特定されている、ということを個人識別性って言うんですが、よく考えてみると、個人を特定していないけど、誰か謎のAさんBさんっていうIDで区別された状態の人っていうのがあるわけで、それは個人情報保護法では保護されないというのが現状です。すると法律さえ守っておけばいいっていう法務を持っている会社ですと、むちゃくちゃなことを言ってスパイウェアまがいのことをやったりするわけです。それが去年ちょうど同じ時期にありました。一つ、酷いエピソードでお話ししようと思うんですが、おととしに、岐阜県の図書館で情報の流出事故がありました。
なんと図書の延滞者の督促情報のデータベースが流出しちゃったということで、プライバシー上の非常に大きな問題です。誰がどんな本を読んでいるかっていう情報が漏れたわけですから。その時に図書館が発表した文章は、こうなっていました。漏れていた情報の内容は、図書館に登録されている利用者の情報の一部で、データの内容は利用者氏名(漢字・カタカナ)、住所、生年月日、郵便番号等であったというんですね。あれれ、督促状ということは、図書の書名も漏れたはずなのになんで書いてないんですか?っていうことで電話取材して確認してみましたところ、書名も漏れたということでした。なんで書かないのか、と聞くと、住所氏名が個人情報だから、と言われました。これが典型的な誤った理解です。自治体の場合はですね、各自治体の条例で定義されているんですが、個人情報の定義というのは、個人に関する情報であって、特定の個人を識別され得るものとあります。これは民間企業の個人情報保護法と大体同じでして、まず個人に関する情報というのがあるわけです。この条例のやり方は、そのようなもののうち、特定の個人が、住所氏名で識別されたものに限定しているんですね。それなのに、誤った解説などの観念が出回ってまして。
これは去年の段階の解説ですが、プライバシーマークっていう制度があります。
プライバシーマークの元締めをやっているJIPDECのよく分かるプライバシーマーク制度っていうコンテンツがあって、個人情報とプライバシーの違いを書いているんですが、これまで学んできたとおり個人情報とは個人(氏名・生年月日・住所など)の個人を特定する情報のことですって言ってるんです。これは間違いです。酷いことに下の方を見るとですね、「例えるならば封筒の宛名が個人情報で封筒の中身がプライバシーです」などと言っています。これがどのようにおかしいかと言いますと、封筒の中身も含めて個人情報なんですね。これを図で表してみます。
この間違ったプライバシーマークの解説に書いてあるところの個人情報と言うのは、氏名・住所・閲覧履歴などが一つのレポートとなって記録されているデータベースがあった時に、個人情報と言うのは赤いところ、個人を特定するための情報の部分であって、閲覧履歴などは個人情報ではないと。プライバシーだけど個人情報ではない、法の保護対象ではないといった誤った解説をしています。しかし個人情報保護法が言う個人情報というのは、個人に関する情報であって、個人が特定されているもの、特定の個人を示されているものなので、個人に基づいた情報すべてあらゆるものなわけです。全てです。どこにいたっていう情報だけであったり、どのサイト閲覧したとか、そういった本当に細かい、例えばプレイステーションネットワークのトロフィーの何それを持っているという情報も、個人に関する情報であることです。
それがすごいことで、人に関する、個人に関するあらゆる情報が法律で保護されると言うと、事業者は困ってしまいますね。何の情報を、どの情報を保護していいかが分からなくなります。そこで個人情報保護法ができた時に、さすがに個人に関する情報を保護せよというのは、あまりにも無理があるので、個人、特定の個人が識別されているもの、住所氏名等で特定の個人が識別されているものだけ、赤い部分だけを個人情報と定義して、まずはこれについてちゃんと記述していきましょうね、というのが法の趣旨であったわけです。それがなにか取り違えられて、住所氏名さえ入っていなければ、個人が特定され、特定の個人が識別されていないので個人情報じゃないことになると。それを理由に、住所氏名があるかないかばかりが注目されたせいで、まるで住所氏名だけが個人情報であるかのような誤解が広まってしまったというわけです。ここで言いたいのは、確かに個人が特定されているものだけが法律の対象ですけども、本当は、円のオレンジ色の部分、個人に関する情報というものをプライバシーと捉えてですね、法で保護しようとしたのが本来の趣旨なんです。ただ、そこまでできなかったわけです。なので、法の趣旨を尊重する真面目な事業者さんであれば、住所氏名が無くてもちゃんと管理してるということが大事になってくるわけです。
今述べたのはこの辺なんですが、結局のところ特定と識別とは本来分けて考えるべきかと思います。あと、識別するが個人を特定しないもの、というのがあると思うんですね。
ウェブブラウザを使用してるとか携帯電話端末を識別しているとか、要するにCookieを使っているとか、端末IDを使っているとか、そういった話です。これが直接個人を特定することにならないとしても、同じ人にずっと紐付いているID・識別番号ですから、先ほどのオレンジの部分に該当するものとして、本来は保護を考えるべきかと思います。この時に匿名のIDで識別しているだけだからまあいいじゃないかと言うことがあるかと思うのですが、そのIDと言ってもいろいろなものがありまして、例えば左の図のようにサービスごとにばらばらのIDを使っている場合。同じ人がいくつもIDを持っている。カードで言えば、店ごとにカード、ポイントカードを使い分けているようなケース。右はサービスを共通の1個のIDで処理しようとするものです。
ポイントカードで言ったらTポイントとかPONTAといった共通ポイントシステムなどがこれに当たるわけですが、プライバシー上は右の方がリスクが高く見える。本人にとって、ですよ。自分のやっていることが横串で名寄せされて解析されてしまうというリスクを右側は持っています。実際、ある時点でIDが匿名だったとしても、その情報が誰か別のところに渡った時にはそのIDの人は誰それさんですと個人を特定されてしまう場合もあるわけです。それを簡単に図示してみます。
結局IDっていうのは有効範囲が広い場合と狭い場合があって、他にも縦軸にそのIDがすぐ消滅して新しいものに代わってしまう時間が短いもの、例えばIPアドレスは頻繁に変わりますよね。逆に一生変わらないような番号というのも上の方にあります。この図の中で長くて広いものというのがトレーダー市場のリスクとなってくるわけで、英語圏のエンジニアの議論を見ていますと、こういった領域に当たるIDはリスクが高いので使うな、といった議論が頻繁にされてきているわけですね。日本の法律を見てみますと、日本でプライバシーがどう保護されているかと言えば、通信の秘密というものがかなり厳格です。個人が特定されようがされまいが電話を盗聴したら即アウトで逮捕されてしまうわけですね。
一方、個人情報保護法は、さっき説明しましたように、個人に関する情報のうち特定の個人を識別されるものの取り扱い、とすると、個人を特定しない、端末IDなどで識別されているような情報をどう保護するかっていうのは法律がないため、大変難しくなっています。そういう関係で今年、動きがありますのがスマートフォンのアプリの問題です。
スマートフォンのアプリは、今年の正月頃だったかと思いますが、いろいろプライバシー上問題のある動きをするものがたくさん出てきたということで、テレビで報道されたりしておりました。これを受けて総務相が利用者視点を踏まえたICTサービスにかかる諸問題研究会というのがありまして、その諸問題研のワーキンググループとして、スマートフォンを経由した利用者情報の取り扱いに関するワーキンググループというものを1月から今月までやっておりまして、最終取りまとめが8月7日に出ました。スマートフォン・プライバシー・イニシアティブ。よく分かりませんが、サブタイトルを見ると「利用者情報の適正な取扱いとリテラシー向上によるイノベーション」、色んな方面に配慮した名前だなと思いますが、皆でちゃんとやっていきましょうということを規制するのではなくて、自主的に皆さんでやっていこうというものだと思います。実はこの研究会は2年前にも一度提言を出しています。この時はウェブの行動ターゲティング広告を代表として、業界による自主ガイドラインを促すものでした。実際インターネット広告推進協議会「JIAA」が行動ターゲティング広告ガイドラインを2011年に改定しておりまして、その中のウェブの行動ターゲティングはCookieのIDでやってますので、個人の特定はしていないんです。誰か分かりません。ブラウザに振ってある乱数の番号で区別しているだけですので、誰かは分からない。そういう意味では個人情報保護法には触れないわけですけれども、それでもちゃんと透明性を確保してオプトアウトできる手段、拒否できる手段を提供していきましょうということをやったんです。
なぜこういうことが行われたかと言いますと、そのさらに2年位前にアメリカの方ではアメリカのFTC、連邦取引委員会が取り仕切って業界にこういうガイドラインを作らせているわけです。日本でも国際的にインターネットのサービスが広がりますので、日本でも合わせていかなきゃいけないということでできたんだと思います。今日ではウェブを見ていますと、プライバシーポリシーを見にいくと、「当サイトではどこそこのアドネットワークを使用しています、詳しくはこちら」とリンクがされてたりします。アメリカに遅れをとりつつも、やっと説明されるようになってきたなあということです。それに対して今年のスマートフォンの利用者情報のワーキンググループっていうのは一歩進んで、オプトアウトでなくオプトイン方式とされています。
なんでもオプトインというわけにはいかないんですが、ここではですね、電話帳やGPS位置情報、通話内容履歴との情報については、個別の情報に関する同意を取得するというオプトイン方式にせよと提言しています。もう一つはですね、先ほど出てきました、端末ID。端末IDは誰でも共通して使える識別番号ですから、先ほどの図で言ったように、サービスに対して共通の番号になってしまいますし、二次元の図で言えば右上の方にあたる危ないIDであるんですね。こういうIDについては、個人情報に順じた形で取り扱うのが適切、ということを総務省は定義しています。なぜこうなってきたかというのは、アメリカの動向があります。アメリカで消費者プライバシー権利章典っていうのが今年できたんですが、その中にパーソナルデータっていう言葉の定義として、明確に「スマートフォンなどのIDも、パーソナルデータだ」と言い切っちゃってるんですね。これが今後、国際的な標準になっていくだろうという考え方に日本でもなってきているんです。そうするとスマートフォンアプリを開発される皆さんにとってはいろいろと問題が生じてくるのではないかと思われます。実はこのスライド別の公演で使ったものでして、そのまま話すと1時間かかるんですね。なので少し省略しながらお話しします。なぜオプトインなのか、一部の事業者からは、ワーキンググループに対して、「すべてオプトインとする議論が行われていて困る」、と。「オプトアウトで許してくれ」というような意見も出てきていますね。
2011年12月のミログ社の第三者委員会が、収集時に同意のない情報収集を認めてもよいとか、オプトアウトだからと言って全く許されないというのはおかしいと主張していたりもしたんですが、そんなこと言っていると、こういう事例も出てくるわけです。先月Symantec社が発表したものですが、なにやら「奇跡のバッテリ節約アプリ」という偽アプリが出回っているようでして、電池長持ちと言うアプリ。
よくみると個人情報の読み取りを要求してるわけですね。これを起動しますと二倍以上変わりますと言いながら、「申し訳ございません未対応のためご利用いただけません」と、こうなってる間に電話帳全部盗むというアプリです。私のところにも似たようなアプリが来ました。スパムメールで来るんですね。電波改善っていうアプリ。リンクをクリックしたら、いきなりダウンロードしてしまいました。通常はマーケットにあるアプリしか開けないようデフォルト設定されているのでブロックされるんですが、ブロックをしない設定にしている人はやられてしまった、と。大変怖いものです。
これは非常にアプリがはっきりとしているので、昨年、刑法が改正されまして不正指令電磁的記録に関する罪と言うのが刑法168条の2にできまして、犯罪に問えるレベルの悪質さだと思われます。
しかし、何をもって悪意があると言えるのか。そんなことはないと思うんですけど、もしかしてこういう人たちは電話帳を収集してマーケティングに使うとか、便利なサービスを提供しようとしたかもしれないわけです。実例を出すと、スライドはないんですが、日本ではLINEというアプリが流行っていますが、このアプリは最初、無断で電話帳をアップロードするようになってました。これはすぐに批判されたため、開発者側が直して、オプトインで同意をとってからじゃないとアップロードされないようになるというふうに改善されました。そういったものが次から次へと出てくるわけで、そこをどういう風に規律していくかというのが今日の課題となっています。オプトインとかオプトアウトの整備について、これはよい例ですが、Facebookのアプリの場合、友達を探す機能で電話帳を使うわけですけども、ちゃんと使うタイミングが来たときに、「これからこういうことをします、よろしいですか?」と確認が出るようになったわけですね。利用規約に何か書いておけば済むのではなくて、あるいはAndroidのパーミッションで電話帳要求しているから利用者も分かるはずだ、とかそういう技術者発想ではなく、個別に利用者に今から何をするか分かるようちゃんと作り込むべきである、ということが総務省の提言することであります。
この分かりやすい説明っていうのはなかなか難しいんでしょうかね。これは非常に悪い例ですが、ここに「AppLog、(端末のアプリケーション情報等)をミログに送信することでユーザー体験の改善等に役立ちます」と書いてあります。
これはまず、端末のアプリケーション情報というのが何か分からないんですね。実際これは何だったかと言うと、この人はどんなアプリをインストールしているかっていう、インストールしてるアプリの一覧リストと、最近起動したアプリの一覧を送信してしまう、収集してしまうという意味なんですが、分からないですよね。作ってる側からすると、社内では端末のアプリケーション情報と言えば、それを指しているということは常識かもしれませんが、一般の人にはわからないわけです。けれど一般の人に分かるように説明しないと、ウィルス扱いされてしまうかもしれません。もっとも、自然なアプリはそんなこと無いと思います。同じ例でいえば、実はあなたの好みに応じたスマートフォンアプリを紹介しますっていうサービスも当時あったんですね。あなたの好みのアプリを探すにあたって、あなたのスマートフォンに入っているアプリのリストをアップロードしてください、それを見て他の人のデータと付き合わせてこれがおすすめっていうそういうサービスです。この場合は別にわざわざ説明するまでもなく、何をしてそれが自分にとってどういう利益になるかっていうことや、あるいは目的外には使用されないだろうっていうことが直感的にわかります。ところが、実はこれはまさにマーケティングの目的で、全く無関係なゲーム等のアプリでも、中にSDKを埋め込んだものをアップロードすると、利用者のアプリのインストール状況が収集されて持っていかれてしまう。利用者はゲームをやろうとしたのに、履歴を持っていかれるというのは、本人が誤解しないようによほどしっかり説明していないと、スパイウェアになってしまうわけです。
スマートフォンアプリの場合はさっき言ったSDKを使ったやり方が非常に広まってしまいましたので、ここにいらっしゃる方の中にも、よく分からないSDKを組み込んでアプリを作ったりされることもあるんじゃないかと思います。その時SDKがどういうものなのか調べないと、アプリを開発して組みこんで提供している人に責任がかかってきますので、他人事ではないんですね。一方、SDKを開発していらっしゃるような方がここにいらっしゃるかもしれませんが、そういう場合には、しっかりとどのように組み込まれて使われてもエンドユーザーに誤解がないようにするにはどうすればいいのかということをよく考えて頂きたいと思います。この辺はちょっと省略しますけども。
さっき端末IDについて軽く触れました。アメリカ等の英語圏ではプライバシー情報流出というのは古くから言われているわけでして、古くは1999年まで遡って、IntelのPentium IIIのプロセッサーシリアルナンバー問題というのがあります。Pentium IIIにシリアルナンバーを埋め込んで、それをプログラムから使えるようにしよう、それで利用者を識別してECサイトの簡単ログインとかを実現しようとIntelが言い出したところ、大バッシングを浴びまして。プライバシー上問題があるとしてボイコット運動までに至りました。結局Intelは折れてその機能を使えなくしてしまう、オフにしてしまうわけですが。それとまったく同じことがスマートフォンの普及によって繰り返されてしまっています。端末IDとはプロセッサーシリアルナンバーと要するに同じことです。悪いことにAppleがUDIDなる独自のIDをわざわざ用意してたものですがら、それを流用する人がたくさん出てしまった。
つまり端末でID・パスワードがなくても、端末IDでログイン出来てしまうというサービスが多いです。特にゲームに多いですね。どうも元々ゲームでは、ハイスコアを記録する際にUDIDを使うのが最初にあったと言われてます。そうすればID・パスワード用意しなくてもいきなりハイスコアを登録できるわけです。これはなりすましの危険が当然あるわけですね。UDIDが他の人の手に渡って、他人のUDIDのリストがいっぱいあったりすると、何かサービスをやっている人のところにはUDIDのリストがあったりするんですね。それを使ってハイスコアのサーバーにアクセスしてなりすましができちゃいます。偽のスコアを登録するとか。ハイスコアくらいだったら改ざんされようが偽のスコアが登録されようが構わないので問題ではないわけですが、それがプライバシーに関わるような用途のサービスとなると、になるわけですね。昨年の夏にアメリカでは連邦議会の議員が質問状をAppleに送りつけたりしたということもあって、Appleも動いてですね、UDIDを廃止しますよというのを8月に予告しています。今年の5月には実際にUDIDを使っているアプリはリジェクトされるような事態になっています。ここで「そもそも何で端末IDを使うんですか、使わなければいいでしょう」という話が出てくるんですが、そんなに簡単なことではないんです。例えば行動ターゲティング広告のようなものをやろうとして、ここに書いてありますが、アプリ間で複数のアプリで共通してIDを使おうとした時にウェブの場合はサードパーティCookieというのがありまして、サンドパーティーCookieという独特の仕組みがウェブにあったおかげで上手くいってたのが、スマートフォンでできなくなったという厄介な問題があります。これはもうOSレベルで解決して頂く以外にないので、まだ結論が出てないと思うんですが。この辺が現在のホットなトピックです。恐らくここにいらっしゃる皆さんにはどの辺が関係するのかと言うと、UDIDなんか使わないでローカルのIDを使いましょうという話、もしくはID連携を使って、オープンIDのようなものを使って何かやっていくしかないんじゃないですかという、その辺でしょうかね。
時間もあと6・7分となりましたので。こんなことを今やっています、ということを。総務省が提言を出しましたが、提言はただの提言でしかなく法規制ではありません。なので事業者側が自主的に取り組んでいくことが期待されているんですが、そうはいっても実効性のある政策をうたないとなかなか良くなっていかないのではないかと思います。その辺は今後とも私も続けていくつもりでおりますので、見ていて下さいねということなんですが。最後にご質問頂く時間を用意したいと思います。恐らく本来はこういうお話が聞きたくて来てくださったのかもしれませんが、利用者の行動の分析ですね。
正直言ってゲームの世界では勝手にやったらいいんじゃないですかと思ってまして、言うことはないかなと思います。これが例えば医療の分野とかですと、非常に難しい問題です。医療情報を分析すれば、何か病気の治し方に画期的な発見があるかもしれないけれど、一方でちゃんと同意をとって情報を使わないといけない、人権に関わる問題であるわけですね。しかし、同意を取ると言っても、本人、患者が本当の意味で理解して利用しているかという難しい問題に当たってしまいます。それに比べるとゲームは好きでやっているんだから、情報がどんなに搾取され分析されようがいいんじゃないのっていう、嫌ならやめればっていう感じが正直するんですが、それでいいのかとか(笑)
例えばどういうゲームにおける分析なんでしょうか、そこはぜひ皆さんに教えていただきたいんですが、このお客さんはすごい調子のいいカモだぞとか、いくらでも課金でお金払ってくれるいいカモだとか、そういうのをビッグデータをマイニングして見つけるのですか?よく知りませんけども(笑)それはどこまでやっていいんでしょうかね。コンプリートガチャとか、問題になりましたけど。さらに進めば、そういったお客さんの利用を分析して、その人向けの何かを煽ってですね、よりお金をむしり取ると、吸い上げるということをやるのがいいのか悪いのか。それを含めてゲームじゃないのかという意味では、やっていく人の勝手かもしれませんが。コンプリートガチャに対し結局あのような規制が入ったという背景には、何かしら、どこかやっちゃいけないラインがあるはずで。そこは私は全く不勉強でよくわかりません。ただ、他の分野として共通して言えることがあると思い書いてみました。
分析する情報の範囲が狭ければせまいほど問題は小さいと言えるかと思います。しかし、ゲーム間をまたがって、人に関する分析をしはじめると、プライバシーの問題が生じてくる。そのプライバシーの問題というのは決して漏洩したらプライバシーの侵害になるとかいう意味とは限らなくてですね、そもそも人物像を分析すること自体が、ある種プライバシーの侵害になるという考え方もある、ということは頭の隅に置いておいて頂きたいと思いますね。さらに広げてサービス間をまたがって他社との連携しちゃったりして、横串で共通ポイントシステムみたいに人物の人物像を分析して共有していくだとか、あるいはもっと単純にブラックリストみたいなものもあると思うんです。このお客さんは非常に悪いお客さんなので、端末IDの中でブラックリストを作って、業界で共有していくなんてことをやり始めると、それはプライバシーの侵害にあたるかもしれません。法律上どうかと言うとわかりませんが、そういう倫理的な問題が横たわっていると思います。そしてもう一つは利用者がそういうことをされていると知っているのか、という問題。できるだけ説明をした方がいいと思うんですが、するとお客さんが怖がって逃げていくかもしれないから、できるだけ説明しないようにしようなどという発想は、結果的にお客様を騙していることになるわけです。ある種の「未必の故意」のようなものにあたるので、そういう悪い考え方は持たないで、ちゃんと本当のことを説明し、透明性を高めていくというのが善良な企業のあり方ではないかと思います。それからさっき少し述べましたが、匿名の分析であると言ってるものが、本当に匿名なんですかと。端末IDを使って分析していれば匿名のIDとは言えないんじゃないですか、というような、そういう話題もあるかと思います。とりとめなく4つ5つ話題を紹介しましたが、2・3分前ということですので、何かご質問、あるいは「こんな分析してるんですけどいいんでしょうか?」というようなことがありましたらお願いいしたいのですがいかがでしょうか。
質問者A:
すみません、事業者ではありませんが。ゲームそのものが、まさにカモであるというところを特定して、その人からお金を頂ける、嫌な言い方ですが、できるだけむしり取るといったような方法に発展しかかっていると思うのですが、その場合どこに線を引けばいいんですか?もしご意見いただければ。
高木:
皆さんで考えて頂ければ(笑)
一同:
(笑)
質問者A:
仮に行政がそういったものを判断するとなれば、どういうことがありえますか?
高木:
よほど酷い状況が発生すると何かあるかもしれませんけども、結局、まずできることは透明性を高めろ、といったようなことしか言えないと思うんですね。パチンコだって一定の透明性の中でやっているわけでしょうから、同様の規制なり自主的な取り組みをしないといけなくなるのではないのでしょうかね。
質問者A:
ありがとうございます。
質問者B:
さきほどのLINEの状況でもありましたように、電話帳を収集する時に本人には確認を取っていますけども、それでも電話帳に登録されている人たちにとっては勝手に渡されている形になっています。それを防ぐ手立てとかはないでしょうか?
高木:
これはどうしようもないですね。こういうやり方が広まってしまいましたので、今更やめろと言うわけにもいかない。やっとこで使われてしまってます。ただやっている事業者さんたちはですね、そのまま生でデータを持ってくるのではなくて、ハッシュ値に変換して入手しています。マッチングするだけだから、ハッシュ値でマッチングすればいい、と。元のデータには戻せないからよいのだ、ということが言われています。電話番号なんかだと元に戻せちゃうわけですけども。じゃあ他人に自分の電話番号やメールアドレスをそうやってアップロードされちゃうっていうことの何が問題なのかというと、実は単に電話番号やメールアドレスっていうものが勝手にアップロードされることが問題というよりは、いわゆるソーシャルグラフ、誰と誰が友達関係になってるかという、知り合いかっていう情報が勝手に部分的にアップロードされて結合されてくってことが問題になるんですね。番号そのものではないわけです。ですから、そういうルールで保護してますと事業者側が言っても、解決になってないわけですね。どうしようもないんですね。一つ考えられるのは、私の情報は削除して下さい、二度と登録しないようにして下さいというようなことを事前にそういうサービスに要請する、申し込むということが考えられます。それは個人情報保護法に基づいて請求するのかっていう話もあるんですが、そこまで考えなくても、善良なサービス事業者は自らそういう手立てを用意しておけばいいと思うんですね。そういう意味ではLINEをやっていらっしゃる会社、NHNさんは、大変まじめに取り組んでらっしゃるようですので。ぜひ皆さんからも「こういう改善はできないか」ということをいろいろ言ってみて、徐々によくしていくしかないのではないかと思っています。
質問者C:
一つご質問があるんですけども、今、自分が携わっている業務の中でですね、ソーシャルタイプがあるんですが、個人の方が会員登録をしていただいた時に、公序良俗であるとか著作権に関わるような勝手な書き込み、荒らし等が行われないように、携帯電話を使って一度登録を頂くという形の会員登録を行う業務があるんですね。いざ運営が始まると、残念ながら少なからず問題になるような方がいらっしゃって、運営側としてUDIDをブラックリスト登録して、一旦BAN対応、所謂強制的な会員退去ですね、それで再登録されないようにという登録処理を取っていたといったものがあるんですが、そうすると、今お話にあったように、UDIDは個人情報と同列に扱うべき情報というのをブラックリストとして保持し続ける。運営上は仕方ないと思うんですが、それは果たして、好ましいことなのか。
高木:
簡潔にお答えしますと、よくないことなので、諦めるべきだと思います。一般のパソコンのウェブの世界を振り返ってみるとそんな仕組みはなかったわけですね。そういうことはどこまでやっても、すり抜ける人はすり抜けます。UDIDは偽装することもできます。もともと完全に防げない上に、一方で人々はプライバシーを侵害される、というものだから、そういうものはダメなんだというのは1999年のボイコット運動のときから言われてたことなんですね。だからこの12年13年、PCの世界ではそういうのはないんだとして、そういう悪質な奴をどう排除するのか、あるいは排除するのができなくても大丈夫なようなサービスをやっていくという形で、通常のインターネットのウェブのサービスは成長してきたと思うんですね。過去のガラケーのときはそういうことはできてしまったので、違う形で発展してきてしまいました。これが流行とともにスマートフォンになる時、どうなるのか。容易に予想される結論は、PCと同じ世界になるわけですから、ガラケー的なやり方は国際的に見ても絶対できませんので、早めに諦めて他のPCと同様なやり方に策を打っていく。例えば多重のIDを防いだり、ロボットがアカウントを取りに来るのはCAPTCHA(キャプチャ)という仕組みで防いだりしていますよね。グーグルでは色んな事やってます。最終的にはああいう風にやっていくしかないと思います。早めに、長期的にどうしていきたいかを検討されるのが宜しいかと思います。以上でございます。
質問者C:
ありがとうございます。
高木:
すみません時間をオーバーしてしまいました。以上でございます、どうもご清聴ありがとうございました。
・関連記事
スイス連邦でのGoogleストリートビューをめぐる裁判でGoogleが敗訴、プライバシー保護強化を命じられる - GIGAZINE
Androidの「the Movie」アプリで数万件~数百万件の個人情報が大量流出した可能性あり - GIGAZINE
楽天市場から個人情報がスパム業者に流出か、実名の記載された迷惑メールが楽天でしか使っていないメールアドレスに届き始める - GIGAZINE
ソニーが「PlayStation Network(PSN)」および「Qriocity」ユーザー情報流出の可能性を認めて注意を呼びかけ、一部機能はセキュリティを強化して再開へ - GIGAZINE
・関連コンテンツ