企業法務マンサバイバル

ビジネス法務に関する本・トピックのご紹介を通して、サバイバルな時代を生きる皆様に貢献するブログ。

ライフログ

【本】ソーシャルメディア時代の個人情報保護Q&A ― 個人情報・プライバシーのまるごとパック

 
これは買っておきましょう。私も数十冊の個人情報・プライバシー関連の書籍を買って読んできましたが、ここ2〜3年先ぐらいまでを見据えたいまどきのウェブサービス・スマートフォンビジネスにおける個人情報・プライバシーの取扱いについて、これ以上にまとまった書籍がほかにないので。というわけで秋のIT系法律実務書祭り第三弾がこちら。


ソーシャルメディア時代の個人情報保護Q&Aソーシャルメディア時代の個人情報保護Q&A
販売元:日本評論社
(2012-09-20)
販売元:Amazon.co.jp



たとえば、「携帯ID」の個人情報該当性・プライバシー性に関して、30ページ超にわたって取り上げている書籍というのは、私の知る限り今のところこの本だけです。

日本において、ユーザーと携帯電話事業者との契約には、携帯電話番号のほかに、契約ごとに「契約者固有ID」と呼ばれる固有の識別子が割り振られている。
契約者固有IDが「ガラパゴス携帯」である日本独自の携帯IDであるのに対し、端末固有IDは、国内外を問わず、スマートフォン端末自体に割り振られるIDである。
契約者固有IDは、Q1で述べたように「端末に固有」ではなく、「利用者に固有」であって、利用する携帯電話端末を変えても不変であることから、UDID以上に強力なトラッキングを可能とする。
携帯IDを利用したユーザー識別方法とクッキーを利用したユーザー識別方法との最大の相違は、携帯IDが長期にわたり不変のIDであり、アクセスするすべてのウェブサイトに対し、同一のIDが送信されるのに対し、クッキーはユーザー側で消去等の管理可能な一時的なファイルであり、アクセスするウェブサイトごとに異なるクッキーが送信されるという点である。

私がこの携帯IDの危険性について認識できたのは、2008年以降の高木浩光氏の一連のブログ記事やTwitter上での問題提起によってでしたが、当時の私はiモードIDのような契約者固有ID(加入者識別ID)とUDIDのような端末固有IDの違い・リスクの差もよくわかっていませんでしたし、契約者固有IDや端末固有IDを使ったクイックログイン(かんたんログイン)機能なども、危険性についてすぐにはピンとこない部分がありました。しかし2012年となり、スマホでのウェブアクセスがPCによるアクセス数を超えるようになった今、この違いについて知らずにITビジネスに携わっているのは大きなリスクを伴います。この本では、上記引用にあるような難しくない言葉で、そういったそれぞれのキーワードに初めて触れる法務パーソン・ベンチャー経営者でも十分にわかるよう説明がなされています。第二東京弁護士会編であり、法的な正確性もお墨付きです。

s-IMG_0601


今夏8月、『スマートフォンプライバシーイニシアティブ』が総務省から公にリリースされ、この点に言及し世間を騒がせているところですが、「(契約者・端末固有 IDを)同一 ID に紐付けて行動履歴や位置情報を集積する場合、プライバシー上の懸念が指摘される。」との記載があります(P45)。しかし、結局それを扱ってよいのか、扱う場合はどのような点に配慮をすればよいのかの答えが明確に示されてはいません。各業界・各法務がそれぞれ自己流で解釈・リスクを検討していた中で、この本で示される方向性は少なからず影響を与えることになるでしょう。

さらに、第4章で取り上げられているこの「携帯ID」の問題のみならず、以下の様なトピックスが網羅されています。
第1章 ライフログ・ディープパケットインスペクション・行動ターゲティング
第2章 クラウドサービス
第3章 道路周辺映像サービス(ストリートビュー)・ライブカメラ
第4章 位置情報・アプリ利用履歴データ
第5章 インターネット上の書き込みと発信者情報開示

そして第2部では
・世界の潮流
 -第三者機関を設置する主要国の個人情報保護法制
 -プライバシーバイデザイン
・個人情報・プライバシーに関する国内の代表的判例33選
と、大きな流れを掴むために必要な知識が、コンパクトにまとめられています。

タイトルは売れ線を狙って「ソーシャルメディア時代の〜」という冠をつけてしまったのだと思われますが、中身は決してそれに限定されておらず、およそ日本で見聞きできる個人情報・プライバシー関連情報の一切が、この1冊にきれいに収まっていることがお分かりいただけるかと。10冊の類書、100のサイトを読んで情報を集めるよりも、この1冊を読むほうが圧倒的に効率がいいことは、間違いありません。
 

【本】ビッグデータ時代のライフログ ― 「わからないもの」は細かく分けて議論しよう

 
法務パーソンは、その立場上、ビッグデータとかライフログというキーワードに、否定的・懐疑的なスタンスを取らざるを得ないのがつらいところです。言葉の定義からして曖昧なものに安易に首を立てに振っちゃいけない仕事ですからね。とはいえ、会社としてはこのテーマに興味津々で、そろそろ議論に巻き込まれそう、とりあえず反対とか言っておけばいいのかな・・・などと内心ビクビクしている方も少なくないのでは。

そんな法務パーソンに多くのヒントを与えてくれる本が出ましたのでご紹介。


ビッグデータ時代のライフログ―ICT社会の“人の記憶”ビッグデータ時代のライフログ―ICT社会の“人の記憶”
著者:曽根原 登
販売元:東洋経済新報社
(2012-06)
販売元:Amazon.co.jp



このタイトルのかるーいノリに反して、中身は法律や各省ガイドラインとの整合・矛盾・これからの課題といったところが丁寧に検証された、真剣な筆致になっています。それもそのはず、法律面に関しては、法曹会から森亮二先生・法学会から石井夏生利先生のお二人が著者として書かれているからなんですね。

その他の方が書かれている部分も、興味深いデータが沢山。比較的身近なクッキーに潜む問題点について指摘している部分を例に挙げて紹介してみましょう。

個人識別性のない情報については、HTTPクッキーを使って収集されることが多い。このHTTPクッキーは、図表4ー16のように、ほぼすべてのウェブサイトで利用されている。また、第三者クッキーを利用しているウェブサイトは、77%に及ぶ。この第三者クッキーを、登録されたドメインから、どの様な目的で利用されているのかを推測し、広告やマーケティングに第三者クッキーを利用しているウェブサイトを割り出した結果が、58%である。
第三者クッキーがライフログの第三者提供に提供しうると捉え、第三者クッキー利用サイトの中から、広告やマーケティングに利用していると推測されたウェブサイト50社を抽出し、個人識別性を有しない情報について、第三者提供を記載しているか否かを調べた結果が図表4ー17である。

s-IMG_9458

第三者クッキーを利用してライフログを第三者提供していることについて、プライバシーポリシー他で利用者に通知していない企業がほとんどだ、ということ。
クッキー情報は個人識別性がない→だから法律上の個人情報には直ちにあたらない(はず)→従ってわれ関せず・・・を決め込んできた法務の方は、ドキッとする数字じゃないでしょうか。


このような具体的な事象を取り上げるこの本を読んで改めて気づかされるのは、「ビッグデータ」「ライフログ」という曖昧な言葉で「産業の発展とプライバシーのバランスを如何にとるべきか?」なんていう議論を進めようというのは無理な話で、その中に包含された個別のイシューを丁寧にブレイクダウンして、各論で議論を進めていく必要があるなあということです。たとえば、この本にでてくるだけでも

・ID認証の必要性とレベル分け(知識認証・端末認証・生体認証etc)
・ID連携とID統合
・国民ID制度(住基ネット・マイナンバー法案etc)
・第三者機関(独立監視機関)
・通信の秘密
・暗号化技術
・クッキー・Java・HTML5技術
・画像情報
・データ匿名化(k匿名化・ノイズ付加手法)
・情報の個人識別性
・忘れてもらう権利・追跡拒否(Do Not Track)
・防災・医療・教育と個人情報
・青少年保護

ざっとこれぐらいのキーワードが出てきます。法務/情報セキュリティ/コンピューティングそれぞれの知識・経験を備えた上で、立て板に水のようにこれらについての論点・問題点を指摘できる人は限られているでしょう。限られてはいるんですが、ここからは逃げるわけにはいかない。じゃあどういう順番で・誰が・どのように片付けていったらいいんだろうか?っていう話なんだと思います。

法務パーソンとしては、まずは自分の会社において「ビッグデータ」「ライフログ」と呼ばれる個人に関する情報収集手段(技術)をどう取り込もうとしているのか、マーケティング部門の動きを見守っていくことが大事でしょう。その一方で、個人としても上記に列挙したようなキーワードにしっかりキャッチアップできる知識(法律以外の知識)を身に着けておくこと。こちらが確かな知識を備えた上で、適切なタイミングで、時に教えを請いながら、商売のためにこれらを必要としている現場と各論ベースで議論を交わすことが必要だと思います。最初から私達のような部門が大所高所からの意見をぶっていては、上で見たように細かいイシューが多いだけに、議論が発散してしまいまとまりようがありません。

私はウェブ業界に居る知人・友人の力もお借りして、この分野をどう整理して議論を進めていくべきかを考えていきたいと思っています。皆様の知見も是非お貸しいただければと。
 

ライフログ公開時代における企業の情報セキュリティのあり方について考えてみた

 
日経コミュニケーション・ITProに掲載されていた牧野二郎先生のインタビュー記事を読んで、ライフログ公開時代における企業の情報セキュリティのあり方について考えてみたことを、ここにメモしておきたいと思います。

キーパーソンに聞く!ライフログの法・制度の課題 ― イノベーションを起こす法律運用を考えよ(ITPro)
―訴訟リスクを考え,国内企業はライフログ・ビジネスに慎重になるのではないか。

米国の状況を見てほしい。グーグルやアマゾン・ドットコムがどんどんサービスを展開しているが,あの訴訟大国で訴訟はほとんど起こっていない。
その理由は,IT企業がユーザーと協力してサービスを作っていこうというオープンなスタンスを取っているためだ。完全ではない状態でユーザーに評価してもらい,ユーザーにどう改善すればよいか,どのようなバグがあったかを教えてもらう。ユーザーは,サービス提供者と対立するのではなくパートナであるという意識を持つため,訴訟が起こらない。

ライフログ・ビジネスが大切にすべきこと

私が今携わっている人材ビジネスは、ライフログ・ビジネスの先駆けとも言えるビジネス。多くのお客様から学歴・職歴・現年収といったライフログを公開していただき、日々のビジネスで利用しているわけで、情報セキュリティに対する緊張感は相当高く、正直精神衛生上はあまりよろしくないビジネスです。

そんな緊張感の中でお客様と向きあう中で、経験からずっと大切にされてきたこと。それは、お預かりした個人情報をどのように活用しているのか・その結果がどうだったのかをきちんとご本人に説明し、間違ったことに対するお叱りは真摯に受け止めようというスタンス。このスタンスは、どうやら私が入社するずっと前から大切にされてきたことであり、転職直後から私が最も厳しく叩き込まれてきたことでもあります。

何十年もの間大量のライフログを扱いながら、クレームゼロとは言えないまでも大規模な訴訟沙汰が発生していない秘訣は、システムが堅牢だとか従業員のミスが少ないという事以上に、多少不器用であろうとも顧客に真正面に向きあってサービスをしようとするスタンスを守り続けてきた点にこそあるのだろうと、このインタビューを読みながら感じたのでした。

ライフログ公開時代における情報セキュリティ

話題をライフログと情報セキュリティに戻しまして。

個人が世間一般、特にネット上にライフログを公開することが当たり前になってきている今、情報セキュリティの定義が大きく揺らいでいることを、皆さんも感じていらっしゃることと思います。

そもそも「情報セキュリティ」とはどういう意味を持つ言葉なのか。名和小太郎先生のこの本には、こんなことが書いてあります。

情報セキュリティ―理念と歴史

この言葉はラテン語の‘se’(…なしに)+‘cura’(心配)から導かれている(Murray et all., 1933)。この言葉は15世紀に‘secura’として英語にとりこまれ、「心配からの自由」という意味で使われた。‘security’はその名詞形であり、「secureである条件」あるいは「secureである方法」を指している。
したがって、セキュリティという言葉は「Xからの自由」という構造を持っている。15世紀においてはXは単なる「心配」にすぎなかったが、17世紀になるとXが「投資のリスク」という意味も含むようになった。(略)20世紀になるとXの多様化は進み、ここに「窃盗」「スパイ」が、さらには「仮想敵国の脅威」が組み込まれてしまった。同時にセキュリティの主体のほうも膨らみ、かつては個人であったが、そこに企業や国家が入り込んできた。
「情報セキュリティ」という言葉についても事情は同じである。ここではX(心配)の形は技術発展とともに目まぐるしく変わっており、それとともに情報セキュリティの内容は洗練し、かつ複雑なものになっている。

ライフログを自ら開放する個人にとって、この“X(心配)”に代入されるもの、すなわち「secureである条件」として解消を望む心配とは何なのか

それはもはや
“X(心配)=ライフログが知らない誰かに漏れることに対する心配”
ではなく、
X(心配)=自分のすべてを見たはずの相手が、自分に対してすべてをオープンにしてくれないことに対する心配
にあるのではと、私は考えています。

自分が先に心を開いてオープンな状態になっているのに、それを見た相手がオープンな状態になってくれないとすれば、フェアな状態ではありません。フェアじゃない状況・関係が続くことは、人間誰しも望まないはず。こうして、技術発展をきっかけに個人がオープンになればなるほど、これまで以上に相手(企業)に対してもオープンであることを求めるようになり、お互いオープンになれるかどうかが長期的な信頼関係を築けるかどうかの前提条件=X(心配)として問われるようになっていくのだと思います。

つまり、ライフログ公開時代に企業に求められる情報セキュリティのあり方とは、オープンに心と情報を開いている個人顧客に対して、企業の側もオープンに・真摯に説明責任を果たして信頼関係を深めあおうというスタンスを持てるかどうかにポイントがあるのではと。考えてみれば、サービス業の基本姿勢に立ち戻るようなお話です。

個人の側がどんどんオープンになっていくことは間違いない状況において、そのオープン化のスピードに追いつけない企業や、自分たちだけは引き続きブラックボックスを抱えたまま見えない所で得をしようという隠蔽体質から脱却できない企業が、顧客と信頼関係を築けずに次々と淘汰されていく。そんな予感がします。
 

twitterのブログパーツを貼ってみた

 
右サイドバーに、twitterのブログパーツを貼ってみました。

自分の周りにはあまりユーザーがおらず、twitterには二の足を踏んでたんですが、livedoorの田端さん勝間さんがはじめているのを見てたら、妙に面白そうだったので。

twitterを使い始めてみた感想としては、秘密にする必要が無いおしゃべり・気付きの共有を知人・友人とするにはぴったりなコミュニケーションツールなんだなと。twitterユーザーが増えていくにつれ、メールを使うシチュエーションはよっぽどの秘密を含む1to1の私信を送るときだけになり、頻度が圧倒的に減っていくのでしょう。

一方で、今自分が何をやっているかをひたすらつぶやくライフログ的な使い方には(それが本来のtwitterの使い方なのかもしれませんが)、プライバシーの観点でまだちょっと抵抗を覚えます。

まあどれだけ続くかわかりませんが、このブログをご覧のtwiterユーザーの方、よかったらフォローお願いします。

匿名ブログを続けてきたことをできるだけ肯定してみた上で、実名ブログ化への覚悟を説く

 
「信頼が仕事の基礎であるはずの法務ブロガーが、匿名でピーチクパーチク言ってるなんて、ちゃんちゃら可笑しいぜ。長い目でみたら絶対損するから、騙されたと思って実名で書きなよ。」って言われました。

Social media anonymity in the legal profession is a losing proposition(Real Lawyers Have Blogs)
The Internet for the legal profession is all about networking and building relationships. Relationships built through true engagement with others we grow to trust.

The law is a profession, not just any other business. Our profession is based on reliability and trust.

So while it may feel cute to be anonymous and you may get some short term buzz, it's a losing proposition in the long run. Trust me.


匿名でやっていても損をするだけで、結局はバレる

この「ブログの匿名・実名論」は、今に始まったものではなく、
ネットと非ネットで公私を分けるかどうか
 by はてな近藤さん
終身雇用的社会と実名ブログ
 by 磯崎哲也さん
このあたりの方々によっても、すでにだいぶ前から語りつくされている感がありますが、世の中的結論としてはやはり「実名じゃないと読み手には発言に責任を持っているとは思ってもらえないし、損だよね」ということかと。

ネットが電話以上のコミュニケーションのインフラになった以上、現実世界で当然に要求される社会的マナーである「名を名乗る」義務も高まっていくでしょうし、一つ確実に言えるのは、実名で検索してたどり着いてくれる人は期待できない分、損しているのは間違いないでしょう。

もっとも、匿名にしていても、数々のエントリで露見する人となりで、結局現実世界で自分のことを知ってる人にはバレるんですね。
何より私自身、現職・前職の同僚やビジネス上の知り合いには「企業法務マンサバイバルのtacってあなたですよね。読んでますよ。」って、見事にバレてますし。

さらに、ひょんなことから、晩秋の頃に出版予定の法務系の本に共著者として名前を並べていただけることにもなった手前、その本の紹介・宣伝をすれば著者欄に私の実名も所属企業も記載されているという具合に・・・。そんな事情もあり、もう開き直るしかない状態になってきたという感じでして。


実名化にあたって必要な覚悟

匿名(ブログネーム)で書くことと引き換えに、責任を問われるような発言は慎んできたつもりですし、現実世界の自分と紐付けられても恥ずかしくないという覚悟・実在の人格であることから逃げない覚悟さえ決まっていれば、匿名でも別にいいじゃないと思ってここまでやってきたのですが、

一方で、前述した社会的マナーを正々堂々果たし、かつ検索して見つけていただくメリットを存分に享受するためにも、近いうちに弊blogも実名化するんだろうなと思っています。

今までも十分に気をつけてきたつもりですが、将来実名化することを考えると、
1)いくら自分の意見・本音とは言っても、所属企業の
  企業理念に反するような発言はしない
2)明示的な同意が得られない限り、他人を巻き込んだ
  ライフログは書かない

の2点について、今まで以上に緻密な配慮が必要かなと気を引き締めはじめているところです。

1)については、所属企業の理念に反するような発言をしたくなったそのときは、その企業に所属している自分自身を疑うべきなのでしょうし、2)については、プライバシー性の判断の基本は、その人が他人に知られたくないかどうかであって自分で勝手に判断できないことを考えると、自分本位のライフログが、めぐりめぐって一緒に行動する家族や知人のライフをログしてプライバシー権を侵害してしまうリスクに注意しなければならないと思います。
記事検索
月別アーカイブ
プロフィール
Google