SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

プライバシーフリークカフェ

漏洩が問題なのではない、名寄せが問題なのである―第3回プライバシーフリーク・カフェ(前編)


「トレーサビリティの確保」はこんなに難しい

高木 さっきの、トレーサビリティを確保すればいいという意見、ちょっと変だなと思うのは、今日、冒頭で山本さんがおっしゃったように、名簿屋はどうやら名寄せをしていて、さまざまな名簿を束ねていっている疑いがあるわけですが、そのときの、個人情報の取得ってどの部分を指すんですかと。

山本 ええ、ええ、ええ、ええ。

高木 もしかして、トレーサビリティ確保と言ってる人は、氏名、住所情報だけが個人情報であると思っていませんか。その考えでいくと、最初にある人の住所氏名が入ってきたところはどこから取得したかのトレーサビリティを問題にするけれども、後から何らかのIDで紐づけて…その人の属性の情報が追加されていくとき、これを個人情報の取得じゃないって思ってませんか。しかし、本当はこれも個人情報の取得なわけでして。

山本 …です。

高木 ですから、トレーサビリティなんていったら大変なことですよ。たとえばネットショップで買い物した瞬間も新しい個人情報の取得をしているわけです。この商品を買ったっていう個人情報を取得している。それを全部、トレーサブルに記録していくんですかっていう話で。

山本 まさにそういうことですね。

高木 だからたぶん、勘違いされていると思うんですよ。最初に住所氏名を取得するところだけやっとけばいいんじゃないかみたいな。

山本 実際にはまったく違うわけですから。おそらく、名寄せグループが核たる名寄せの中心においているのは旅券番号など一貫した照合情報なんですよ。おそらくですけど。もしくは国家公安委員会の出している、免許証または地方運輸局の船員手帳。ただ今おそらくデータブローカーの世界は、そういったものから、「じゃあ、どういったものに対してアタックをかけてどういう情報が取り出せるか検証します」というアクティブかどうかを確認する作業がまず一義。二義は、民間の適法と言い募っている側も、今まさにおっしゃったような個人に関する情報の取得なんだけれども、そうだと認識していないという強弁のもとに集めて自社で寄せているものがある。要は利用目的の明確化と遵守がなされてないんじゃないのっていうのがあると思うんですけどね。

高木 古物商の規制の類推で同じように規制すればいいっていう発想は、有体物だからうまくいくだけだという話がありましたけれども、まさに情報っていうのは、単にコピーできるから有体物と違うんだっていうだけじゃなくて、入ってくるときにマージされて一体化されていくので、とても有体物と同じようには、できそうもないですよね。

鈴木 おっしゃる通りですね。

山本 だから常に新しくなっていく、その鮮度を保つためには何ができるかっていうのは考えなきゃいけない。あと高い精度で保ちたいっていうニーズが入っているはずで、そこの部分がはっきりしなかったら、じゃあ何が正解で何が正解じゃないか、わからないわけですから、別に悪いことをしていないまともな事業者さえもが個人に関する情報を利活用できないっていう話になってっちゃうんですよね。がんじがらめにしすぎてしまうと使いづらいやつになってっちゃうので、そこをどうにかしないとねっていう話。

鈴木 ここで鮮度の話でましたけど、鮮度の話を説明すると、まあみなさん事業者の方ばかりなので釈迦に説法ですけど、DMを100万人分とか50万人分とかバーンと発送するわけですが、まあ1通あたりの郵券代が82円、封入するパンフレットの制作費がかかる。デザイン代や印刷費や紙代がかかって、封入代もいる。1通あたりも結構なコストなんですよね。ところが、これを送ると、しばらくすると段ボールで返ってくるんですね。あれはちょっと切ないですよね。

山本 切ないですね。

鈴木 デリバリーを伴うサービスをしているところは、たとえば通信教育の教材とかですよね、お客さんの方が「引っ越したから今度はこっちに送ってくれ」って必ず住所変更手続をしてくれるので、DMを打っても戻りハガキがほとんどない。まさにベネッセなんかは、そういう意味では、ほぼ、99.9%アクティブな鮮度のいい情報なんですよ。一方、オンラインサービスを提供して、クレジット決済しているような商売がメインだと、現住所は関係ないんですよね。お客さんも自発的に住所変更してくれないし、インセンティブがなければお願いしてもなかなか現住所を教えてくれなかったりする。こういうところは大量の戻りハガキを覚悟でDMを打つしかないわけですよ。

山本 ええ。

鈴木 となると誘惑として、「鮮度の高いところから宛名住所を買いたい」となりますよね。段ボール単位の戻りハガキや封書、その数に1通あたり200円くらいのコストを掛け合わせた無駄をするくらいだったらその金に上乗せしてでも買ってもいいというところはあるでしょう。到達しないDMほど虚しいものはないですから。

山本 おそらくその手間もあるので、犯罪的な観点でやってる場合について言うと、オンラインで完結するものってひとつ大きなモチベーションなんですよね。なので、この前のLINE ID乗っ取りからの「プリペイドカード買ってね」話はたくさん出ていて、ウェブでもずいぶんにぎわったと思うんですけど。あれはけっこう、犯罪を起こす側と悪用したい側の心理をものすごく突いていて、まあコミュニケーションコストはありますけど、全部、ウェブで終わるようにちゃんと設計したうえで、何が新鮮な情報で何がそうでないかもちゃんと管理している。なので、追っかける側もトレーサブルだといいながらも国境またいだところで行き詰ってしまう。LINEがいくらがんばってやったところで、日本の今の法律だと全部は取り締まれないんじゃないかって疑心暗鬼になると、なかなか先に進まないですよね。それに、鮮度の話で言うならば、日本人の中のこの属性の鮮度を上げるためにこの会社を狙えばいいというのが、なんとなくわかってきているんではないかというのがあってですね。みなさん、LINE詐欺、あるいはID乗っ取り食らった方いらっしゃいますか。

鈴木 「今なにしてますか?忙しいですか?」って、もらった人の方がいいんじゃないの。

山本 もらった人はいますか?身の回りにいらっしゃる方は?

鈴木 だいたい1割強くらいですねえ。被害の率としてはかなりの大きいですね。

山本 はい。結構な割合が、ID・パスワードの使い回しっていう古典的な問題だけじゃなくて、この人だったらこのパスワード使うに違いないっていうアタックリストが作られていて。で、「この前このIDとパスワードで突破できたんで、次は別のサービスでも試してみよう」っていう、「試す業者」っていうのが、どうもその、ある特定の地域にいるらしくてですね。調べていくと「試すもの専用IP]っていうのがあるんですよ。

鈴木 なるほど。

山本 入れるかどうか確認するためだけに、アタックする。

鈴木 昔、電話の時代もありましたよね。

山本 ありました。だからけっこう昔からのノウハウっていうのは今でも生きていて、それこそがその個人情報をそろえるためのツールでありノウハウになっている可能性が高いですよね。そうなってくると、じゃあどういう対策を打てるようにするのかをちゃんと考えた上で、法律改正も、大綱もそうですし、組み合わせながら実効性のあるものにしていくべきなのかって考えないといけません。さっき申し上げたように、まともな業者が使いづらくなったら意味がないんで、「まともな業者に対してどういう使い方であれば経済的利益が担保できますか」、みたいなところをきちんとヒアリングするべきだと思うんですよね。で、実はそれができているようでできていなくてですね。で、この前、新経済連盟で、こういう系の話をしませんかっていったとき、「利用の実態にきちんと即した対策であれば、どういう大綱であっても受け入れる」って言ってたんですよ。

高木 うーん。

山本 ちょっと言い方としては、レトリックは難しいんですけど。彼らが「受け入れる」っていってくれているものは、基本的には「一般の利用に関しては、レギュレーションが合理的であればいいですよ」と。岩盤規制だなんだっていうのは、議論としては先鋭にする必要があるかもしれないけれど、「ちゃんと実効性のある個人情報の使い方さえ明示してくれるのであれば、どんな内容でも大丈夫です」っていう回答なんですね。

鈴木 うんうん。

山本 で、どうもそれが、やや、ある特定の会社さんの、ご意向によってですね…

鈴木 B先生の。

山本 B先生のお話もありつつですね、若干後ろ向きな風に思われがちなんですけども、もしそういう風に経済界が思ってくれているのであれば、使いやすくて、トレーサブルって言い方はどうかと思うんですけど、ちゃんと何かあったときに追っかけられる仕組みをどう用意するかも、ちゃんと踏まえて議論したほうがいいんじゃないかっていうような話になってくるんですよね。それであれば、建設的な議論にしやすいと思います。

次のページ
 日米欧のルールの調和

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
プライバシーフリークカフェ連載記事一覧

もっと読む

この記事の著者

プライバシーフリークの会(プライバシーフリークノカイ)

山本一郎
イレギュラーズアンドパートナーズ株式会社 代表取締役 高木浩光
独立行政法人産業技術総合研究所 主任研究員 鈴木正朝
新潟大学 法学部 教授

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6239 2015/02/17 14:54

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング