Suica利用履歴販売から見る個人情報保護の話

社会

6/27に産経新聞の「経済」で報じられていたのですが、読売新聞の「社会」でも取り上げられましたので、この件について書きたいと思います。

http://sankei.jp.msn.com/economy/news/130627/biz13062716110018-n1.htm
http://www.yomiuri.co.jp/national/news/20130718-OYT1T00726.htm

「個人情報」に関する認識の埋まらない溝

佐賀県武雄市図書館の運営をCCC(カルチュア・コンビニエンス・クラブ株式会社)に委託するという件で、武雄市の樋渡市長と高木浩光氏が論争を繰り広げたことがありました。ここでの論争でも感じたことですが、「個人情報」という用語に関する認識の違いが、議論が噛み合わない理由の一つであると思います。

個人情報保護に関する法律(個人情報保護法)では、「個人情報」を次のように定義しています。

(1) 生存する個人に関する情報
(2) 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの
(3) 他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるもの

この定義はかなりユルユルだと個人的には考えているのですが、一方でこの定義に合致しないものは「個人情報ではない」と考えている人たちがいるのも事実です。武雄市図書館の論争にしても、「個人情報保護法の定義に合致しないものは「個人情報」ではない」と主張をする樋渡氏と、「個人を特定することができる可能性があるものは「個人情報」である」と主張する高木氏の議論が噛み合わないのは、その実例を見ているようです。

今回のSuica取引履歴の外部販売に関して、JR東日本は次のようにコメントしています。

「名前や住所を匿名化しており、個人が特定される恐れがない」

でもね。名前や住所を匿名化しただけで、個人が特定されないと本気で考えてる?そもそも「個人が特定される」という事象をどのように考えてる?名前や住所が判明しなければ、それは個人を特定したことにならないと考えてる?

確かに1件の履歴だけで個人を特定することはできませんが、それが一年分とかになると、高確率で「特定の個人を識別すること」ができますよね。もしくは、改札前に設置されたビデオカメラの情報や、Suica対応店舗での決済情報などと併せると、高確率で「特定の個人を識別すること」ができますよね。これは個人情報保護法の3番目の条件に合致することになりますよね。

ビッグデータというキーワードで、大量の情報を分析する技術が急速に発展しています。それは、目的の情報に対して容易にアクセスすることができる環境が整備されつつあり、「他の情報との照合」を「容易」にするための技術が実現していることを意味しているのです。技術的に実現可能なことと、社会的に実現可能なことは異なります。この点に関しては、大学病院の倫理委員会のように、「技術的には可能なんだけど、社会的には受け入れられないから止めとこうね」という判断ができる体制を早急に整備しないといけないと思います。

リアルマネーと電子マネーの違い

少し話を変えて、リアルマネー(お札や硬貨)と電子マネーSuicaなど)との違いを考えてみます。
お金に求められる機能は、次のようなものがあると思います。

1. 価値交換ができること
2. 通貨の最小単位で利用することができること
3. 匿名性があること

「価値交換ができること」というのは、そのマネーを使って同等の価値のものと交換できるということです。お金はもちろんのこと、電子マネーも電車に乗れたり買い物ができたりしますので、お金としての機能を持っていると言えます。「通貨の最小単位で利用できること」というのは、そのマネーを使って任意の価値と交換できるということです。例えばビールとしか交換できないビール券や、お釣りがもらえないギフト券などは、この条件を満たしていません。その点、電子マネーは通貨の最小単位である1円単位で利用することができるため、この条件を満たしていると言えます。

そして3番目の「匿名性があること」とは、そのお金を誰が使ったか追跡できないことです。この点に関して、電子マネーはその仕組み上実現することが非常に困難です。特にSuica系のカードは、利用残高をセンター側で管理する仕組みになっています。(Edyは違ったような記憶があるのですが、自信が無いのでフォローいただけるとありがたいです。)そのため、Suicaを使うということは、センター側で利用履歴が把握されることを意味しているのです。クレジットカードに近い感覚です。自分のプライバシーを厳重に守りたい人は、自衛するという意識を持つことも大切です。

電子マネーの利用履歴は銀行口座の取引履歴と同じ

電子マネーがお金と同等の機能を提供していく戦略であるのであれば、その利用履歴は銀行口座の取引履歴と同等に保護される必要があると思います。

もし、大手都市銀行が、

マーケティングに利用するため、名前や住所を匿名化して取引明細を公開します」

とか言ったら大問題に発展しますよね。金融庁などの監督官庁からもストップがかかると思うのです。電子マネーの利用履歴というのは、それくらいの意識を以って取扱わなければならない情報なのです。そうであるにもかかわらず、JR東日本日立製作所に取引履歴の情報を、利用者の許諾を得ることなく渡しました。営業機密として取り扱われているでしょうが、金融機関で取り扱っているレベルでの機密情報とはなっていないでしょう。

この取扱っている情報に対する意識の足りなさが、JR東日本の根本的な問題だと思うのです。