だまして利用させる“禁じ手”に歯止めを、“プライバシーエンジニア”育成も

　東京・秋葉原の富士ソフトアキバプラザで開催された「Internet Week 2012」において21日、「意外と知らないソーシャルメディアの落とし穴」と題したセッションが行われた。SNSにおいて意図せずにプライバシーを公開してしまうことの危険性や、ウェブサービス／アプリなどにおける個人情報やプライバシー情報の取り扱いの課題について、専門家らによるパネルディスカッションが行われた。

　パネリストは、書籍「Facebookが危ない」（文藝春秋）の著者でもある日本アイ・ビー・エム株式会社の守屋英一氏、 新潟大学大学院実務法学研究科の鈴木正朝氏、独立行政法人産業技術総合研究所情報セキュリティセンターの高木浩光氏。司会は、特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）SNSセキュリティWGのメンバーでもある日本マイクロソフト株式会社の高橋正和氏が務めた。

●プライバシーは線引きが難しい／日本の個人情報保護法は哲学がない

　パネルディスカッションではまず高橋氏から、SNSから見た日本の課題について各パネリストに問いかけがあった。

日本アイ・ビー・エム株式会社の守屋英一氏

　守屋氏は、自身がもともと従事していたセキュリティ分野では、サイバー攻撃など「善か悪か、はっきり線引きができていた」のに対して、SNSにおいて問題となっているプライバシーについては「考え方が世代によってかなり違いがある」と指摘。例えば携帯電話番号なら公開してもいいものなのか絶対に公開してはならないものなのか、世代や個人の考え方によってばらつきがある。セキュリティならばガイドラインを作るにしても、とるべき対応などを端的に示せるが、プライバシーになると「線引きが難しい」。こうした課題が日本というよりは、SNS全体にあるとした。

　すなわち、「プライバシーというものの定義やコンセンサスが確認されないまま、インターネットやSNSの世界に突入してしまっている」（高橋氏）。

　個人におけるプライバシー感覚は主観に依存するために多種多様だが、「法制度は別次元」と指摘するのが鈴木氏だ。

　米国では「プライバシーの権利として、不法行為法では何百という判例の集積があり、現にプライバシー侵害訴訟で損害賠償が山のように出ている。不法行為法におけるプライバシーというものは確立されている」のに対して、「日本の個人情報保護法は、哲学、理論的基礎が全くない。憲法第13条から派生されると言われているプライバシーの権利との結合はあえて逃げてきた」という。

　鈴木氏によると、ビジネス重視と言われる米国だが、「独立宣言から踏まえて自然権に近いかたちでプライバシーに関しては法律が山のようにあり、判例も山のようにある。個人の尊重というとことは、ぐっと踏み込んでいる」と説明。また、「欧州でもリスボン条約で出してきたEU憲法草案の中に個人データの保護を入れ、憲法的保障を与えている。どちらもビジネスごときに揺らぐようなヤワな概念ではない」とした。

　「日本政府は利活用の時代とか言って腰がグラグラしちゃって、事業者に対してダメなものはダメと白黒はっきり言えない。むしろ事業者としては、後出しジャンケンで規制が来るんじゃないかということで、情報化投資の回収期間中に安定してビジネスができる保証もない。“禁じ手”が何か不明確な中でその場しのぎでやっていくという、乱暴な企業の方がむしろ得をして、真面目な企業が損をしている状況にある。」（鈴木氏）

●「基準は法律家が作り、技術者はこれに従って開発する」との考えは間違い

　高木氏は、「SNSは（ユーザーが）自分で望んで使っているはずなのだから、そこで公開された情報はどういうふうに使ってもいいんだ」と言えるかどうかが、関心のあるポイントの1つと言う。技術者の視点からすれば「（ユーザーが）自分で公表した情報なのだからどのように使ってもよいのだ」という立場で利活用したいはずだが、「1つ1つ何をやってよくて、何をやっていけないかということを、全体を見て整理していく、個別に抑制していくことが大事」とした。

独立行政法人産業技術総合研究所情報セキュリティセンターの高木浩光氏

　そのやってもいいことと悪いことの“基準”についても、重要な議論があった。高木氏は、基準を示してもらわないと「何もできない、何も開発できない」という技術者がいるが、「実は技術者でないと落としどころが見えないというのが、このデータプライバシーの問題」とした。すなわち、法律家に基準を決めてもらい、技術者はそれに従って開発するという考え方は間違いであり、「技術者自身が落としどころを探りながら、法律家に提示して法的な位置付けを妥当なものへ誘導していくことが大事」。

　それが行われなかった失敗例として、英国の情報コミッショナー（ICO）が、Cookieもすべてオプトインにするというルールにしてしまった事例があるという。「ほとんど問題のない、サイト内でのセッション追跡のようなCookieにすら、事前の同意が必要であるという基準にしてしまった」という。一方、米国ではそういったことにならないようにルールをはっきり決めずに進めているというが、「それはそれで議論が深まっているかどうか分からない」。

　「法律家と技術者が一緒にやっていかなければ本当の答が見えないにもかかわらず、日本は全く行われていない状況。セキュリティ技術者もプライバシーのことは、はっきりと言えない。口出しすれば政治的な活動のようになってよくないと思い、『これは欠陥です』とはっきり言えることだけを言ってる。データプライバシーの問題は、人によって許せる人と許せない人がいる。その状況で何をしていくかとなれば、まずは（ユーザ－）本人に何が行われるのかということを明確に示し、本人が理解した上で使うということをやる以外にない。それすら日本の企業ではできていない。」（高木氏）

●だまして利用させることへの規制は、イノベーションの阻害ではない

　こうした技術者と法律家とのコミュニケーションの悪さは、最近問題となっている個人情報を抜き取る“不正アプリ”などへの対処にも影響する。

新潟大学大学院実務法学研究科の鈴木正朝氏

　鈴木氏は、「法律家は、事実関係を認識できないのでルールを作れない。（技術の）実態や事実関係が分からないのに、どういったルールがいいのか言えるわけがない。そこをきちんと（技術者に）助けてもらわないと、合理的なルールにはならない」と指摘する。

　例えば、Androidアプリをダウンロードする際に表示されるパーミッション画面を通れば問題ないという見方もあるが、「パーミッションが法的な同意・承諾になるとは限らない。バグが法的瑕疵に該当するとは限らないように、技術者の世界・文脈でとらえる概念イコール法的許可になるわけではない。そのあたりの認識もすり合わせていかなければならない」。

　また、プライバシーの世界はユーザー本人が自分の情報について自己決定する世界であるため、「承諾があればOKじゃないか」という考えがあることに対して、昨今の状況から「だましが入っている」点を鈴木氏は問題視する。

　「今度、高木さんと論文を書いたが、誤認を誘導するということををやるじゃないですか。だって、きれいに言ったらお客さん来ないんだもん。そこのせめぎ合いで、現場は『ま、クリックさせりゃいいだろ』とか『OKボタン押させりゃいいや』というところの結果、それが法的同意・承諾にならない方向に流れていくということがある。『難しい』とか言っているのではなく、鼻からだます気満々系という。これは実は僕らはよく分かっているわけですよ。実はクリアに黒なんです。ここを黒だと言わない社会は僕はいびつだと思っている。法制度はそれ（黒白）を着けるべきだと思う。これをいけしゃあしゃあと『イノベーションを阻害する』と言うんですよね。そういう人たちがノイズになって健全なルール形成が曲がる。産業界の方がむしろ、そういうだまし系の事業者をたたくというところでルール形成の土俵が整っていくと思う。」（鈴木氏）

　高木氏も、「だまして利用させることに対する歯止め」が日本には足りないと強調する。米国ではFTC（連邦取引委員会）が欺瞞的な行為に対して訴訟を起こすことが可能で懲罰的賠償というものもあり、プライバシーもその対象に入っているために過去にも指導ができているという。

　「イノベーションを阻害するというのではなく、しっかりとそういう仕掛けがあるからこそ、できる限りスレスレのところで挑戦していける。一方でむちゃなことをする“抜け駆け”が出てきた時にきちんとそれが止まる仕掛けがあるからこそ、健全なビジネスの発展があると思う。」（高木氏）

　日本はというと、プライバシー的に微妙なサービスは一昨年ごろまでは各社ともやらなかったのが、昨年ごろに転換期があり、「実は過去10年の歴史の中でこれはやっちゃダメというのを全く知らない新規参入者がばかなことをやってきている。しかも（サービスの中身を）見てみると、だましている」という。

　高木氏はこの「だまし」について、積極的にだますという意味ではなく、「消極的にだます」ことと表現する。「この程度書いておけば法的にスレスレOKだが、利用者は実際のところをよく知らないまま利用してしまって、後で後悔してもどうにもならない結果になるだろうと認識しながら、あえてやっている」として、具体的にはポイントサービスを挙げた。「何ポイント付けます、ポイント10倍などど言いながら、そのサービスに申し込むと実際のところは情報をとっていく。プライバシー情報を収集するというのが本当の目的であるというサービスが次々と出ているというのが去年ぐらいからの状況」と説明した。

　また、個人情報を裏で抜き取るスマートフォンの不正アプリについては、それがたまたまコンピュータープログラムであり、改正された刑法でたまたまウイルス作成罪が新設されたために、刑法的なアプローチでそういう「だまし行為」をつぶしていくことが可能になったという。しかし、警視庁が検挙した「○○ the Movie」アプリの事件において、「本格的なだましアプリが処分保留で釈放になった」ことに疑問を投げかけた。

　「東京地方検察庁が、パーミッション画面で同意画面というものがあったために起訴をちゅうちょしている。これを見ていて思うのは、パーミッションという仕組みで同意を得るというアレが何の同意になっているかということ、これは技術者なら何のことかすぐに分かる（※）。ところが、よく知らないままの検事が『これを押しちゃっていると、確かに同意だよな』ということを考えているかもしれないと思うと、たいへん危ない。きちんとみなさんで検察を支えて、これはこういうものなんだ、これはやっちゃいけないことなんだということを確立していかないといけない。そういう時期だと思う。」（高木氏）

※ディスカッションでのこの発言だけからは具体的に何のことを述べているのか分かりにくいが、21日につぶやかれた高木氏のTwitter（@HiromitsuTakagi）の一連の発言を踏まえると、パーミッション機構は、例えば電話帳やGPS位置情報などのリソースに対するアクセス可否を制御する仕組みに過ぎず、それらにアクセスして得た情報の用途（例えば外部サーバーに送信するかどうかなど）まで制御する仕組みではないことを指していると思われる。それらのツイートの中には、上記ディスカッションでのコメントの「よく知らないままの検事」などへの懸念を説明した内容と思われる、『技術と利用実態に疎い法律家からすれば、「アプリ上での取得」と「サービス提供者の（サーバ上への）取得」の違いがわからないことが原因で、「連絡先データの読み取り」＝「サービス提供者の（サーバ上への）取得」と勘違いしてしまうであろうことが容易に想像される。』という発言もある。

●技術者にも法律の知識が必要、“常識感とイマジネーション”も

　技術者が基準作りに積極的に参加することが必要だとする議論に対しては、会場参加者からの質疑応答において、現実問題として技術者に法律の知識まで求めるのは難しいのではないかという質問もあった。あわせて、企業において“コンプライアンス”というキーワードは叫ばれているものの、それが開発の中でどう反映されるかという発想ではなく、個人情報保護法にしても技術と結び付いて考えていないとの現状の指摘、また、Googleなどでもまず開発してみて問題が出たら対処する、技術が先行してそれに対してどういう問題が発生しているのかを考える“後追い”であり、技術開発と法律とはかかわらないのではないかとの指摘もあった。

　この質問に対して高木氏は、2000年ごろは“セキュリティエンジニア”というものが日本にはいなかったとして、「特にソフトウェアの脆弱性・欠陥が原因で何か起きるという問題について、ぜんぜん認識されておらず、それに対処できるエンジニアなどはいなかったと思う」と振り返る。しかし、なぜそうした欠陥を直さないればいけないのかということを考えていくと、「結局は法律はどうなっているか考えないと、契約だとか、誰の責任でやっているかまで分からない」として、高木氏自身がこうした話題に首を突っ込み始めたという。「結局、セキュリティエンジニアになっていくには、そういうことを把握していないといけない」。

　そして高木氏は、次に来るのは“プライバシーエンジニア”とでも言うべき存在だとして、「Googleには、そういうプライバシー技術というか『こういうことをやると非難されてきている』という歴史を知っているようなエンジニアがいて、サービスを提供する際に本当に考えてスレスレのところを攻めてきている」と指摘する。

　高木氏は、例えば10年ほど前にターゲティング広告が批判されていた時代に、GoogleはAdSence広告において、JavaScriptのソースによるインクルードによる方法でファーストパーティCookieで処理するという方法を発明した事例を紹介。現在は違う方法となっているというが、「そういう風にその時々の批判されている状況をよく見て、『これはやらない』『じゃあほかにどういう方法があって攻められるか』ということをきちんと技術を踏まえて積極的に攻めていたから大成功した」という。

　こうした領域を専門とするプライバシーエンジニアは、日本では10～20人いるかというような状況であり、「もっと育たないといけない」と強調。以前からあったID連携技術にかかわっていたエンジニアらはこうした議論をずっと見ているためによく分かっているとし、「最近、ようやくOpneIDなどが普及し始めてきて、スマートフォンでも使われており、そういったところからやっと広がりつつある状況。10年後にはぜひ、そういう人材がもっと育ってほしい」とした。

　鈴木氏は、社会とはまだ接点がないような研究室の中の純粋な技術については、法規制を入れずに徹底して自由でいいとする一方で、それをどのように使うかというアプリケーションやビジネスの世界に入って来た時点で、社会的・法的評価を受けるのは当然だと回答する。

　鈴木氏によると、プライバシーに限らず通常のシステム開発においても技術だけでは不十分であり、業務知識が必要となる。「金融業界に行くと、金融法制は緻密に多数ある。業務知識の一部に法知識が入っている。その技術をどう適用するかという時に『法律は分かりません』という言い方は、『ビジネスパーソンとしてぜんぜんダメです』と言っているに過ぎない」。

　鈴木氏はまた、「システム仕様や技術仕様に我々のプライバシーのあり方が依存するため、（プライバシーは）きちんと（システム）全体の作り込みで入れ込んでいきましょう」という考え方である「プライバシー・バイ・デザイン」というキーワードを紹介。こうした考え方が国際常識になってきたならば、「（法律は）技術者の必要なナレッジの1つになるのは当然。純粋技術で法とは無関係にとことん追求する数学的な人たちとは異なり、アプリケーションやビジネスに接点を持っているSEのスキル要件として入ってくる。『知りません』じゃ済まなくなる」。

　さらに鈴木氏は、技術者の意識としていちばん重要なのは、「これをやればユーザーは怒るだろう」という“常識感”だとも表現。また、技術者とは別に最近では“マーケティング屋”がばっこしていると言い、“ステマ”がマーケティング手法の1つだなどと説明している状況に苦言を呈す。鈴木氏によると、例えばブロガーに製品のレビューを依頼するような手法は、Googleですら社内規定で禁止しており、米国の主要事業者では「10年前に撲滅されたと聞いている」。その上で「ビジネスとイノベーションが出ている国々ではむしろ、みんなが怒らないかどうかを吟味する常識感とイマジネーションがもう少しまし。そのあたりは技術者だって何だって、ビジネスパーソンは全員できるはずだ」とした。

日本マイクロソフト株式会社の高橋正和氏

　高橋氏は、「エンジニア一人一人がセキュリティを詳しく知るというのは無理」だという視点から、ビジネスオーナーや事業者がセキュリティを担保するためのメソトロジーとして、マイクロソフトが取り入れている「セキュリティ開発ライフサイクル（Security Development Lifecycle：SDL）」を紹介した。同社の各プロジェクトにはセキュリティを監査する専門家が必ず入っており、セキュリティのマイルストーンをクリアしていかなければ開発を進められない流れになっているという。この流れにプライバシーも組み込んでいるのだとしている。

　「高木さんは技術者の問題だという言い方をされていたが、私はプロダクトオーナーなり会社の問題だと思っている。世の中に（プロダクトが）出る時に、それがプライバシー上で問題がないということをどうやって保証していくのか。それには開発の手法を含めて変えていかなければいけない。プライバシーエンジニアのような人たちがそれをチェックしていくような仕組みが必要。個人個人でも大事だが、多分、組織としてそれをどうハンドルするか。それについてはSDLのようなものもヒントになるのではないか。」（高橋氏）