「インターネットの『匿名』は本当に匿名？」〜ネットの疑問をIIJに聞きました

今回の回答者： サービス統括本部 黒田真弓さん

IIJ サービス統括本部 品質統括部 電気通信設備統括課
技術者の視点から適法な電気設備（サーバー、通信回線など）を維持する――電気設備に関する法律にどのような変化があるかを確認し、IIJの設備をどのようにして法律に合わせていくべきかを考えていく仕事をしています。

黒田さん：この「匿名」に関する疑問は、言われてみれば確かに……というところで、面白いですね。

　はじめに、「匿名」という言葉について整理しておきましょう。国語辞典だと「匿名」とは、自分の名前を隠すこと、のように説明されます。匿名アンケートは、名前など、あなた（回答者）が誰かが分かる情報は求めないので、気軽に回答してくださいね、という趣旨のもので、言葉の定義上、名前などを聞かれなければ正しく「匿名アンケート」なのだと思います。

　一方で、誹謗中傷などに関連して話題になるのは「匿名性」（自分の身元を隠すこと）ですね。誰だか分からないだろうと思って誹謗中傷を投稿したところ、身元を特定され、発言の責任を追及される、ということがあります。

　アンケートでも、匿名だと思って回答したら身元が特定されてしまう、ということになっては困りますね。インターネットの匿名アンケートの裏側で、どのようなことが行われているのかよく分からなくて不安、知りたい、ということでの質問かと思います。

　今回は、主に通信と匿名性について、どう説明したらいいかなと考えてきました。匿名アンケートは本当に匿名性が保たれているのか、それとも、実は匿名性がないのか、通信の仕組みの基礎の基礎から、お話ししたいと思います。少し長くなると思いますが、聞いてくださいね。

技術的に言えば、インターネットに「匿名性」はない！

黒田さん：そもそもインターネットで行われる「通信」は、お互いが何者かを知らないと、やり取りできません。

　何者かが分からないようにして通信する技術というか、抜け道も考えられ、絶対にとは言えませんが、原則として、技術的に考えればインターネットに「匿名性」はない、と考えていただくのがいいと思います。

　インターネットの通信の仕組みをざっくりとお話しすると、私たちが使うスマートフォンやPCや、利用するサービスのサーバーなど、インターネットにつながっている機器のひとつひとつに「IPアドレス」と呼ばれる固有の文字列が与えられています。このIPアドレスによって互いが何者かを識別しながら、情報を送受信しているのです。

　IPアドレスはコンピューター同士がお互いを識別するものですが、IPアドレスから個人を特定することもできるのか？　という点が、インターネットの匿名性における重要な論点になります。

IPアドレス～身元は分からなくても組織は分かる

――IPアドレスですか……難しい話になりそうですね。「IPアドレスが知られたらヤバい」のような話を聞くことがありますし、「技術面で考えれば匿名性はない」ということなら、IPアドレスが分かれば個人が特定できる、ということになるのでしょうか？

黒田さん：これが、そうとは限りません。まず、IPアドレスについて、今回の話で必要な2つのポイントだけ説明しましょう。

　1つ目のポイントに、IPアドレスは「組織が保有・管理している固有の文字列」である、ということがあります。固有の文字列ということは、世界中で同じ時間に同じ文字列を使っている機器は1つだけという意味です。また、IPアドレスからインターネットに接続している組織の情報を調べることは、比較的簡単にできます。

　固有の文字列なら、すぐに個人を特定できるのでは？　と思うかもしれませんが、一般のISP（固定インターネット回線）や携帯電話を使う場合、インターネットに接続し直すたびに、ISPや携帯電話会社といった組織が保有するIPアドレスを付与されることになり、IPアドレスが変わることがあります。なので、そこまで強く個人と紐づいているとは言えず、IPアドレスから個人を特定できるとは限りません。

　ISPを利用している場合、原則的には、サービスや事業者が分かっても個人につながる情報までは分りません。所属している会社や学校からインターネットに接続している場合、その会社名や学校名が分かる場合があります。また、例外的な話にはなりますが、個人が固定のIPアドレスを保有しているケースもあり、その場合は実質的に「このIPアドレスならこの人」と分かってしまいます。

Amazon AWSのIPアドレスチェックページ（https://checkip.amazonaws.com/）にアクセスすると、現在の自分のIPアドレスが表示されます（一部の文字列をぼかしています）

IPアドレスから位置情報を割り出すIPジオロケーションのウェブサイトにアクセスすると、現在の自分のIPアドレスをもとに、組織や位置も表示されます。ここでは、東京の新宿近辺から、ソニーネットワークコミュニケーションズのサービスを利用していることなどの情報が表示されており、IPアドレスから、組織のほかに大まかなアクセス元の地域も判別できる場合があることが分かります。なお、IPアドレスから分かる情報は、利用している接続サービスや接続方法により、非常に詳細かつ正確な場合もあれば、大まかであったり、正確でなかったりする場合もあります

簡単なことではない「発信者情報開示請求」

――仮に「NTTドコモから接続している」ぐらいのことが分かっても特に困らないでしょうが、会社から接続して「インプレスから接続している」と分かってしまうと、実質的にはかなり身元が絞り込めてしまいますね。ところで、基礎的な質問になりますが、IPアドレスは個人情報にはあたりませんよね？

黒田さん：IPアドレスは、個人情報保護法上は「個人関連情報」とされます。個人関連情報の定義については省略しますが、特定の個人を識別できる「個人情報」とは区別されていて、IPアドレスだけで特定の個人を識別できるとは限らない、というわけです。

　ただし、先ほど「同じ時間に同じ文字列を使っている機器は1つだけ」と言いましたが、原則的には、IPアドレスと時刻が分かれば、ISPや携帯電話会社の接続記録をたどることで、個人が特定可能です。

　2つ目のポイントとなるのが、この部分です。「IPアドレスと時刻が分かれば原則的には個人を特定可能」ということになります。

　SNSで誹謗中傷をしたユーザーを特定するために行われる、いわゆる開示請求（情報流通プラットフォーム対処法、旧プロバイダ責任制限法に基づく発信者情報開示請求）では、誹謗中傷の投稿があったSNS側が記録していたIPアドレスと投稿時刻をもとに、ISPの接続記録を参照して、誹謗中傷をした個人を特定します。

発信者情報開示請求のイメージ。複数回の請求と裁判所での審議を経て、IPアドレスと時刻の情報から個人が特定されます。ケースによっては会員情報から特定されるなど、ほかの情報が使われたり、流れが変わったりすることもあります

　こう考えると、IPアドレスも個人情報に近いじゃないか、という印象を持たれるかもしれませんが、この手続きは裁判所に申し立てを認められない限りはできません。それ以外の方法で「絶対に不可能」とまでは言いきれませんが、普通にできることではない、と捉えていただいていいです。

　個人的には、IPアドレスを知られることが、そこまで怖いことかな？　と思っています。

　インターネットで通信するときには必ず互いのIPアドレスの情報が交換され、何かの機会に誰かに知られる可能性は、常にあります。IPアドレスは現実世界でいえば「あの人はあの駅で電車を降りた」ぐらいの情報で、それくらいは知られても、ほぼ問題になることはないだろう、と私は思っています。

　ただ、これを怖いと思う人もいるでしょうし、怖いと思うことを「心配しすぎ」のように簡単に否定できる理由もありません。

匿名アンケート回答者のIPアドレスは知られている？

黒田さん：以上のような、匿名性とIPアドレスの話を踏まえて、匿名アンケートの話に戻りましょう。匿名アンケートで気になることを、次の2点に分けて考えてみます。

1.アンケートの実施者に自分の身元を特定されたくない
2.アンケートの実施者以外（第三者）に自分の回答内容を知られたくない

　1は匿名性の話になります。匿名アンケートだと思って回答したのに、実は身元が特定されていたら、身元の情報と回答を紐づけられて、匿名性もなくなれば匿名アンケートでもなくなってしまうわけで、とても嫌ですよね。

　アンケートの実施者は、回答者のIPアドレスと回答した（アンケートにアクセスした）時刻を知ることができるか？　を考えてみます。先述のとおり、この2つの情報があっても身元を特定できるわけではありませんが、知られたくないと思う人もいるでしょう、ということで。

　結論から言うと、IPアドレスを知ることは、アンケートによってできる場合とできない場合があります。時刻については、ほとんどのケースで知ることができるはずです。

　アンケートの実施者が回答者のIPアドレスを知る主な方法は、アンケートが動いているサーバーのアクセス記録（ログ）を見る場合と、回答データの中にIPアドレスが記録されている場合の、2通りが考えられます。前者は、自分（自社）が管理しているサーバーでアンケートを行っているケースなら、当然可能だと考えられます。

　「Googleフォーム」のようなアンケート作成サービスを使っている場合、アンケート実施者がサーバーのログを見ることはできないと考えられます。ですが、アンケート作成サービスの中には、回答のデータに回答者のIPアドレスが含まれるサービスもあります。いたずらの回答があったとき、IPアドレスを基準にして排除するような使い方が想定されているようです。

匿名アンケートに回答するとき、ユーザーのスマートフォンやPCとアンケートサービスのサーバーが通信し、サーバーにログとしてIPアドレスが保存されます。サーバーを自分で管理していないアンケート実施者が直接ログを見ることはできませんが、サービスによっては回答データとしてアンケート実施者にIPアドレスも提供されることがあります

　これはかなり余談めいた話になりますが、Googleフォームは回答のデータとしてIPアドレスを見ることはできないものの、フォームをカスタマイズして画像を挿入できるので、自分のサーバーにある画像をフォームに挿入し、その画像が表示されたログを確認することで、回答者のIPアドレスと画像が読み込まれた時刻を知る……といったワザができます。このように、やろうと思えば、匿名アンケートで回答者のIPアドレスを収集することは、技術的にさほど難しいことではありません。

　と、IPアドレスを収集する話だけ深掘りするのも、あまりいいことではないかもしれないですね。実際のところ、匿名アンケートの実施者は、匿名で集めた回答を集計・分析したいのであって、回答者のIPアドレスを得ても特に使い道はなく、興味がないはずです。

技術者でも判断基準は「アンケートの内容」

――黒田さんはIPアドレスについて「何かの機会に誰かに知られる可能性は常にあります」ともおっしゃいましたが、どんな匿名アンケートでも、IPアドレスぐらいは知られる可能性がある、と、考えておくのがよさそうですね。

黒田さん：「IPアドレスぐらいは知られる可能性がある」と考えておくのは、適切な認識だと言えると思います。匿名アンケートに限らず、何かの機会に通信した相手へIPアドレスの情報がわたることはありえます。

　この先は、現実世界のアンケートとあまり変わらない話になっていくのですが、「このアンケートの回答者を、そこまでして特定したいかな？」という話になるでしょうね。技術的な可能性だけを考えれば、誰も知らない秘密のシステムがこっそり仕掛けられて個人が特定され……という可能性だってゼロではありませんが、さすがに単なるアンケートで、そこまではしないでしょう、と。

　私たちのようなITエンジニアも、アンケートの画面だけ見て裏側の仕組みがどうなっているかまで判断できるわけではないので、結局は技術的にどうというよりも「アンケートの実施者は信頼できるか、テーマや設問に不審な点はないか？」を見て、アンケートに答えるかどうかを判断することになります。

　例えば「好きなアーティストは？」ぐらいの当たり障りのないアンケートの回答者をいちいち特定して、誰かが何か悪いことをするとはちょっと考えにくいです。でも「資産を増やしたくありませんか？」のようなアンケートをして、お金を切実に欲している回答者をこっそり特定し、詐欺にかける……のようなことを考える犯罪者はいるかもしれません。詐欺の手法としてはだいぶ遠回りで非効率になりそうですが、あくまで例として。

　今回は話題にしていませんが、SNSなどの会員制サービスでアンケートを実施する場合だと、回答と会員情報が紐づけられるのか、そうでないかを、パッと判断できないこともあると思います。だいぶ後ろ向きな話に聞こえるかもしれませんが、匿名アンケートに答えるかどうかの基準としては、最悪の場合に匿名性が失われたとして、回答した情報がバレても、別にどうということはないと思えるかどうか、とするのが、失敗がないでしょうね。

　IPアドレスが知られることについて、私がそれほど心配していないのは、そもそもインターネット上に出す情報を選んでいるし、送信した情報を悪用しようとしても、手間のわりには得られるものが少ないから、普通に考えてやらないだろう、と思っているからです。

　万が一を考えるなら、もっと慎重になって匿名アンケートがあっても無視するのがいいでしょう。それに、絶対に誰にも知られたくない秘密なんかは、アンケートで回答したりSNSに投稿したりしてはいけません。

アンケート送信途中で情報が知られる可能性!?

　先に挙げたうちの2（第三者にアンケートの回答内容を知られたくない）については、ちょっと端折って簡単にお話しします。第三者に回答内容を知られるということは、アンケートに入力する自分と、アンケートサービスがあるサーバーの間の通信を何者かが「盗聴」して情報を盗むことで、起きる可能性が考えられます。

　現在はほとんどのインターネット上の通信経路では信号が暗号化され、盗聴を防いでいるので、これも技術的に考えて絶対とは言い切れませんが、心配しないでいいと言ってもいいでしょう。

　ただ、企業のネットワークに接続した状態で匿名アンケートに回答していて、そのネットワークに、不正アクセスから組織内のネットワークを守るシステム（ファイアウォール）が導入されている場合、それが取得している通信記録をもとに通信の内容まで取得しようと思えば、盗聴ではない合法的なアプローチで、フォームの回答内容を取得できる場合があります。

　とはいえ、セキュリティのために設置したファイアウォールで、匿名アンケートへの回答内容を取得しなければならない、という状況があるかというと……。あまり思いつかないですね。

　つまり、技術的に突き詰めれば100％盗聴されることはないと言い切ることはできないものの、現実的に、可能性は極めて低いと言えます。こうした場面でも「この情報を、そこまで手間をかけて知る価値があるだろうか？」と考えるのが、いいのではないかと思います。

――回答内容を知られる可能性でいえば、アンケート実施者が回答を印刷してどこかに置き忘れてしまうかも？　といったことまで心配しないといけませんね。まずはアンケートの設問を見て「もしも回答を誰かに見られたとして、特に問題のない内容かな？」と考えるのがよさそうです。

　ただ、お話を伺って、会社のネットワークに接続して趣味のアンケートに答えるようなことは避けた方がいいんだなと思いました。そもそも、仕事中にやるべきことでないわけですが……。

黒田さん：そうですね（笑）。会社から接続して仕事に無関係なことをするのは、避けておいた方が無難でしょうね。

　あらためて、今回の質問にお答えすると、まず、誹謗中傷などの行為をして発信者情報開示請求がされることがあれば、大変な手間と労力はかかりますが個人が特定されるでしょうから、誹謗中傷などをして「匿名のままでいられるとは思わないでください」というのは、技術的に見ても正しいです。

　一方で、「普通の匿名アンケート」なら、実施者が手間と労力をかけて回答者を特定することはないだろう、という意味で、本当に匿名のアンケートであり、匿名性が脅かされる心配も特にしなくていい、と基本的には考えていいと思います。同時に、何かあったら個人を特定することも可能だという意味で「匿名のままでいられない」も正しく、どちらも前提が違う話であって矛盾はしない、とお答えするのが適当でしょう。

　ただし、技術的に突き詰めて考えればインターネット上のものを「絶対に匿名性が保たれている」とは決して言えませんし、匿名アンケートをうたう悪意のあるアンケートが存在する可能性も否定できません。アンケートに限らず、いかなるケースでも、自分の情報を預ける相手を絶対的に信用してしまうのはやめたほうがいいですし、怪しいアンケートがあったら、どういう意図で実施しているのだろうか？　と考えてみる必要がありますね。

――ありがとうございました。